Bank di seluruh dunia secara tidak sengaja melatih nasabah mereka untuk menjadi korban serangan phishing dengan menggunakan praktik marketing yang menyerupai taktik penipuan umum. Kasus terbaru yang melibatkan bank Sparkasse Jerman telah menyoroti bagaimana institusi keuangan yang sah merusak edukasi keamanan siber melalui kampanye promosi yang dirancang dengan buruk.
Email Resmi yang Terlihat seperti Penipuan
Masalah ini terungkap ketika seorang nasabah bank Jerman menerima apa yang tampak seperti email phishing klasik. Pesan tersebut mempromosikan undian berhadiah menggunakan nama domain generik yang tidak terkait dengan bank, meminta informasi pribadi sensitif termasuk detail IBAN, dan menggunakan sertifikat SSL dasar dari Let's Encrypt daripada otoritas sertifikat premium. Karakteristik ini biasanya merupakan tanda bahaya yang diajarkan para ahli keamanan kepada pengguna untuk dihindari.
Masalah ini meluas jauh melampaui Jerman. Nasabah bank di berbagai negara melaporkan pengalaman serupa dengan institusi keuangan mereka. Sistem deteksi penipuan sering menelepon dari nomor yang tidak terdaftar dan meminta nasabah untuk memverifikasi informasi pribadi tanpa terlebih dahulu membuktikan legitimasi mereka sendiri. Beberapa bank mengirim pesan teks dengan tautan yang terlihat mencurigakan ke domain pihak ketiga, sementara yang lain menggunakan nomor callback yang berbeda setiap kali mereka menghubungi nasabah.
Tanda Bahaya Keamanan Perbankan Umum Yang Sebenarnya Sah:
- Nama domain generik yang tidak terkait dengan bank
- Sertifikat SSL Let's Encrypt alih-alih sertifikat premium
- Permintaan informasi sensitif melalui situs web eksternal
- Panggilan telepon dari nomor tidak terdaftar yang meminta verifikasi
- Pesan teks dengan tautan pihak ketiga yang terlihat mencurigakan
- Nomor panggilan balik yang berbeda untuk setiap interaksi pelanggan
Paradoks Autentikasi
Institusi keuangan telah menciptakan lanskap yang membingungkan di mana komunikasi yang sah hampir tidak dapat dibedakan dari yang palsu. Banyak bank menelepon nasabah tentang aktivitas akun yang mencurigakan, kemudian langsung meminta detail verifikasi pribadi tanpa terlebih dahulu menetapkan kredibilitas mereka sendiri. Praktik ini secara langsung bertentangan dengan nasihat keamanan yang diberikan institusi yang sama kepada nasabah mereka.
Ketika panggilan acak meminta saya untuk mengkonfirmasi beberapa informasi, saya selalu menjawab bahwa saya tidak akan membagikan informasi pribadi apa pun karena saya tidak tahu siapa mereka.
Beberapa bank progresif telah mengenali masalah ini dan mengadopsi praktik yang lebih baik. Mereka menginstruksikan nasabah untuk menutup telepon dan menelepon nomor resmi yang tercantum di kartu bank atau situs web mereka, daripada mempercayai panggilan masuk. Namun, institusi ini masih menjadi minoritas.
Kegagalan Keamanan Teknis
Implementasi teknis dari langkah-langkah keamanan perbankan sering menciptakan kebingungan tambahan. Banyak bank internasional menggunakan beberapa domain untuk layanan yang berbeda, sehingga sulit bagi nasabah untuk mengidentifikasi komunikasi yang sah. Persyaratan kata sandi sering mengabaikan praktik keamanan terbaik modern, dengan beberapa institusi besar membatasi kata sandi hanya enam digit angka atau secara diam-diam memotong kata sandi yang lebih panjang.
Aplikasi mobile banking terkadang menolak untuk berjalan pada perangkat dengan browser tertentu yang terinstal, mengklaim masalah keamanan sambil secara bersamaan meminta izin berlebihan untuk fungsi dasar. Langkah-langkah keamanan yang tidak konsisten ini melatih pengguna untuk melewati atau mengabaikan peringatan keamanan yang sah.
Contoh Praktik Keamanan Perbankan yang Buruk:
- Keterbatasan Kata Sandi: Beberapa bank besar membatasi kata sandi hanya 6 digit angka saja
- Domain Ganda: Bank menggunakan domain berbeda untuk berbagai layanan tanpa koneksi yang jelas
- Pemotongan Diam-diam: Kata sandi diperpendek tanpa pemberitahuan kepada pengguna
- Izin Aplikasi Berlebihan: Aplikasi perbankan memerlukan akses kamera dan sistem file penuh
- Pembatasan Browser: Aplikasi menolak berjalan dengan browser tertentu yang terinstal
Konsekuensi Hukum dan Finansial
Konsekuensi dari praktik buruk ini meluas melampaui kebingungan nasabah. Pengadilan Jerman telah mulai meminta bank bertanggung jawab atas kerugian phishing ketika nasabah tidak dapat secara wajar membedakan antara komunikasi yang sah dan palsu. Jika materi marketing bank sendiri sangat menyerupai upaya phishing, pengadilan mungkin merasa sulit untuk membuktikan kelalaian nasabah dalam menjadi korban penipuan serupa.
Preseden hukum ini dapat memiliki implikasi finansial yang signifikan bagi bank yang terus menggunakan praktik marketing yang terlihat mencurigakan. Perusahaan asuransi juga mungkin mulai meneliti praktik ini ketika mengevaluasi cakupan untuk kerugian terkait penipuan.
Preseden Hukum di Germany:
- Pengadilan membebankan tanggung jawab kepada bank atas kerugian phishing ketika komunikasi resmi menyerupai penipuan
- Kesulitan membuktikan "kelalaian berat" nasabah ketika materi bank itu sendiri terlihat mencurigakan
- Implikasi asuransi potensial bagi bank yang menggunakan praktik komunikasi yang buruk
Jalan ke Depan
Solusinya memerlukan koordinasi antara departemen marketing, IT, dan keamanan dalam institusi keuangan. Bank harus menggunakan subdomain resmi untuk semua komunikasi nasabah, menerapkan branding visual yang konsisten di semua saluran, dan menghindari meminta informasi sensitif melalui situs web eksternal atau komunikasi yang tidak diminta.
Beberapa organisasi telah mulai mengadopsi strategi branding digital terpadu. Pemerintah Jerman baru-baru ini meluncurkan sistem domain gov.de yang terstandarisasi untuk mengatasi masalah kredibilitas serupa dengan komunikasi resmi. Bank dapat memperoleh manfaat dari menerapkan pendekatan yang sebanding untuk interaksi nasabah mereka.
Situasi saat ini menciptakan lingkungan berbahaya di mana nasabah harus memilih antara mengikuti praktik keamanan terbaik dan merespons komunikasi bank yang sah. Sampai institusi keuangan menyelaraskan praktik marketing mereka dengan nasihat keamanan mereka, mereka akan terus merusak edukasi keamanan siber yang mereka klaim dukung.
Referensi: My Bank Keeps On Undermining Anti-Phishing Education