TH
TH
เกี่ยวกับเรา
Commerce Media Ventures Sdn Bhd (202401040819 / 1586666-W). All Rights Reserved
Powered by BigGo
ข่าว
การเงิน
ธนาคาร
นโยบายเทคโนโลยี
นโยบายความปลอดภัยทางไซเบอร์

ธนาคารบ่อนทำลายการศึกษาป้องกันฟิชชิ่งด้วยแคมเปญการตลาดที่น่าสงสัย

ทีมชุมชน BigGo
ธนาคารบ่อนทำลายการศึกษาป้องกันฟิชชิ่งด้วยแคมเปญการตลาดที่น่าสงสัย

ธนาคารทั่วโลกกำลังฝึกลูกค้าของตนให้ตกเป็นเหยื่อของการโจมตีฟิชชิ่งโดยไม่ได้ตั้งใจ ผ่านการใช้แนวทางการตลาดที่เลียนแบบกลยุทธ์หลอกลวงทั่วไป กรณีล่าสุดที่เกี่ยวข้องกับธนาคาร German Sparkasse ได้เน้นย้ำให้เห็นว่าสถาบันการเงินที่ถูกต้องตามกฎหมายกำลังบ่อนทำลายการศึกษาด้านความปลอดภัยไซเบอร์ผ่านแคมเปญส่งเสริมการขายที่ออกแบบมาอย่างไม่ดี

อีเมลถูกต้องที่ดูเหมือนการหลอกลวง

ปัญหานี้เริ่มปรากฏขึ้นเมื่อลูกค้าธนาคาร German แห่งหนึ่งได้รับสิ่งที่ดูเหมือนอีเมลฟิชชิ่งแบบคลาสสิก ข้อความดังกล่าวโปรโมตการจับรางวัลโดยใช้ชื่อโดเมนทั่วไปที่ไม่เกี่ยวข้องกับธนาคาร ขอข้อมูลส่วนบุคคลที่ละเอียดอิ่อนรวมถึงรายละเอียด IBAN และใช้ใบรับรอง SSL พื้นฐานจาก Let's Encrypt แทนที่จะเป็นผู้ออกใบรับรองระดับพรีเมียม ลักษณะเหล่านี้เป็นสัญญาณเตือนภัยทั่วไปที่ผู้เชี่ยวชาญด้านความปลอดภัยสอนให้ผู้ใช้หลีกเลี่ยง

ปัญหานี้ขยายไปไกลกว่า Germany ลูกค้าธนาคารในหลายประเทศรายงานประสบการณ์ที่คล้ายกันกับสถาบันการเงินของตน ระบบตรวจจับการฉ้อโกงมักโทรจากหมายเลขที่ไม่ได้ลงทะเบียนและขอให้ลูกค้ายืนยันข้อมูลส่วนบุคคลโดยไม่ได้พิสูจน์ความถูกต้องของตนเองก่อน ธนาคารบางแห่งส่งข้อความสั้นที่มีลิงก์ที่ดูน่าสงสัยไปยังโดเมนของบุคคลที่สาม ในขณะที่บางแห่งใช้หมายเลขโทรกลับที่แตกต่างกันในแต่ละครั้งที่ติดต่อลูกค้า

สัญญาณเตือนด้านความปลอดภัยทางการธนาคารทั่วไปที่เป็นสิ่งที่ถูกต้องตามกฎหมาย:

  • ชื่อโดเมนทั่วไปที่ไม่เกี่ยวข้องกับธนาคาร
  • ใบรับรอง SSL แบบ Let's Encrypt แทนที่จะเป็นใบรับรองระดับพรีเมียม
  • การขอข้อมูลที่มีความละเอียดอ่อนผ่านเว็บไซต์ภายนอก
  • การโทรศัพท์จากหมายเลขที่ไม่ได้ลงทะเบียนเพื่อขอการยืนยัน
  • ข้อความที่มีลิงก์บุคคลที่สามที่ดูน่าสงสัย
  • หมายเลขโทรกลับที่แตกต่างกันสำหรับการติดต่อลูกค้าแต่ละครั้ง

