- Bankenes e-poster ser ut som phishingen de selv advarer mot

Forsker mener bankene har mye av ansvaret for at vi lures av svindel.
Forsker mener bankene har mye av ansvaret for at vi lures av svindel.
Artikkelen fortsetter under annonsen

Forsker mener bankene har mye av ansvaret for at vi lures av svindel.

Denne artikkelen er over ett år gammel og kan innholde utdatert informasjon

Artikkelen fortsetter under annonsen
Hvem betaler om du lures av phishing?

  • - Om kunden åpenbart har vært uforsiktig, kan det være kundens ansvar. Ellers er det vårt, sier kommunikasjonssjef Leif-Kjartan Bjørsvik i Skandiabanken til Dinside.
  • At man lures av phishing er ikke nødvendigvis nok, i seg selv, til å ende med regninga.
  • Verre er det om du for eksempel aktivt går inn og godkjenner en falsk regning med BankID.

«Ikke bit på kroken» fortalte Skandiabanken i sitt nyhetsbrev nylig.

E-posten ba kundene følge en lenke for å få tips om hvordan man unngår å bli lurt av svindel som phishing.

Ironisk nok er det første tipset Skandiabanken gir, etter at du har trykket på lenken de selv oppgir: «Unngå lenker». Lenken i nyhetsbrevet er dessuten svimlende 192 tegn lang, og viser til domenet «tr.anpdm.com».

Da er det greit å minne om et annet vanlig sikkerhetstips fra både banker og nettsider som Dinside:

Aldri trykk på lange og rare lenker som går til andre adresser enn bankens. - Bankene sier stadig at vi ikke må gå på phishing, for banken ville aldri gjort sånn og slik. Samtidig sender de ut e-poster som er til forveksling lik phishing. Det er utrolig fiffig, sier forsker Åsmund Ahlmann Nyre ved Sintef IKT til Dinside.

Artikkelen fortsetter under annonsen
Artikkelen fortsetter under annonsen

Les også: Hva er phishing, og hvordan kan jeg unngå det?

Overraska og oppgitt

Han kaller det fiffig, men synes først og fremst det er ironisk, dobbeltmoralsk og potensielt dårlig gjort overfor kunder som blir lurt av svindlere. - Bankene hevder forbrukeren er idioten, men samtidig gjør de ikke noen ting for å hjelpe dem med å se forskjellen. Selskapene sender ut phishing-liknende e-poster hver uke, og forventer at folk ikke skal gå på phishing, fortsetter Nyre.

Flere banker har i tillegg tredjeparter som sender ut e-postene for dem, der oppgitt avsender dermed ikke er banken selv. Et klassisk phishing-tegn. Noen gir også direktelenker til innlogging i nettbanken. Også dette er et tegn på phishing.

- Jeg blir stadig overraska og oppgitt, sukker Sintef-forskeren.

Artikkelen fortsetter under annonsen
Artikkelen fortsetter under annonsen

«Du er ikke idiot!»

- Synes du derfor bankene må ta noe av ansvaret for at folk går på phishing?

- Ja, det synes jeg. Alle bedrifter som sender ut slike e-poster er med på å normalisere den formen for kommunikasjon. Jeg tenker derfor at de har ansvaret for å gjøre det enkelt for brukeren å se forskjellen, svarer Nyre.

Artikkelen fortsetter under annonsen

- Man er ikke idiot om man går på phishing. Kanskje bare litt ubetenksom. Kanskje ikke det engang. Kanskje man er vant til det, fordi bankene har vært med på å gjøre dem vant til det.

Les også: Derfor skiller ikke BankID mellom store og små bokstaver i passordet ditt

Fremmed avsender

- En gang sendte vi ut et nyhetsbrev med emnefeltet «Vi er bankvinneren!». Vi ville fortelle at vi hadde vunnet en pris, men tenkte oss ikke om, og veldig mange oppfatta den som spam, forteller kommunikasjonssjef Leif-Kjartan Bjørsvik i Skandiabanken til Dinside.

- Det viser at kundene våre er veldig våkne og bevisste, men var også en tankevekker for oss. Vi må også være bevisste.

Derfor har Skandiabanken sluttet å sende ut nyhetsbrev via en ekstern leverandør, slik at banken nå står som avsender. De lenker heller ikke direkte til innloggingssider. Dessuten er banken åpen for å se på metoder for å unngå lange og rare lenker. Men for å spore hva kundene deres klikker på – og det vil de – må lenkene være i slik i dag.

Artikkelen fortsetter under annonsen

Språk ikke alltid nok

- Ville du selv gitt tipset om å unngå lange og rare lenker?

- Jeg mener du kan se at våre lenker er trygge, selv om de er lange med masse tall og bokstaver. Jeg mener det er implisitt at det er en trygg lenke, svarer Bjørsvik.

Artikkelen fortsetter under annonsen

Bjørsvik mener nemlig phishing aldri likner på deres egne e-poster. Blant annet på grunn av dårlig språk. Samtidig: Det siste eksempelet Dinside skrev om, en falsk spørreundersøkelse i Danske Bank sitt navn, hadde svært få skrivefeil. Og flere bankkunder ble også lurt.

Nyre i Sintef mener derfor det burde være et alternativ å slutte helt med lenker i e-poster fra banker. Spesielt fordi moderne phishing aldri spør om sensitiv informasjon i selve e-posten (slik bankene heller ikke gjør), men i stedet på nettsidene den lenker til (slik enkelte banker også gjør). Skatteetaten lenker ikke til noe som helst i sine e-poster, og sier på nettsidene sine at e-poster med lenker derfor er falske. Dermed kan de også gi tipset «trykk ikke på lenker» med mindre dobbeltmoral enn Skandiabanken.

Artikkelen fortsetter under annonsen

LES OGSÅ: Hvordan får svindlere tak i e-post-adressa mi?

Vil fortsatt lenke, for å selge

- Er det aktuelt for dere å ikke ha lenker i e-postene deres?

- Skatteetaten er en ren servicetjeneste. Vi har jo i tillegg ting vi vil selge, og vil lede kundene rett til salgsdisken. Det er grunnen til at vi lenker, svarer Bjørsvik i Skandiabanken.

- Men er dere da villige til å ta noe av ansvaret for at folk går på phishing?

- Jeg er ikke enig i at disse e-postene likner hverandre. Phishing er stort sett skrevet med Google Translate og det er tydelig at disse ikke kommer fra en proff, norsk aktør. - Men ja; bankene har ansvaret for sikkerheten til kunden og banken selv. Og det ansvaret utøver vi hele tida, avslutter Bjørsvik.

Hva synes du? Si din mening i stemobjektet eller i debatten under!