“Actualizarea datelor bancare”. Sau cum rămîi fără bani dacă nu eşti atent la mailuri

Încercam să fac un semi-bilanţ al mailurilor care-mi umplu Spam-ul în ultima vreme. Sar peste eternele medicamente pentru boli psihice, soluţii pentru potenţă şi prelungiri şi altele, că astea-s deja banale. Trec direct la ce mă doare: Banca Transilvania şi BancPost mă invită să-mi actualizez datele online, că altfel îmi blochează conturile. În primul rînd, nu sînt client al celor două, deci n-am motive. În al doilea rînd, dacă n-ar exista filtrele de spam, probabil că mulţi români ar rămîne cu conturile goale. Se cheamă phishing. Iar aici ne luăm de bănci.

Clienţii băncilor Transilvania, Raiffesein Bank şi BancPost sînt, cu precădere, ţintele tentativelor de phishing. Desigur, aşa cum bine-i şade oricărei instituţii bancare ce se respectă, e ţeapa fraierilor care-şi ţin banii în conturile lor, ce sens are să-i informeze şi pe ei cineva că banca nu le va cere niciodată datele personale prin mail sau prin formulare pe diverse site-uri obscure?

Cum te foloseşti de Microsoft

Pe 31 martie, hop!, primul mail. De la Banca Transilvania, în care mi se explică despre “îmbunătăţirea certificatelor digitale de autentificare obligatorie a tuturor clienţilor“. Altfel spus, citez, “înlocuirea vechilor certificate de autentificare digitală SSL 128 biţi cu certificatele Microsoft UCI“. Zău?

Noua soluţie de securitate reprezintă metoda cea mai eficientă împotriva încercărilor frauduloase de a replica elementele de siguranţă necesare accesării aplicaţiei BT24 Online Banking, fiind recunoscută pe plan internaţional ca cea mai sigură metodă de codificare a datelor transmise între serverul băncii şi client (…). Astfel este obligatorie înlocuirea certificatelor de autentificare Microsoft SSL cu noile certificate Microsoft UCI începand cu data de 31.03.2010 deoarece accesul, în aplicaţia  BT24 Online Banking, nu va mai fi posibil folosind vechile metode de autentificare.

Desigur, toată povestea de mai sus este o păcăleală cît se poate de mare. Şi, desigur, cineva din presă a luat de bună “ştirea” şi a scris despre asta. Comunicaţii Mobile, mai exact. Bineînţeles, redactorul nu şi-a bătut capul să se uite în headerul mailului şi a încasat-o. Mă întreb dacă are cont la BT şi dacă chiar şi-a “actualizat” certificatul de autentificare de pe un site suspect.

Trecînd peste îngustimea celor de la Banca Transilvania, care nu sînt nici pe departe interesaţi să îşi educe clienţii, trecem la cealaltă bancă vizată de pierderea clienţilor: BancPost.

Actualizează-ţi datele dacă nu vrei să-ţi închidem contul!

Tot pe 31 martie, BancPost mă “informează” că se apropie termenul limită în care pot să-mi actualizez datele dacă nu vreau să-mi fie restricţionat accesul la cont. Şi, din nou, citez din mailul primit:

Această acţiune este în conformitate cu Legea nr. 675/2002 cu modificările şi completările ulterioare şi cu Regulamentul Băncii Naţionale a României nr. 9/2008 privind cunoaşterea clientelei în scopul prevenirii spălării banilor şi finanţării terorismului, cu modificările ulterioare. Termenul legal pînă la care acţiunea de actualizare şi completare a datelor trebuie finalizată pînă la 3 apriliee 2010. Începînd cu această dată, accesul clienţilor la conturile proprii va fi restricţionat pînă cînd aceştia vor da curs solicitării de furnizare/actualizare a datelor personale.

