Bankadan gelen e-posta gerçek mi, sahte mi? Bu artık pek fark edilmiyor. Finansal kurumlar giderek sorumluluklarından kaçıyor.
Veriler girildi, hesap boş: Sahte e-postalara kanan banka müşterileri açısından sonuçları ciddi. Yıllardır tüketici savunucuları, suçluların başkalarının banka hesaplarına erişim sağlamak için kullandığı kimlik avı e-postalarıyla ilgili şikayetlerdeki artış konusunda uyarıda bulunuyordu. Sorun: Federal Tüketici Örgütleri Birliği (vzbv), tehlikeli ve sahte mesajların gerçek banka mektuplarından neredeyse ayırt edilemediği konusunda uyarıyor.
Vzbv tarafından bugün yayınlanan ve önceden çevrimiçi olarak erişilebilen bir çevrimiçi anket, ankete katılanların yalnızca dörtte birinden biraz azının (yüzde 24) dolandırıcılık niyetlerinin farkında olduğunu ve taleplerdeki talepleri reddettiğini gösteriyor. Aldıkları mektuplar test olarak sunuldu.
“Ankete katılanların dolandırıcılık saldırıları ile gerçek sağlayıcı davranışları arasında ayrım yapması zordu” dedi. Ve dahası: Dolandırıcılık vakaları grubunda ankete katılanların yüzde 57'si dolandırıcılık şüphesini dile getirdi. Ancak bu aynı zamanda tüketici savunucularının bankalardan gelen gerçek e-postaları gösterdiği ankete katılanların yüzde 19'u için de geçerli.
Bankalar sorumluluklarından kaçıyor
Gerçek ve başarılı dolandırıcılık girişimlerini daha da zorlaştıran şey, vzbv'ye göre genellikle mağdurların zarar görmesidir. “İkinci Ödeme Hizmetleri Direktifi” (PSD2), bankaların dolandırıcılıktan kaynaklanan zararları “derhal tazmin etmesi” gerektiğini şart koşuyor. Ancak uygulama farklı: Tüketici savunucuları, Avrupa Bankacılık Otoritesi (EBA) tarafından yakın zamanda yayınlanan bir araştırmadan alıntı yaparak, dolandırıcılık amaçlı transferlerin yüzde 79'unda hasarın bedelini tüketicilerin kendileri ödemek zorunda kalıyor.
Bankalar kendilerine kolaylık sağlıyor. Vzbv yönetim kurulu üyesi Ramona Pop: “Bankalar müşterilerini defalarca sahte bir mesaja yanıt verirken ağır ihmalkarlıkla hareket etmekle suçluyor.”
Şu anda yayınlanan anket sonuçları, müşterilerin dolandırıcılık niyetlerini finansal kuruluşlardan gelen gerçek e-postalardan güvenilir bir şekilde ayırt edemediğini gösteriyor. Pop'a göre bankalar ve diğer ödeme hizmeti sağlayıcıları bu nedenle sorumluluklarından kaçmamalı ve siber saldırıların neden olduğu zararı tek taraflı olarak tüketicilere aktarmamalı.
Tehlikeli mesajları bu şekilde tanımlayabilirsiniz
Federal Bilgi Güvenliği Dairesi (BSI), web sitesinde kimlik avı e-postalarının nasıl tanınacağını özetledi. Orada da suçluların mesajlarını giderek daha profesyonel hale getirdikleri ve bazen iyi formüle edilmiş metinler içerdikleri söyleniyor.
Bununla birlikte BSI'ye göre müşterilerin şüphelenmesi gereken özellikler de var.
- E-postanın metni acil eylem ihtiyacını belirtir; örneğin: “Verilerinizi hemen güncellemezseniz, geri alınamayacak şekilde kaybolacaktır…”.
- “Bunu yapmazsanız maalesef hesabınızı bloke etmek zorunda kalacağız…” şeklinde tehditler kullanılmalı.
- Müşterilerden, çevrimiçi bankacılık erişimleri için PIN veya kredi kartı numarası gibi gizli bilgileri girmeleri istenecek.
- e-postada bağlantılar veya formlar bulunur. Mesaj tanınmış bir kişi veya kuruluştan geliyor gibi görünüyor ancak gönderenin isteği alışılmadık bir durum.