ความขัดแย้งในการยืนยันตัวตน

สถาบันการเงินได้สร้างภูมิทัศน์ที่สับสนซึ่งการสื่อสารที่ถูกต้องแทบจะแยกไม่ออกจากการสื่อสารที่เป็นการฉ้อโกง ธนาคารหลายแห่งโทรหาลูกค้าเกี่ยวกับกิจกรรมที่น่าสงสัยในบัญชี จากนั้นจึงขอรายละเอียดการยืนยันตัวตนส่วนบุคคลทันทีโดยไม่ได้สร้างความน่าเชื่อถือของตนเองก่อน แนวทางปฏิบัตินี้ขัดแย้งโดยตรงกับคำแนะนำด้านความปลอดภัยที่สถาบันเดียวกันนี้ให้กับลูกค้า

เมื่อสายโทรสุ่มขอให้ฉันยืนยันข้อมูลบางอย่าง ฉันมักจะตอบว่าฉันจะไม่แบ่งปันข้อมูลส่วนบุคคลใดๆ เพราะฉันไม่รู้เลยว่าพวกเขาเป็นใคร

ธนาคารก้าวหน้าบางแห่งได้ตระหนักถึงปัญหานี้และนำแนวทางปฏิบัติที่ดีกว่ามาใช้ พวกเขาสั่งให้ลูกค้าวางสายและโทรไปที่หมายเลขอย่างเป็นทางการที่ระบุไว้บนบัตรธนาคารหรือเว็บไซต์ของตน แทนที่จะเชื่อใจสายโทรเข้า อย่างไรก็ตาม สถาบันเหล่านี้ยังคงเป็นส่วนน้อย

ความล้มเหลวด้านความปลอดภัยทางเทคนิค

การนำมาตรการความปลอดภัยของธนาคารมาใช้ในทางเทคนิคมักสร้างความสับสนเพิ่มเติม ธนาคารต่างประเทศหลายแห่งใช้หลายโดเมนสำหรับบริการต่างๆ ทำให้ลูกค้าระบุการสื่อสารที่ถูกต้องได้ยาก ข้อกำหนดรหัสผ่านมักจะเพิกเฉยต่อแนวทางปฏิบัติด้านความปลอดภัยสมัยใหม่ โดยสถาบันใหญ่บางแห่งจำกัดรหัสผ่านให้มีเพียงหกหลักตัวเลขหรือตัดรหัสผ่านที่ยาวกว่าโดยไม่แจ้งให้ทราบ

แอปธนาคารมือถือบางครั้งปฏิเสธที่จะทำงานบนอุปกรณ์ที่มีเบราว์เซอร์บางตัวติดตั้งอยู่ โดยอ้างถึงข้อกังวลด้านความปลอดภัยในขณะเดียวกันก็ขอสิทธิ์เข้าถึงมากเกินไปสำหรับฟังก์ชันพื้นฐาน มาตรการความปลอดภัยที่ไม่สอดคล้องกันเหล่านี้ฝึกให้ผู้ใช้หลีกเลี่ยงหรือเพิกเฉยต่อคำเตือนด้านความปลอดภัยที่ถูกต้อง

ตัวอย่างของแนวปฏิบัติด้านความปลอดภัยของธนาคารที่ไม่ดี:

  • ข้อจำกัดของรหัสผ่าน: ธนาคารใหญ่บางแห่งจำกัดรหัสผ่านให้มีเพียง 6 หลักตัวเลขเท่านั้น
  • โดเมนหลายตัว: ธนาคารใช้โดเมนที่แตกต่างกันสำหรับบริการต่างๆ โดยไม่มีการเชื่อมโยงที่ชัดเจน
  • การตัดทอนแบบเงียบ: รหัสผ่านถูกย่นให้สั้นลงโดยไม่แจ้งให้ผู้ใช้ทราบ
  • สิทธิ์แอปที่มากเกินไป: แอปธนาคารต้องการสิทธิ์เข้าถึงกล้องและระบบไฟล์ทั้งหมด
  • ข้อจำกัดของเบราว์เซอร์: แอปปฏิเสธที่จะทำงานเมื่อมีเบราว์เซอร์บางตัวติดตั้งอยู่