A se remarca citarea unor acte oficiale, lege şi regulament BNR. Parcă te sperie, nu-i aşa? Mai că te tentează să dai click pe link, să scapi de-o grijă. Doar că, de fapt, nu faci altceva decît să scapi de nişte bani din cont. Şi povestea nu se limitează doar la actualizarea datelor. Pe 3 aprilie, alt mail, tot “de la BancPost”, tot de la departamentul “Fastbanking”. Aceeaşi placă, desigur, dar cu alt subiect – “Actualizarea informaţiilor“, după ce primul era “ATENŢIE! BancPost vă informează“. Şi încă un mail pe 12 aprilie, tot despre asta. Aşa-mi trebuie dacă sînt un client nesuferit care nu urmează sfaturile băncii, nu?

Cîştigă o gaură în cont mare cît un Mini Cooper!

Ca să fie tacîmul complet, în aceeaşi perioadă, tot BancPost rulează un super concurs, pentru posesorii de carduri Maestro Millenium, cu nişte “multe, multe alte premii” – cele de mai jos sînt din categoria “premii instant surpriză!”:

  • 10 vouchere Sephora, fiecare in valoare de 600 RON, TVA inclus
  • 10 DVD Player Pioneer DV610AVK, fiecare in valoare de 900 RON
  • 10 laptopuri Dell Studio 1537, fiecare in valoare de 6088 RON
  • 10 TV plasma Panasonic TX-P42S10E, fiecare in valoare de 5778,25 RON
  • 10 premii in bani in valoare de 3000 RON fiecare

Dar există şi mega-premiile prin tragere la sorţi, să nu uităm de ele:

  • un automobil Mini Cooper, in valoare de 87,822 RON
  • un apartament in valoare de 100.000 EURO
  • un voucher la Baneasa Shopping City, in valoare de 5,000 RON

Super-concurs! Inscrie-te, tot ce trebuie sa faci este un simplu click pe linku de mai jos“, ca să zic aşa, citîndu-l pe copywriterul “campaniei” la cardurile Maestro Millenium. Ca idee, subiectul mailului primit de la adresa concurs@premii.com este “Concurs: Castiga o masina Mini Cooper si multe, multe alte premii !“.

Ce zic băncile

Am încercat să cer nişte reacţii de la cele trei bănci amintite mai sus. După cum mă aşteptam, la Banca Transilvania nu a vrut să-mi răspundă nimeni. La Raiffeisen, mi s-a explicat că mi se răspunde la întrebări doar dacă le trimit pe mail. Şi ştiu şi de ce: nu le convine să le adresezi întrebări la care s-ar putea să se bîlbîie, aşa că merg pe metoda clasică, unde pot controla răspunsurile, chit că îţi transmit trei fraze scrise într-un limbaj de lemn, tipic piaristic şi complet irelevant.

Ce am întrebat eu? 1. Care e, în linii mari, strategia de comunicare anti-phishing?; 2. Care sînt măsurile de educare a clienţilor astfel încît să nu rămînă cu conturile goale?; 3. Ar fi dispuşi să contribuie financiar la susţinerea unei campanii de educare a clienţilor, alături de celelalte bănci, care să se vadă în primul rînd pe TV?

Iată ce mi-a răspuns Corina Vasile, PR Director Raiffeisen Bank:

Mesajul nostru anti-phishing este unul simplu: banca nu solicită niciodată pe e-mail date personale sau informaţii confidenţiale. Codul PIN (exemplul clasic de informaţie confidenţială solicitată de phisheri) nu trebuie spus nimănui, niciodată, sub nici un pretext. În toate punctele de interacţiune cu clientul şi cu publicul sunt disponibile informaţii şi alerte despre ce trebuie făcut ca să te pazeşti de phishing (site internet, call-center, mesaje securizate pe canalul de internet banking, personalul din agenţii, flyere, scrisori personalizate către clienţi, comunicate de presă etc.). Trebuie spus că educarea şi avertizarea clienţilor sunt eficiente în special împotriva phishing-ului clasic (site clonă) şi împotriva ingineriei sociale. Măsurile de educare trebuie completate cu măsurile tehnice de combatere a fraudei online, mai ales în cazul tehnicilor mai elaborate: troiani, pharming, man-in-the -browser etc.

