Co łączy dostawcę gazu, firmę telekomunikacyjną i centrum medyczne? Takie firmy wysyłają do swoich klientów maile z linkami do płatności. Niestety nie służy budowaniu dobrych nawyków w przeciwdziałaniu phishingowi. Niewiele też wskazuje na to, aby to się miało zmienić.
Problem linków w e-mailach
To jest na swój sposób fascynujące. Firmy płacą za szkolenia z bezpieczeństwa. Banki prowadzą kampanie edukacyjne przeciwko phishingowi. Nawet państwo inwestuje w materiały edukacyjne, które mają wszystkich obywateli nauczyć jednego — nie wpisuj hasła w formularzu logowania, jeśli na stronę trafiłeś przez kliknięcie w link z e-maila.. Edukacja w tym zakresie jest prowadzona od wielu lat, bo to jedno z najstarszych i najczęstszych oszustw internetowych. A jednocześnie najbardziej skutecznych.
- Bo ludzie nie zawsze potrafią zorientować się, że e-mail nie pochodzi od tego, za kogo podaje się nadawca.
- Bo ludzie nie potrafią też zauważyć literówki na pasku adresowym przeglądarki (lub w ogóle na niego nie patrzą) po kliknięciu w linka z e-maila.
Wszystkim byłoby łatwiej, gdybyśmy materiałach edukacyjnych mogli napisać coś w stylu
“żadna uczciwa firma nie będzie Cię zachęcać w e-mailu do logowania (lub płatności) przez kliknięcie w link”
Dobre praktyki rynkowe są stosowane przez niektórych — zwróćcie uwagę jak w tym zakresie wygląda komunikacja od banków. W e-mailach jest najcześciej zwrot typu “zaloguj się na swoje konto, potem przejdź na zakładkę X aby aktywować Y”, ale bez linka. Klient przecież wie (powinien wiedzieć) jak się zalogować do usługi z której korzysta, a brak linka skłania go do samodzielnego wpisania adresu strony internetowej lub uruchomienia aplikacji. Tak, może ją wpisać z literówką. Tak, może ją wygooglać i trafić na lewą stronę. Ale te ryzyka nie prowadzą do tylu ofiar co phishing i można je szczelniej kontrolować, niż przyzwyczajenie klienta do “klikam w każdy link i wpisuję dane”.
Nie wiemy ile firm zachęca w swojej komunikacji do klikania w linki z e-maila prowadzące do logowania lub płatności, ale sami natknęliśmy się w ostatnim czasie na trzy przykłady.
- KRAKÓW, 9 kwietnia — zapisz się tutaj!
- WARSZAWA, 16 kwietnia — zapisz się tutaj!
- WROCŁAW, 11 czerwca — zapisz się tutaj!
- POZNAŃ, 8 października — zapisz się tutaj!
- ŁÓDŹ, 22 października — zapisz się tutaj!
- GDAŃSK, 19 listopada — zapisz się tutaj!
Zobacz pełną agendę tego wykładu i reakcje uczestników poprzednich edycji.
PS. Można (a nawet powinno się) na ten wykład wysłać lub przyjść z nietechnicznymi znajomymi!
Lux Med
Przypadek numer 1: Grupa Lux Med. Osoby, które zarejestrowały się na wizytę lekarską w zakładzie tej firmy otrzymywały takiego oto maila z potwierdzeniem.
E-mail z Luxmed (wbrew pozorom nie scam)
Kliknięcie w link w e-mailu przekierowuje na stronę Luxmedu, która z kolei przekierowuje do bramki płatności PayU. Schemat wykorzystywany w wielu oszustwach internetowych “na dopłatę”.
Drugi przypadek: Vectra – dostawca internetu i innych usług telekomunikacyjnych. Klienci tej firmy po wystawieniu rachunku mogą otrzymać taki e-mail:
Mail od Vectry
Link w mailu kieruje do eBok, a zaraz potem następuję przekierowanie do płatności.
