Problemowi bezpieczeństwa informatycznych systemów bankowych oraz zagrożeniom wynikającym z bezmyślnej akceptacji wszystkiego, co wygląda na informację przekazaną przez bank nie poświęcam może na tutejszych łamach aż tyle miejsca, ile warto (por. „Klient nie odpowiada za skutki nieautoryzowanego przelewu bankowego, nawet jeśli dostrzegał, że może być ofiarą phishingu”) — a jednak przesłany do użytkowników Citi Handlowego listel pt. „Rozpoznawaj fałszywe wiadomości SMS/Learn to recognize SMS fraud attempts” wart jest kilku chwil uwagi.
Zaczynając od początku: także w swoim dobrze pojętym interesie bank powinien informować, edukować, przestrzegać — i zapewniać możliwie bezpieczne metody autoryzacji transakcji płatniczych (por. „Czy bank ponosi odpowiedzialność za phishing?”).
Stąd w przesłanym listelu (miło, że bank ma dobry zwyczaj korzystać z własnych domen, nie zleca takich wysyłek na zewnątrz — wiadomość dostałem z domeny Citihandlowy.pl, która przekierowuje na Citibank.pl) z radością dostrzegłem np. zdanie „Jako Twój bank, zalecamy Ci zachowanie ostrożności podczas otwierania i wysyłania wiadomości za pomocą telefonów komórkowych i innych urządzeń mobilnych„ — zwłaszcza, że „Oszuści podszywając się pod Twój bank mogą wysłać do Ciebie wiadomość SMS z prośbą o podanie informacji na temat Twojego rachunku lub karty płatniczej„ (przepisuję nieprzypadkowo, bo okazuje się, że nadal te oczywiste oczywistości nie są oczywiste dla wszystkich) — aby w dalszym kroku zostać przekierowanym na stronę, na której oszust będzie próbował wyłudzać informacje o karcie, imieniu i nazwisku, loginie i haśle oraz jednorazowym kodzie autoryzacyjnym (wysyłanym esemesem na komórkę) — a trudu takiego zadają sobie dlatego, iż „Oszuści mogą natychmiast wykorzystać wyłudzone informacje dokonując zakupów na Twój rachunek lub przelewając środki z Twojego konta”.
Aby uchronić się przed wyłudzeniem danych bankowych należy zachować następujące środki bezpieczeństwa (tu już żywcem cytuję wiadomość przesłaną przez Citi):
- Nigdy nie odpowiadaj na wiadomości SMS wysłane z nieznanego lub podejrzanego źródła i natychmiast je kasuj;
- Korzystając z bankowości elektronicznej, upewnij się, że strona na której jesteś jest bezpieczna. Symbol kłódki widoczny w pasku adresu strony oznacza, że strona jest bezpieczna;
- Pamiętaj jednak, że nawet, gdy na pasku adresu wyświetla się symbol kłódki, należy zachować ostrożność i przed zalogowaniem należy sprawdzić certyfikat strony logowania, aby mieć pewność, że jest się na stronie Citi Handlowy (…);
- Zawsze sprawdzaj wszystkie powiadomienia mailowe lub SMS dotyczące Twoich rachunków i bezzwłocznie informuj nas o wszelkich podejrzanych lub nieautoryzowanych transakcjach (podkreślam, bo obowiązek ten nie tylko wynika z art. 42 ustawy o usługach płatniczych, ale też kluczowa dla zwolnienia się z odpowiedzialności za operację nieautoryzowaną w rozumieniu art. 45 uup.
I teraz najlepsze: po czym poznać, że otrzymana wiadomość nie została przesłana przez bank Citi Handlowy, lecz przez oszusta, który może próbować wyłudzić nasze dane i pieniądze? Otóż jak przestrzega bank:
Wiadomości SMS od Citi Handlowy wysyłane są tylko z następujących numerów:
601700647, 603810106, 607520408, 607521371, 661002483, 661002484, 661002485, 661002486, 661002488, 661261262, 661406031, 661408821, 691152151, 664079340 lub wysyłane są jako wiadomości z następującą nazwą w polu nadawcy: Citi, CitiSpecials.
Słowem: mamy oto listę czternastu (sic!) numerów telefonicznych, które są bezpieczne, zaś bank (jak rozumiem) podaje tę informację aby uczulić klientów na wiadomości przesyłane z innych numerów… I teraz sam nie wiem, czy jako racjonalny (trzeźwo myślący) klient — mam sobie to wszystko wklepać w książkę telefoniczną? Wydrukować listę, nosić w portfelu, porównywać z tym, co dostaję z banku?
Śmiać się czy płakać nad takim podejściem banku do bezpieczeństwa operacji?