Care va să zică, nimic. A luat-o frumos, disciplinat, pe arătură. Sînt absolut convins că scrie mare, pe rzb.ro, să nu dai datele cardului nimănui, chiar pe prima pagină! Aha, sigur că da! Cînd găsiţi, daţi-mi şi mie un link, vă rog. Bonus: aia cu “ingineria socială” e fenomenală!, sînt convins că ţaţa Frosa, de la Crăcăuanii din Deal, cînd o să-mi citească blogul, o să ştie exact la ce se referă Corina Vasile.

Ce mi-a răspuns Liliana Ciobănaşu, şefa comunicării de la BancPost? Că nu poate să facă publică strategia de comunicare anti-phishing, că ar fi informaţii aparent inofensive, dar care pot provoca pagube. Totuşi, lăsînd aberaţia asta deoparte, BancPost îşi anunţă clienţii prin toate mijloacele lor: extrase de cont, chitanţe, la ghişeu, la bancomat, în aplicaţia de online banking. Ah, da, şi cică la ei n-a existat nici un caz de phishing. Mda, şi eu aş fi răspuns fix la fel, că doar n-oi fi prost să fiu transparent, să-mi asum nişte probleme şi să arăt că sînt deschis la sugestii şi la critică constructivă, care să-mi aducă alţi clienţi.

Ce s-ar putea face?

Plus că “noi avertizăm, dar dacă clientul, totuşi, este victima unui atac de phishing, este strict responsabilitatea lui“. Bineînţeles, cum altfel? Şi atunci, mă întreb: n-ar fi mai simplu să se pună mînă de la mînă, bancă de la bancă, şi să facă o campanie media de informare asupra riscului “actualizării datelor direct de pe net“? Păi, nu, costă şi… e criză, iar cîştigurile din dobînzile practicate la credite, de 0,001 la sută, n-ajung nici de plata salariilor angajaţilor, nu-i aşa? Serios vorbind, cui îi pasă?

Nu de alta, dar îmi închipui că nu e foarte greu să faci un pic de lobby la Consiliul Naţional al Audiovizualului, care să aprobe un mesaj de genul “Băncile nu îţi vor cere niciodată datele personale, ale contului sau ale cardului, prin telefon sau prin e-mail” sau orice alt mesaj similar care să înlocuiască oricare dintre bălăriile cu “Salvaţi planeta!” şi “Consumul exagerat de sare şi de zahăr dăunează grav creierului mijlociu“, pe care nimeni nu le bagă în seamă. Desigur, alături de o campanie de informare serioasă, cu nişte spoturi agresive, care să-i sperie pe cei gata-gata să dea datele pe mail, dar care să explice care-i diferenţa dintre phishing şi e-commerce.

Dar, revin, cui îi pasă?

23 comentarii

  1. Cu tot respectul pentru ce scrii matale, eu client al BT fiind iti spun ca primesc mesaje destul de educative legate de cum sa nu deschid astfel de tampenii… Plus ca atunci cand am forwardat astfel de mesaje de “phising” catre adresa lor de support, au raspuns foarte prompt si la obiect.

    Pe site-ul lor de eBanking e explicat in destul de mult detaliu ce trebuie sa urmaresti sa nu ti-o furi… Mai trebuie insa si minte la unii oameni.

    Inteleg ca esti pornit pe cruciade, dar as zice ca ar trebuie sa iti faci temele inainte sa arunci cu noroi.

    BRD nu cunosc, nu ma bag.

  2. am cont la BT de vreo caiva ani, am si internet banking.
    de fiecare data cand ma loghez imi apare ditamai fereastra in care ma anunta tot ce spui tu ca ar trebui sa ma anunte: ca NU imi cere niciodata datele pe mail, ca sa fiu atnet ce fac cu datele samd. Tot tacamul pentru “educarea” celor care inca nu stiu cu ce se mananca phishing-ul.

  3. @Alex: Pai e simplu: eu nu trimit mailuri direct catre ei, ci trimit din aplicatia lor, fiind autentificat prin certificat/user/parola.

    Si atunci raspund foarte repede, si corect.

    De asta iti zic ca poate ar tb sa studiezi un pic mai in detaliu problema, daca vrei sa te ia in serios si sa iti dea replica.