Trzeci przypadek: PGNiG (Grupa Orlen). Ta firma w przeszłości ostrzegała przed phishingiem, ale jak widać poniżej, trochę “przyucza” do niego swoich klientów.
Mail od PGNIG
Link w mailu ma treść “Zapłać online” co sugeruje przejście od razu do płatności, jednak tu również klient najpierw przekierowany jest do eBOK, potem może przeklikać się do opcji płacenia. Dodajmy, że wyłudzenie dostępu do konta w takim eBOK też miałoby swoją wartość. Są tam dane o punktach poboru, poprzednich fakturach itd.
Wszystkie trzy podmioty odpytaliśmy o tę sprawę i zadaliśmy im kluczowe pytanie. Czy bylibyście Państwo skłonni zmienić te praktyki?
Vectra: “Tak… ale… tego się nie da tak szybko zmienić…”
Vectra po otrzymaniu pytań odpisała nam dwukrotnie. Najpierw zapewniono nas, że problem jest istotny i będzie analizowany. Potem dostaliśmy drugą, właściwą odpowiedź.
Dzień dobry Panie Marcinie
bezpieczeństwo cyfrowe naszych klientów jest dla nas niezwykle istotne i traktujemy je z najwyższą powagą. Spółka ustawicznie pracuje nad rozwijaniem różnorodnych, wielopłaszczyznowych elementów bezpieczeństwa, w tym dedykowanych dla Abonentów. Zgadzamy się, że należy podejmować wszelkie możliwe działania, by jak najskuteczniej eliminować zagrożenia, jakie niesie za sobą phishing, w szczególności ten w zakresie nieufania jakimkolwiek linkom zawartym w korespondencji. Jesteśmy świadomi zagrożeń i dlatego edukujemy stale w tych kwestiach zarówno naszych Klientów jak i pracowników oraz kontrahentów.
Korespondencję masową, do której odniósł Pan swoje uwagi, charakteryzuje długi okres wdrażania nowych rozwiązań. Wynika to choćby z konieczności w tym zmiany dotychczasowych przyzwyczajeń w zakresie korzystania z wdrożonych udogodnień przez Abonentów i użytkowników, czy wyjaśniana przyczyn wprowadzanych zmian. Kluczowe w tym procesie jest także dostosowywanie się do percepcji i zgłaszanych potrzeb Klientów, które wynikają z ich różnego poziomu świadomości i umiejętności w korzystania z usług cyfrowych.
W odniesieniu do podniesionej przez Pana kwestii eliminowania akcji odnośników, systematycznie ograniczamy ich liczbę i dążymy do pełnej ich eliminacji. Równolegle promujemy nasze systemy eBok, które stanowią bezpieczny i alternatywny, w tym zabezpieczony przez 2FA, kanał komunikacji, także dla korespondencji elektronicznej (e-mail).
Podkreślamy, że nasze działania w obszarze zmian w komunikacji masowej muszą być wdrażane rozważnie i muszą adresować potrzeby naszych klientów. Nie możemy nikogo wykluczać z możliwości i korzyści, jakie dają usługi cyfrowe.
Z pozdrowieniami
Biuro prasowe Vectry
Czyli – jak rozumiemy – niektórzy ludzie bez linka nie ogarną płatności i dlatego te linki są… systematycznie eliminowane. Bardzo cieszy nas fakt, że Vectra rozumie problem, ale jednocześnie mamy wrażenie, że nie w pełni.
PGNIG: “To link do eBOK więc nie ma problemu!”
PGNIG też nam odpowiedziało.
Szanowny Panie Redaktorze,
w PGNiG Obrót Detaliczny, Grupa ORLEN, dbamy o bezpieczeństwo klientów, w szczególności w obszarze usług cyfrowych. W ramach konsekwentnie realizowanej strategii chronimy dane oraz wspieramy klientów w bezpiecznym korzystaniu z oferowanych rozwiązań, m.in. poprzez informację i edukację (przykładem mogą być publikacje na naszej stronie internetowej: Ostrzeżenie przed fałszywymi mailami | PGNiG OD).
