Các ngân hàng trên toàn thế giới đang vô tình huấn luyện khách hàng của họ rơi vào bẫy các cuộc tấn công lừa đảo qua email bằng cách sử dụng các thực hành marketing giống với các chiến thuật lừa đảo phổ biến. Một trường hợp gần đây liên quan đến các ngân hàng Sparkasse của Đức đã làm nổi bật cách các tổ chức tài chính hợp pháp đang làm suy yếu giáo dục an ninh mạng thông qua các chiến dịch khuyến mại được thiết kế kém.
Email Hợp Pháp Trông Giống Như Lừa Đảo
Vấn đề được phát hiện khi một khách hàng ngân hàng Đức nhận được thứ có vẻ như là một email lừa đảo kinh điển. Thông điệp quảng cáo một cuộc rút thăm trúng thưởng sử dụng tên miền chung không liên quan đến ngân hàng, yêu cầu thông tin cá nhân nhạy cảm bao gồm chi tiết IBAN, và sử dụng chứng chỉ SSL cơ bản từ Let's Encrypt thay vì một cơ quan cấp chứng chỉ cao cấp. Những đặc điểm này thường là những dấu hiệu cảnh báo mà các chuyên gia bảo mật dạy người dùng tránh.
Vấn đề này mở rộng xa hơn nước Đức. Khách hàng ngân hàng trên nhiều quốc gia báo cáo những trải nghiệm tương tự với các tổ chức tài chính của họ. Các hệ thống phát hiện gian lận thường gọi từ những số không được niêm yết và yêu cầu khách hàng xác minh thông tin cá nhân mà không chứng minh tính hợp pháp của chính họ trước. Một số ngân hàng gửi tin nhắn văn bản với các liên kết trông đáng ngờ đến các tên miền bên thứ ba, trong khi những ngân hàng khác sử dụng các số gọi lại khác nhau mỗi lần họ liên hệ với khách hàng.
Các Dấu Hiệu Cảnh Báo Bảo Mật Ngân Hàng Phổ Biến Nhưng Thực Chất Là Hợp Pháp:
- Tên miền chung không liên quan đến ngân hàng
- Chứng chỉ SSL Let's Encrypt thay vì chứng chỉ cao cấp
- Yêu cầu thông tin nhạy cảm qua các trang web bên ngoài
- Cuộc gọi từ số điện thoại không niêm yết yêu cầu xác minh
- Tin nhắn văn bản có liên kết bên thứ ba trông đáng nghi
- Số điện thoại gọi lại khác nhau cho mỗi lần tương tác với khách hàng
Nghịch Lý Xác Thực
Các tổ chức tài chính đã tạo ra một bối cảnh khó hiểu nơi các thông tin liên lạc hợp pháp gần như không thể phân biệt được với những thông tin gian lận. Nhiều ngân hàng gọi cho khách hàng về hoạt động tài khoản đáng ngờ, sau đó ngay lập tức yêu cầu chi tiết xác minh cá nhân mà không thiết lập độ tin cậy của chính họ trước. Thực hành này trực tiếp mâu thuẫn với lời khuyên bảo mật mà chính những tổ chức này cung cấp cho khách hàng của họ.
Khi một cuộc gọi ngẫu nhiên yêu cầu tôi xác nhận một số thông tin, tôi luôn trả lời rằng tôi sẽ không chia sẻ bất kỳ thông tin cá nhân nào vì tôi không biết họ là ai.
Một số ngân hàng tiến bộ đã nhận ra vấn đề này và áp dụng các thực hành tốt hơn. Họ hướng dẫn khách hàng cúp máy và gọi số chính thức được liệt kê trên thẻ ngân hàng hoặc trang web của họ, thay vì tin tưởng các cuộc gọi đến. Tuy nhiên, những tổ chức này vẫn chiếm thiểu số.
Lỗi Bảo Mật Kỹ Thuật
Việc triển khai kỹ thuật các biện pháp bảo mật ngân hàng thường tạo ra sự nhầm lẫn bổ sung. Nhiều ngân hàng quốc tế sử dụng nhiều tên miền cho các dịch vụ khác nhau, khiến khách hàng khó xác định các thông tin liên lạc hợp pháp. Yêu cầu mật khẩu thường bỏ qua các thực hành bảo mật hiện đại tốt nhất, với một số tổ chức lớn giới hạn mật khẩu chỉ sáu chữ số hoặc cắt ngắm các mật khẩu dài hơn một cách im lặng.
