<b>IRONISK: </b>Skandiabanken ber i sitt nyhetsbrev kundene følge denne lenka for å lese tips om hvordan man unngår phishing. Ett tipsene er å unngå lenker. Et annet vanlig tips er å unngå lenker som er så lange som denne.  Foto: OLE PETTER BAUGERØD STOKKE
IRONISK: Skandiabanken ber i sitt nyhetsbrev kundene følge denne lenka for å lese tips om hvordan man unngår phishing. Ett tipsene er å unngå lenker. Et annet vanlig tips er å unngå lenker som er så lange som denne. Foto: OLE PETTER BAUGERØD STOKKEVis mer

- Bankenes e-poster ser ut som phishingen de selv advarer mot

Forsker mener bankene har mye av ansvaret for at vi lures av svindel.

«Ikke bit på kroken» fortalte Skandiabanken i sitt nyhetsbrev nylig.

E-posten ba kundene følge en lenke for å få tips om hvordan man unngår å bli lurt av svindel som phishing.

Ironisk nok er det første tipset Skandiabanken gir, etter at du har trykket på lenken de selv oppgir: «Unngå lenker».

Lenken i nyhetsbrevet er dessuten svimlende 192 tegn lang, og viser til domenet «tr.anpdm.com».

Da er det greit å minne om et annet vanlig sikkerhetstips fra både banker og nettsider som Dinside: Aldri trykk på lange og rare lenker som går til andre adresser enn bankens.

- Bankene sier stadig at vi ikke må gå på phishing, for banken ville aldri gjort sånn og slik. Samtidig sender de ut e-poster som er til forveksling lik phishing. Det er utrolig fiffig, sier forsker Åsmund Ahlmann Nyre ved Sintef IKT til Dinside.

LES OGSÅ: Hva er phishing, og hvordan kan jeg unngå det?

«DOBBELTKOMMUNIKASJON 2.0»: Det kaller Sintef-forsker Åsmund Ahlmann Nyre bankenes holdning til phishing på sin blogg. Foto: PRIVAT Vis mer


Overraska og oppgitt

Han kaller det fiffig, men synes først og fremst det er ironisk, dobbeltmoralsk og potensielt dårlig gjort overfor kunder som blir lurt av svindlere.

- Bankene hevder forbrukeren er idioten, men samtidig gjør de ikke noen ting for å hjelpe dem med å se forskjellen. Selskapene sender ut phishing-liknende e-poster hver uke, og forventer at folk ikke skal gå på phishing, fortsetter Nyre.

Flere banker har i tillegg tredjeparter som sender ut e-postene for dem, der oppgitt avsender dermed ikke er banken selv. Et klassisk phishing-tegn. Noen gir også direktelenker til innlogging i nettbanken. Også dette er et tegn på phishing.

- Jeg blir stadig overraska og oppgitt, sukker Sintef-forskeren.

«Du er ikke idiot!»

- Synes du derfor bankene må ta noe av ansvaret for at folk går på phishing?

- Ja, det synes jeg. Alle bedrifter som sender ut slike e-poster er med på å normalisere den formen for kommunikasjon. Jeg tenker derfor at de har ansvaret for å gjøre det enkelt for brukeren å se forskjellen, svarer Nyre.


- Man er ikke idiot om man går på phishing. Kanskje bare litt ubetenksom. Kanskje ikke det engang. Kanskje man er vant til det, fordi bankene har vært med på å gjøre dem vant til det.

LES OGSÅ: Derfor skiller ikke BankID mellom store og små bokstaver i passordet ditt

Fremmed avsender

- En gang sendte vi ut et nyhetsbrev med emnefeltet «Vi er bankvinneren!». Vi ville fortelle at vi hadde vunnet en pris, men tenkte oss ikke om, og veldig mange oppfatta den som spam, forteller kommunikasjonssjef Leif-Kjartan Bjørsvik i Skandiabanken til Dinside.

- Det viser at kundene våre er veldig våkne og bevisste, men var også en tankevekker for oss. Vi må også være bevisste.

Derfor har Skandiabanken sluttet å sende ut nyhetsbrev via en ekstern leverandør, slik at banken nå står som avsender. De lenker heller ikke direkte til innloggingssider. Dessuten er banken åpen for å se på metoder for å unngå lange og rare lenker. Men for å spore hva kundene deres klikker på – og det vil de – må lenkene være i slik i dag.

OPPDATERING: Etter Dinsides artikkel ble publisert har Skandiabanken fjernet noe av sporingen i lenkene, slik at domenet skandiabanken.no står først i nettadressen. Adressene er langt kortere, men fortsatt lange, for å ikke miste alle sporingsmuligheter.

KLASSISK TRIKS: Denne e-posten er fra en annen norsk bank, som gir kundene en lenke for å logge seg inn på nettbanken. Også denne med en lang og rar lenke. Slik vi kjenner det fra phishing. Foto: OLE PETTER BAUGERØD STOKKE Vis mer


Språk ikke alltid nok

- Ville du selv gitt tipset om å unngå lange og rare lenker?

- Jeg mener du kan se at våre lenker er trygge, selv om de er lange med masse tall og bokstaver. Jeg mener det er implisitt at det er en trygg lenke, svarer Bjørsvik.

MENER FORSKJELLEN ER STOR: Kommunikasjonssjef Leif-Kjartan Bjørsvik i Skandiabanken kjøper ikke forskerens argumenter for at deres e-poster likner phishing. Foto: SKANDIABANKEN Vis mer


Bjørsvik mener nemlig phishing aldri likner på deres egne e-poster. Blant annet på grunn av dårlig språk. Samtidig: Det siste eksempelet Dinside skrev om, en falsk spørreundersøkelse i Danske Bank sitt navn, hadde svært få skrivefeil. Og flere bankkunder ble også lurt.

Nyre i Sintef mener derfor det burde være et alternativ å slutte helt med lenker i e-poster fra banker. Spesielt fordi moderne phishing aldri spør om sensitiv informasjon i selve e-posten (slik bankene heller ikke gjør), men i stedet på nettsidene den lenker til (slik enkelte banker også gjør).

Skatteetaten lenker ikke til noe som helst i sine e-poster, og sier på nettsidene sine at e-poster med lenker derfor er falske. Dermed kan de også gi tipset «trykk ikke på lenker» med mindre dobbeltmoral enn Skandiabanken.


LES OGSÅ: Hvordan får svindlere tak i e-post-adressa mi?

Vil fortsatt lenke, for å selge

- Er det aktuelt for dere å ikke ha lenker i e-postene deres?

- Skatteetaten er en ren servicetjeneste. Vi har jo i tillegg ting vi vil selge, og vil lede kundene rett til salgsdisken. Det er grunnen til at vi lenker, svarer Bjørsvik i Skandiabanken.

- Men er dere da villige til å ta noe av ansvaret for at folk går på phishing?

Hva syns du? (Avsluttet)
Kunne bankene gjort mer for å beskytte oss mot phishing?(81%) 522
Eller er svindelen så svak at du ikke lar deg lure uansett? (19%) 126
Avstvemningen er ikke styrt og reflekterer kun lesernes egne meninger.


- Jeg er ikke enig i at disse e-postene likner hverandre. Phishing er stort sett skrevet med Google Translate og det er tydelig at disse ikke kommer fra en proff, norsk aktør.

- Men ja; bankene har ansvaret for sikkerheten til kunden og banken selv. Og det ansvaret utøver vi hele tida, avslutter Bjørsvik.

Hva synes du? Si din mening i stemobjektet eller i debatten under!