Po Pana zgłoszeniu dokonaliśmy ponownej analizy naszej korespondencji z klientami. Wynika z niej, że w żadnym z szablonów wiadomości nie ma linków prowadzących do bezpośredniej płatności. Zamieszczone w nich odnośniki kierują do konkretnych procesów serwisu samoobsługowego eBOK i wymagają autoryzacji poprzez zalogowanie.
Mamy jednak świadomość, że dotychczasowy opis działania „zapłać on-line” mógł wprowadzać w błąd, sugerując niektórym użytkownikom, że link przekierowuje bezpośrednio do tzw. bramki płatniczej. W związku z tym dokonaliśmy korekty opisu na „zaloguj i zapłać”, wskazując jednoznacznie, że cały proces uzyskania wcześniejszego dostępu do systemu PGNiG Obrót Detaliczny.
Serdecznie dziękujemy za Pana zgłoszenie, które przyczyniło się do zmiany, którą wdrożyliśmy.
W razie pytań pozostaje do Pana dyspozycji.
Zadaliśmy spółce dodatkowe pytania starając się delikatnie wyjaśnić, że zamieszczanie w mailu linka do jakiejkolwiek strony logowania nie jest najlepszym pomysłem. Do momentu pisania tego tekstu nie otrzymaliśmy żadnych dodatkowych odpowiedzi.
Luxmed: Prowadzimy prace “na rzecz wprowadzenia bezpieczniejszych metod”
W imieniu Luxmedu odpowiedział nam Łukasza Niewola, Dyrektor Departament Komunikacji Korporacyjnej i Zrównoważonego Rozwoju. Tu również odpowiedź jest w stylu “chcielibyśmy coś zmienić, ale jeszcze nie zmieniamy”.
Grupa LUX MED stale udoskonala jakość usług, wprowadzając funkcjonalności dostosowane do potrzeb pacjentów, starając się zachować przy tym najwyższe standardy bezpieczeństwa. Linki do płatności w komunikacji e-mailowej są stosowane w ściśle określonych przypadkach. Przed wysłaniem e-maila z linkiem pacjent jest informowany, że go otrzyma i mam możliwość skorzystania z tej formy płatności. Jednocześnie podkreślamy, że w wiadomościach e-mail potwierdzających rezerwację wizyty, czy przypominających o wizycie nie wysyłamy linków do płatności.
Obecnie trwają zaawansowane prace, które mają na celu wygasić tę formę płatności na rzecz wprowadzenia bezpieczniejszych metod. W najbliższym czasie nasi pacjenci będą mogli dokonać płatności przez Portal Pacjenta LUX MED lub stronę sklep.luxmed.pl.
W zdecydowanej większości płatności za usługi dokonywane są przez naszych pacjentów w centrach medycznych przed wizytami.
Co robić? Jak żyć?
Nigdy nie powinieneś płacić czy logować się po kliknięciu w link z e-maila. Najlepiej samodzielnie wejść na właściwy serwis internetowy nadawcy i poszukać akcji/opcji o której informuje Cię w e-mailu. Wtedy masz pewność, że klikasz po właściwym serwisie. Jeśli po kliknięciu w link widzisz formularz logowania lub płatności, to popatrz na adres URL. Zweryfikuj też szczegóły ewentualnej płatności (kwota, odbiorca), bo bramka płatności może być prawdziwa, ale pieniądze niekoniecznie powędrują tam gdzie myślisz lub w kwocie której się spodziewałeś.
A jeśli prowadzisz firmę i oferujesz jakąś usługę zwykłym konsumentom, nie proponuj im płatności e-mailem po kliknięciu w link.
Ryzyk czyhających na internautów jest więcej. Opowiadamy o nich w trakcie wykładu “Jak nie dać się zhackować?“, który już w kwietniu odbędzie się w Krakowie i Warszawie. Zobacz pełną agendę tego wykładu i terminy. PS. Można (a nawet powinno się) na ten wykład wysłać lub przyjść z nietechnicznymi znajomymi!