Các ứng dụng ngân hàng di động đôi khi từ chối chạy trên các thiết bị có cài đặt một số trình duyệt nhất định, tuyên bố lo ngại về bảo mật trong khi đồng thời yêu cầu quyền truy cập quá mức cho các chức năng cơ bản. Những biện pháp bảo mật không nhất quán này huấn luyện người dùng bỏ qua hoặc phớt lờ các cảnh báo bảo mật hợp pháp.
Ví dụ về các Thực hành Bảo mật Ngân hàng Kém:
- Hạn chế Mật khẩu: Một số ngân hàng lớn chỉ giới hạn mật khẩu với 6 chữ số
- Nhiều Tên miền: Ngân hàng sử dụng các tên miền khác nhau cho nhiều dịch vụ mà không có kết nối rõ ràng
- Cắt ngắn Âm thầm: Mật khẩu bị rút ngắn mà không thông báo cho người dùng
- Quyền truy cập Ứng dụng Quá mức: Ứng dụng ngân hàng yêu cầu quyền truy cập camera và toàn bộ hệ thống tập tin
- Hạn chế Trình duyệt: Ứng dụng từ chối chạy khi có một số trình duyệt nhất định được cài đặt
Hậu Quả Pháp Lý và Tài Chính
Hậu quả của những thực hành kém này mở rộng ra ngoài sự nhầm lẫn của khách hàng. Các tòa án Đức đã bắt đầu buộc các ngân hàng chịu trách nhiệm về tổn thất lừa đảo qua email khi khách hàng không thể phân biệt một cách hợp lý giữa các thông tin liên lạc hợp pháp và gian lận. Nếu tài liệu marketing của chính ngân hàng giống với các nỗ lực lừa đảo qua email, tòa án có thể thấy khó khăn để chứng minh sự bất cẩn của khách hàng khi rơi vào các trò lừa đảo tương tự.
Tiền lệ pháp lý này có thể có những tác động tài chính đáng kể đối với các ngân hàng tiếp tục sử dụng các thực hành marketing trông đáng ngờ. Các công ty bảo hiểm cũng có thể bắt đầu xem xét kỹ lưỡng những thực hành này khi đánh giá bảo hiểm cho các tổn thất liên quan đến gian lận.
Tiền lệ pháp lý tại Germany:
- Các tòa án buộc ngân hàng phải chịu trách nhiệm về thiệt hại do lừa đảo phishing khi các thông tin liên lạc chính thức giống như lừa đảo
- Khó khăn trong việc chứng minh "sơ suất nghiêm trọng" của khách hàng khi chính tài liệu của ngân hàng trông đáng ngờ
- Tác động tiềm tàng đến bảo hiểm cho các ngân hàng sử dụng phương thức liên lạc kém chất lượng
Con Đường Phía Trước
Giải pháp đòi hỏi sự phối hợp giữa các phòng ban marketing, IT và bảo mật trong các tổ chức tài chính. Các ngân hàng nên sử dụng các tên miền phụ chính thức cho tất cả thông tin liên lạc với khách hàng, triển khai thương hiệu trực quan nhất quán trên tất cả các kênh, và tránh yêu cầu thông tin nhạy cảm thông qua các trang web bên ngoài hoặc thông tin liên lạc không được yêu cầu.
Một số tổ chức đã bắt đầu áp dụng các chiến lược thương hiệu kỹ thuật số thống nhất. Chính phủ Đức gần đây đã ra mắt hệ thống tên miền gov.de được tiêu chuẩn hóa để giải quyết các vấn đề độ tin cậy tương tự với thông tin liên lạc chính thức. Các ngân hàng có thể hưởng lợi từ việc triển khai các phương pháp tương tự cho tương tác khách hàng của họ.
Tình hình hiện tại tạo ra một môi trường nguy hiểm nơi khách hàng phải lựa chọn giữa việc tuân theo các thực hành bảo mật tốt nhất và phản hồi các thông tin liên lạc ngân hàng hợp pháp. Cho đến khi các tổ chức tài chính điều chỉnh các thực hành marketing của họ với lời khuyên bảo mật của họ, họ sẽ tiếp tục làm suy yếu chính giáo dục an ninh mạng mà họ tuyên bố hỗ trợ.
Tham khảo: My Bank Keeps On Undermining Anti-Phishing Education