ผลกระทบทางกฎหมายและการเงิน

ผลที่ตามมาของแนวทางปฏิบัติที่ไม่ดีเหล่านี้ขยายไปไกลกว่าความสับสนของลูกค้า ศาล German ได้เริ่มถือธนาคารรับผิดชอบต่อการสูญเสียจากฟิชชิ่งเมื่อลูกค้าไม่สามารถแยกแยะระหว่างการสื่อสารที่ถูกต้องและการฉ้อโกงได้อย่างสมเหตุสมผล หากเอกสารการตลาดของธนาคารมีความคล้ายคลึงกับความพยายามฟิชชิ่งอย่างใกล้ชิด ศาลอาจพบว่าเป็นการยากที่จะพิสูจน์ความประมาทเลินเล่อของลูกค้าในการตกเป็นเหยื่อของการหลอกลวงที่คล้ายกัน

แนวทางตัดสินนี้อาจมีผลกระทบทางการเงินที่สำคัญต่อธนาคารที่ยังคงใช้แนวทางการตลาดที่ดูน่าสงสัย บริษัทประกันภัยอาจเริ่มตรวจสอบแนวทางปฏิบัติเหล่านี้อย่างละเอียดเมื่อประเมินความคุ้มครองสำหรับการสูญเสียที่เกี่ยวข้องกับการฉ้อโกง

แนวปฏิบัติทางกฎหมายใน Germany:

  • ศาลตัดสินให้ธนาคารรับผิดชอบต่อความสูญเสียจากการฟิชชิ่งเมื่อการสื่อสารที่ถูกต้องตามกฎหมายมีลักษณะคล้ายคลึงกับการหลอกลวง
  • ความยากลำบากในการพิสูจน์ "ความประมาทเลินเล่ออย่างร้ายแรง" ของลูกค้าเมื่อเอกสารของธนาคารเองดูน่าสงสัย
  • ผลกระทบด้านประกันภัยที่อาจเกิดขึ้นสำหรับธนาคารที่ใช้แนวทางการสื่อสารที่ไม่เหมาะสม

เส้นทางข้างหน้า

การแก้ปัญหาต้องการการประสานงานระหว่างแผนกการตลาด IT และความปลอดภัยภายในสถาบันการเงิน ธนาคารควรใช้ซับโดเมนอย่างเป็นทางการสำหรับการสื่อสารกับลูกค้าทั้งหมด ใช้การสร้างแบรนด์ภาพลักษณ์ที่สอดคล้องกันในทุกช่องทาง และหลีกเลี่ยงการขอข้อมูลที่ละเอียดอ่อนผ่านเว็บไซต์ภายนอกหรือการสื่อสารที่ไม่ได้รับการร้องขอ

องค์กรบางแห่งได้เริ่มนำกลยุทธ์การสร้างแบรนด์ดิจิทัลแบบรวมศูนย์มาใช้แล้ว รัฐบาล German เพิ่งเปิดตัวระบบโดเมน gov.de ที่มีมาตรฐานเพื่อแก้ไขปัญหาความน่าเชื่อถือที่คล้ายกันกับการสื่อสารอย่างเป็นทางการ ธนาคารสามารถได้รับประโยชน์จากการนำแนวทางที่เปรียบเทียบได้มาใช้สำหรับการโต้ตอบกับลูกค้า

สถานการณ์ปัจจุบันสร้างสภาพแวดล้อมที่อันตรายซึ่งลูกค้าต้องเลือกระหว่างการปฏิบัติตามแนวทางปฏิบัติด้านความปลอดภัยที่ดีที่สุดและการตอบสนองต่อการสื่อสารของธนาคารที่ถูกต้อง จนกว่าสถาบันการเงินจะปรับแนวทางการตลาดให้สอดคล้องกับคำแนะนำด้านความปลอดภัย พวกเขาจะยังคงบ่อนทำลายการศึกษาด้านความปลอดภัยไซเบอร์ที่พวกเขาอ้างว่าสนับสนุนต่อไป

อ้างอิง: My Bank Keeps On Undermining Anti-Phishing Education

ข่าวที่เกี่ยวข้อง