בנקאי אוהב דגים?

(הכותרת היא פרפרזה על משפט ממערכון של "הגשש החיוור": "דייג אוהב דגים? אם אוהב אותם למה הוא מוציא אותם מהמים?")

קיבלתי מ"מזרחי-טפחות" מייל. פרסומי. לא זכור לי שנרשמתי לקבל מהם פרסומים, אבל נגיד שנרשמתי, כי הייתי (עדיין?) לקוח עקיף שלהם.

המייל, בתבנית HTML, הגיע משולח בעל השם "מזרחי-טפחות" וכתובת של donotreply@umtb.co.il (‏UMTB הוא דומיין של "מזרחי טפחות" שגלישה אליו תנתב אתכם לאתר באנגלית של הבנק. נכון לספטמבר 2013 הדומיין אינו פעיל כאתר אינטרנט).
בדיקת ה-Header של המייל הראתה שבפועל הוא נשלח מדומיין בשם mymarketing.co.il, מפיצי מיילים מסחריים (יש כאלו שיכנו זאת אחרת, אבל זו לא הנקודה כאן), וכלל גם קישור לצפייה בתוכן המייל (שייתכן ולא יהיה זמין לאחר פרסום פוסט זה) באתר של הדומיין web-view.net, שניסיון להגיע לשורש שלו יעביר אתכם לאתר של mymarketing.co.il הנזכר לעיל.
בכל מקרה, לטובת ההיסטוריה, אני מצרף כאן את התמונה שהיא הרקע של המייל (הקליקו להגדלה) וגם את הפרסומת המקורית כקובץ MHT בתוך ZIP (קובץ ה-MHT ייפתח באופן תקין ב-IE):

ילדים, בבקשה מצאו את הדג וצבעו אותו בצבעים עליזים

– הקלקה על פס הקישורים העליון (שנראה שפשוט הועתק מאתר מזרחי-טפחות) תפתח חלון חדש שיעביר אתכם לאתר הבית של מזרחי-טפחות, שאמנם הוא ב-SSL אבל כולל טופס שם משתמש וסיסמא לצורך כניסה ישירה לחשבון.

ישר לחשבון

הקלקה על המקטע הבא, "כל יתרונות שירות האינטרנט" או על אחד משלושת הריבועים שמתחתיו – תפתח לכם חלון חדש ישירות לטופס ייעודי בשם "כניסה לחשבונך" (שקישור "אבטחת מידע" אשר בתחתיתו אינו תקין…). (הקליקו להגדלה)

הכניסה מכאן

המקטע הבא, בעל הרקע האפור אינו כולל קישור, אבל המקטע התחתון, "שכחת/נחסמה סיסמתך? הקלק כאן!" פותח חלון חדש אל טופס ייעודי לשחרור סיסמא (שימו לב למקטע המסומן בריבוע אדום בתמונה המצורפת (הריבוע הזה הוא תוספת שלי)).

שימו לב למקטע המסומן בריבוע אדום (הריבוע הוא תוספת שלי)

אז מצוין. הבנק, בטופס הזה מזהיר את לקוחותיו מפני פישינג. אם מקליקים על הקישור המדובר, מגיעים לדף המסביר את תופעת הפישינג וכיצד להיזהר ממנה, בייחוד הטקסט הבא:

זהירות! דייגים בדרך!

אז כן, נכון, בנק מזרחי-טפחות לא מבקש מלקוחותיו במייל נתונים אישיים אודות חשבון הבנק, או סיסמאות גישה למערכות הבנק.
הוא רק מרגיל אותם שבתוך פרסומות מיילים שלו הוא מערבב נושאי שיווק עם נושאי תפעול/אבטחת מידע ונותן קישורים ישירים לניהול סיסמאות באתר שלו.
בגישה הזו, לדעתי, בנק מזרחי-טפחות מכין את הקרקע לביצוע פישינג נגדו, אמנם פישינג יותר עדין ועקיף מהמֻכָּר אבל בכך הבנק יורה לעצמו בכיס באופן ישיר ובאופן עקיף מחבל במאמצי שאר הבנקים לחנך את הלקוחות שהמיילים מהבנקים מכילים רק מידע שיווקי ולא תפעולי/אבטחתי, וזאת במטרה לגרום ללקוחות להיות מודעים לפישינג ולא להתפתות לו.

(6/11/09 – עדכון קטן לנושא, אגב הדגים, אחד מהם פג תוקף. והשני בקרוב.)

.

גרועחלשבסדרטובמצוין (איש לא דירג תוכן זה עדיין. היו אתם הראשונים!)
Loading...