KNAB mailings

  • 1 november 2016
  • 9 reacties
  • 552 Bekeken

Is het raadzaam dat KNAB mailtjes met een link verstuurd? Om de vraag maar meteen te beantwoorden: nee, banken moeten terughoudend zijn met links naar gevoelige informatie, zoals betalen versies van de eigen app. Banken waarschuwen niet voor niets voor phishing.

9 reacties

Reputatie 1
Badge
Inmiddels heeft de Betaalvereniging de pagina (https://www.veiligbankieren.nl/fraude/phishing/) aangepast. De volgende zin is verwijderd: 'via een link naar een nieuwe website te gaan'.

Groet,
Angelina
Reputatie 1
Badge
Beste TVTHIEL,

Goed dat je zo betrokken bent. We hebben je 2 aandachtspunten intern uitvoerig besproken en hebben een aantal wijzigingen doorgevoerd in de procedure.

1. Op de Knab Lab pagina vind je nu alleen nog de downloadinstructie. Voor het daadwerkelijk downloaden van de Knab Betá App dien je contact op te nemen met onze Servicedesk. Zij sturen je vervolgens een link.

2. We gaan contact opnemen met de Betaalvereniging (de instantie achter www.veiligbankieren.nl) over de formulering 'Via een link naar een nieuwe website te gaan'. Het is uiteraard niet de bedoeling om te linken naar pagina's waar persoonlijke gegevens worden uitgevraagd, bijvoorbeeld inlogpagina's. Maar vanuit e-mails linken naar pagina's binnen onze website met algemene informatie moet uiteraard wel kunnen. We hebben dit ook direct gecontroleerd bij mailings van andere banken, daarbij zien we dat zij in informatieve mails ook naar pagina's binnen hun website linken.

Groet,
Angelina
Ook de link in de community mail is fout. Komt van de bank. Zeg alleen dat er een reactie klaar staat in de community en laat mensen zelf naar de site gaan en inloggen.
Ik heb jullie fout ter lering voor iedereen maar even op LinkedIn gepost. https://www.linkedin.com/hp/update/6199530225567563776
Ik ben het totaal niet met jullie "security manager" eens.

De meeste mensen letten helemaal niet op of er een veiligheidscertificaat aanwezig is (ze weten bijvoorbeeld niet dat ze op het "slotje" moeten letten). Als ze via een phishing mail op een "nagebouwde" KNAB pagina terecht komen zijn ze de klos. Uit uitgebreid internationaal onderzoek blijkt dat er in mensen een héél sterke neiging zit om op links te klikken die ze voorgeschoteld krijgen, en al helemaal als die van de bank lijkt te komen.

KNAB zou beter moeten weten! Nooit, nooit, nooit links sturen, en in elke mail uitleggen dat de bank nooit links stuurt! En als ze een email ontvangen die van de bank "lijkt" te komen waar een link in staat dat ze er niet op moeten klikken omdat het dan phishing betreft. (Ik heb van de ABN AMRO en de ING al in geen jaren meer een mail met een link gezien, zij doen het zoals hierboven omschreven.)

Dit is iets wat jullie security manager zelf bedacht zou moeten hebben!!! Sterker nog, het wordt hier https://www.veiligbankieren.nl/fraude/phishing/ aanbevolen.

Bulletlist onder: "Uw bank vraagt u nooit per telefoon (e-mail of SMS) om:"
5de punt: "Via een link naar een nieuwe website te gaan."
6de punt: "Een update van internetbankieren, een nieuwe website te testen....."

KNAB zit op beide punten fout!!!

Gaarne beleid bijstellen... ik vindt dat dit voor een bank niet door de beugel kan.
Reputatie 1
Badge
Ik heb de feedback besproken met onze security manager. Vanuit de e-mail linken we naar een pagina op onze website, waar het veiligheidscertificaat goed zichtbaar is (in de URL). De werkwijze wordt daardoor als secure beschouwd.

Veiligheid is natuurlijk het aller belangrijkste! Daarom gaan we voor een volgende keer de procedure opnieuw onder de loep nemen, zodat het voor iedereen ook veilig voelt.

Nogmaals bedankt voor jullie feedback.

Groet,
Angelina
Inmiddels met servicedesk gebeld om deze actie aan te kaarten. Mijn suggesties:
1. verstuur in-app
2. verstuur neutraal bericht met vraag om deel te nemen. Aanmelding via servicedesk, dan pas mail met link.


Bedankt voor je berichtje op de Community. Leuk dat je met ons meedenkt!

Vanochtend hebben wij een groep klanten uitgenodigd om deel te nemen aan de Android pilot. Vanuit een e-mail mogen wij nooit direct linken naar bijvoorbeeld inlogpagina's of directe downloads om phishing te voorkomen. Daarom hebben wij voor deze mailing gekozen om te linken naar een pagina op onze website, zodat klanten zonder tussenkomst van de Servicedesk toch de App kunnen downloaden. Uiteraard helemaal secure:$

Je hebt goede suggesties. Ik ga dit meenemen voor een volgende keer!

Groet,
Angelina


Dat is geen steekhoudend antwoord, kan nog steeds phishing zijn voor een gebruiker die iets minder goed oplet.
een bank zou beter moeten weten. Had het dan via de oude app in een bericht gedaan.
(P.s.: zit zelf in de cybersecurity.)
Reputatie 1
Badge
Inmiddels met servicedesk gebeld om deze actie aan te kaarten. Mijn suggesties:
1. verstuur in-app
2. verstuur neutraal bericht met vraag om deel te nemen. Aanmelding via servicedesk, dan pas mail met link.


Bedankt voor je berichtje op de Community. Leuk dat je met ons meedenkt!

Vanochtend hebben wij een groep klanten uitgenodigd om deel te nemen aan de Android pilot. Vanuit een e-mail mogen wij nooit direct linken naar bijvoorbeeld inlogpagina's of directe downloads om phishing te voorkomen. Daarom hebben wij voor deze mailing gekozen om te linken naar een pagina op onze website, zodat klanten zonder tussenkomst van de Servicedesk toch de App kunnen downloaden. Uiteraard helemaal secure:$

Je hebt goede suggesties. Ik ga dit meenemen voor een volgende keer!

Groet,
Angelina
Inmiddels met servicedesk gebeld om deze actie aan te kaarten. Mijn suggesties:
1. verstuur in-app
2. verstuur neutraal bericht met vraag om deel te nemen. Aanmelding via servicedesk, dan pas mail met link.

Reageer