    Mi se pare normal sa nu raspunda la orice mail (eu nu as da informatii “la liber” pe mail necriptat/neautentificat nimanui). E ca si cum ti-ar striga unul din drum sa deschizi usa si tu faci asta fara sa vezi de fapt cine e…

  4. sa zicem ca mergi intr-un orasel din Ro, inchiriezi baru` din centru, pui un geam termopan si apoi o reclama mare: “AICI SE REACTUALIZEAZA DATELE ORICAREI BANCI IN MAXIM 5 MINUTE”, angajezi 3 copilasi de 16 ani, si le dai niste aparate de clonat cardurile. cine intra e preluat de o copila in fusta scurta si aburit , apoi i se copiaza buletinu, si se completeaza un formular primitiv (printre care si pinu) si i se copiaza cardu, dupa care poate pleca “linistit”.
    sa zicem ca esti preten cu “sefu de post”.

    o tii asa 2 zile, apoi inchizi pravalia.
    ce zici, s-ar prinde tzatza floarea ca e facatura?

  5. Confirm ce spune Catalin

    In plus, pentru actualizarea datelor am fost anuntat tot prin mesageria securizata a aplicatiei de internet banking, unde se preciza clar ca pentru actualizare sa ne prezentam la ghiseul bancii (nu online, nu prin e-mail, nu prin telefon, nu altcumva). Am fost la cel mai apropiat ghiseu al bancii (nici macar nu a trebuit sa merg la unitatea unde imi era deschis contul) si totul a durat maxim 5 minute.

    In alta ordine de idei, sînt convins că ţaţa Frosa, de la Crăcăuanii din Deal, care sta toata ziua pe internet banking (wireless probabil), sa-si actualizeze datele despre contul bancar in care isi tine pensia de la CAP, o sa fie foarte documentata daca-i trimite Banca X e-mail-uri si ce trebuie sa faca ca sa se protejeze contra spam-ului si phishingului.

    Atata timp cat majoritatea phishing-ului se produce prin e-mail, cred ca tine de educarea utilizatorilor de internet cum si in ce fel trebuie sa fie atenti cu datele lor (si nu ma refer acum doar la phishing).

    O politica comuna de educare a populatiei este necesara si ar fi binevenita. Ea ar trebui desfasurata in mod continuu, la fiecare contact al clientului cu banca. Atunci cand merge la ghiseu, atunci cand isi primeste corespondenta, atunci cand il suna banca sa-l intrebe de sanatate etc. .

    Iar daca vrei sa obtii informatii clare de la o institutie (fie ea si bancara) cel mai util este sa scrii frumos o scrisoare, in care te prezinti cine esti, pe cine reprezinti si ce doresti, cui te adresezi si cu ce problema, sa te duci pana la ei si sa o depui la Registratura, de unde sa ceri un numar de inregistrare. In felul asta ii responsabilizezi si pe ei si ai dovada clara ca ai cerut informatii. Iar daca nu primesti un raspuns in decurs de cateva saptamani poti sa le trimiti o a doua scrisoare in care faci referire la cererea initiala si la slaba comunicare cu clientii.
    Daca doar mergi pana la un ghiseu si dai peste o functionara care nu stie nimic altceva decat sa scrie chitante, evident ca asa o sa si primesti raspuns.

  6. @Alex Mihaileanu

    http://www.raiffeisenonline.ro/securitate.htm

    …unde si doamna Frosa, daca este client de Internet banking/e online/citeste-scrie pe bloguri, afla cum poate sa se apere de phishing.

    • @Corina Vasile: intrebarea este urmatoarea: exista vreun link vizibil, pe undeva, pe prima pagina, care sa directeze acolo? O trimitere serioasa, un un link intr-un colt de pagina, anti-uzabilitate, pe care tre’ sa-l cauti cu lupa…

  7. man-in-the-browser? huh? Sa inteleg ca sta e mostra de inginerie sociala directionata catre femei, cea orientata catre barbati fiind woman-in-the-browser?

    te-ai gindi ca macar un dictionar de termeni primesc si aia de la PR. Bine ca nu a zis man-in-the-middle-of-the-browser :))

  8. Problema mea este ca am plecat din tara de 1 luna. Si voi reveni peste alte 5. Mi-e cam peste mana sa dau mia de euro sa vin in tara cat sa actualizez datele la ghiseu. Ce fac astea 5 luni? Raman fara conturi ca in SUA nu exista bancile in cauza?

