Z instrukcji banku wynika, że może, wbrew ogólnie przyjętym zasadom bezpieczeństwa, wysyłać też klientom SMS-y z linkami do logowania na konto
Jedną z najczęściej wykorzystywanych metod przez cyberoszustów polujących na klientów banków jest tzw. phishing. Metoda ta polega na rozsyłaniu wiadomości e-mail zachęcających pod różnymi pretekstami do zalogowania się na rachunek bankowy. Przy okazji e-maile zawierają link, który prowadzi nie do strony banku, tylko do witryny łudząco podobnej do oryginału i będącej we władaniu przestępców. Podanie na niej loginu i hasła do rachunku jest równoznaczne z tym, że poznają je także złodzieje.
Jedną z podstawowych zasad bezpieczenego korzystania z bankowości elektronicznej jest wystrzeganie się klikania w linki otrzymywane od przypadkowych nadawców wiadomości elektronicznych. Inna zasada mówi, by unikać logowania się na rachunki na stronach otwieranych po przekierowaniu z linków, a wykonywać tę czynność wyłącznie po samodzielnym wpisaniu adresu banku w przeglądarce. Mówi o tym między innymi poradnik Związku Banków Polskich.
W przeszłości kilka razy zdarzyło się jednak, że bankowcy rozesłali do swoich klientów korespondencję, w której znalazły się linki prowadzące do serwisu transakcyjnego. Zwykle działo się to jednak przez pomyłkę. Parę miesięcy temu z takiej wpadki tłumaczył się m.in. Alior. Tego rodzaju sytuacje przytrafiły się także Nest Bankowi czy Citi Handlowemu. Pisał o tym swego czasu serwis Niebezpiecznik.
Okazuje się jednak, że w przypadku Handlowego to nie była pomyłka, a w przyszłości jego klienci mogą spodziewać się kolejnych e-maili oraz SMS-ów z linkami do logowania. Świadczyć o tym może instrukcja, jaka znalazła się na stronie tej instytucji. Bank tłumaczy tam, w jaki sposób rozpoznać, czy e-mail z linkiem do logowania na konto jest prawdziwy. Zobaczcie zresztą sami – instrukcja znajduje się tutaj.
Handlowy pisze, że korespondencję z linkami logowania na konto może wysyłać klientom z przynajmniej pięciu różnych adresów e-mail. Dodatkowo e-maile takie może też kierować do nich współpracująca z Citi firma SARE. Już samo to naraża klientów na pomyłki, bo zapamiętanie prawidłowych zapisów tych wszystkich adresów może być problematyczne.
Handlowy instruuje także klientów, by przed podaniem loginu i hasła upewnili się co do prawidłowości adresu jego serwisu transakcyjnego. Ale i tu zła wiadomość dla klientów jest taka, że serwis ten ma dwa różne adresy. W tej sytuacji wydaje mi się, że o wiele lepszym rozwiązaniem byłoby jednak, aby Citi zrezygnował z wysyłki linków w wiadomościach e-mail czy w SMS-ach, a klienci pamiętali, by nigdy nie logować się na konto przez takie odnośniki.