  9. esti cam terminat si am impresia ca scrii doar in incercarea de a te face auzit … eu unul am relatii si cu rzb si cu BT si personal m-am saturat de mesajele lor referitoare la anti-phishing.. daca esti unul din care si-au luat tzeapa cu acest gen de mailuri nu pot decat sa te compatimesc.. dar nu incerca sa strici imaginea companiilor respective doar pentru ca nu ai habar despre ce vorbesti..

    referitor la “brd nu cunosc nu ma bag” … de ce nu ai incercat si la ei daca tot vrei sa faci o analiza obiectiva?

    asta e doar o incercare ieftina de denigrare a unor nume.. din pacate se pare ca tocmai incercarile ieftine au succes in ziua de azi .. bv tie

  10. @Alex Mihaileanu.
    Esti rautaticios.
    De ex. pe rzb.ro exista un ABCdar bancar, iar acolo clientul este informat despre acest lucru.

    In timp ce scriam am intrat pe : http://www.raiffeisenonline.ro/ si in stanga jos e un semn mare cu ATENTIE… – Deci scrie

    La bancpost.ro e la fel. Cand intri in internet banking ai pe pagina un link cu prevenirea atacurilor de tip phising

    Banca Transilvania, cand intri in https://bt24.btrl.ro/bt24/ ai un link catre intrebari frecvente si acolo ai informatiile
    http://www.bancpost.ro/Persoane-fizice/Alte-servicii/Internet-Banking.html

    Daca tu vrei ca pe prima pagina sa fie asa ceva este un pic deplasat. Daca nu ai chef si timp sa citesti este problema ta.
    Documentarea pentru comentariu a durat maxim 3 min pentru toate 3 bancile.
    Concluzia mea este ca informatiile sunt disponibile si sunt usor de accesat.
    Poate ca ar trebui sa-ti ceri un pic scuze fata de cei pe care ii ataci in articol.

  11. Este foarte adevarata si corecta sesizarea din articol. Nu cunosc restul bancilor insa din pacate am fost victima unui astfel de atac, in calitate de client Raiffeisen.
    Mentionez ca la semnarea contractului pentru Raiffeisen direct nu am fost atentionata de catre personalul bancii de existenta acestor atacuri, care imi erau total necunoscute. In contractul stufos pe care l-am semnat erau mentionate unele aspecte, insa doar legate de securitate si raspundere, iar pe site erau disponibile aceste informatii daca accesai link-ul securitate. La foarte scurt timp dupa activarea serviciului am primit un astfel de mesaj prin mail ( ceea ce nu s-a intamplat pana in acel moment, acest lucru fiind o dovada clara ca exista probabil scurgeri de informatii din banca ) la care am reactionat. Mi-au disparut din cont imediat 2500 Ron, care nu au putut fi recuperati in nici un mod.

    Personal consider acest serviciu al Raiffeisen foarte slab,foarte prost securizat, cea mai clara dovada fiind multitudinea acestor atacuri. Bineinteles ca am renuntat la acest serviciu si nu recomand nimanui sa-l foloseasca. Fiind clienta si a unei alte banci de mai multa ani, nu am avut niciodata astfel de probleme, sistemul online fiind mult mai bine conceput si securizat, pe baza de Digipass.

  12. de situl asta de ziceti? https://e-bcr.bcr.ro/smartoffice/logon.htm. eu nu stiu ce sa cred.

  13. @ Dojo

    http://en.wikipedia.org/wiki/Man_in_the_Browser

    …dupa cate zice wikipedia, pare un troian unisex:-)

    @ Alex Mihaileanu

    presupun ca intrebarea e retorica, altfel nu e nevoie de lupa sa dai click pe un triunghi cat casa cu semn de exclamare in mijloc, si inca plasat pe home page.

  14. @Corina Vasile.
    Eram pe cale sa postez si eu ceva legat de Man in the Browser, dar mi-ai luat-o inainte. Chiar au fost cazuri de atacuri de tip Man in the Browser asupra bancilor, dar numarul lor este destul de mic.

    @ Alex Mihaileanu.
    Chiar daca in graba am scris cu greseli in comentariul anterior (care inca asteapta moderarea), ideea e ca informatia exista si este destul de usor de accesat. Nu stiu de ce ai scris articolul si de ce nu ai taria sa retractezi cumva sau sa nuantezi.

    PS. Sper ca acest comentariu sa fie postat, daca primul nu a ajuns inca.
    Imi cer scuze anticipat pentru greselile strecurate in primul comentariu.

  15. Salutare,
    Referitor la BT eu chiar le iau apararea. Sunt profesionisti si programul lor chiar isi face treaba intr-un mod util clientului (si, implicit, oferind securitatea necesara unor tranzactii).

    Tata Frosa, daca nu stie sa foloseasca calculatorul, nu ar trebui sa se foloseasca de internet banking. Am si eu un prieten care a patit la fel, mail de la Raiffeisen cum ca ar trebui sa-si reimprospateze datele. El nici n-a studiat emailul cum trebuie si a dat datele, apoi i-au disparut niste bani din cont. Nu e toata lumea de buna credinta. Iar cei din banci iti spun intotdeauna sa ii suni/sa le studiezi atent pagina web daca ai nelamuriri.

    Chiar sa nu ai nici un fel de dubii atunci cand primesti un mail care iti cere datele personale?! Oamenii ar trebui sa stie singuri sa fie precauti, nu sa fie invatati de cei de la banca.

    PS: in programul de e-banking a celor de la BT apare la fiecare logare un mesaj mare in care te anunta sa nu arunci cu banii pe strada. Dar daca nu citesti…platesti. E simplu.
    PS2: nu PR-ul conteaza in relatia cu bancile… ci faptele, iar pe mine faptele ma fac clientul BT in continuare :-)

  16. @Alex…
    E de bun simt sa fie in aplicatia lor de internet banking pentru ca cele mai multe atacuri au loc asupra acestor sisteme.

    http://www.raiffeisenonline.ro/

    Cum am spus… esti pricinos si mai mult nu ai taria de caracter sa recunosti ca ai facut o gafa cu acest articol.
    Partea de documentare a fost un pic cam ineficienta, cam la fel ca si in cazul ziaristului caruia ii dadeai in cap.

    ;)

  17. Felicit initiativa dlui Mihaileanu, insa as dori sa-si extinda atentia si asupra gropilor de de strazi.
    De pilda, in Bucuresti, gropile mai adanci nu sunt semnalizate suplimentar ca atare, si de luni de zile dau in gropi. E foarte jenant. Chiar ma gandeam sa-mi deschid cont bancar si ma intrebam care ar fi IQul minim incat sa nu ofer cuiva care se pretinde de la banca PINul sau numarul cardului ?
    Dar daca mi-l cere nevasta ?

  18. Cea mai tare chestie mi s-a intamplat la fostul servici: tot primeam pe adresa de office@ mailuri de phishing de la Raiffeisen. Cum firma n-avea conturi acolo, iar adresa de office@ era listata pe tot felul de site-uri de promovare, le-am bagat in spam si mi-am vazut de treaba.
    La o saptamana dupa ce au inceput sa curga mailurile (primeam cred ca 5 mailuri diferite pe zi), suna un nene de la Raiffeisen si intreaba daca firma la care lucram n-ar vrea sa treaca toate conturile la ei, ca au nu stiu ce promotie si bla bla. I-am spus politicos ca avand in vedere atacurile de phishing din ultima saptamana, nu suntem interesati.
    Reactia lui: “Aveti dreptate, dar nu este vina noastra, noi incercam sa le eliminam, dar nu reusim.” How cool is that? :))

  19. Solutii sunt, nu se vrea. Si, ce e mai trist, sunt deja ani de la primele atacuri de acest tip, care au si avut succes.
    Dar, dobanzile de 0,0001 % sunt prea mici ca sa asigure marja de profit necesara acoperirii si a acestui fel de costuri.