Πώς οι ελληνικές τράπεζες αποτυγχάνουν να μας προστατέψουν από απατεώνες που τις υποδύονται
Λαμβάνουμε σε σχεδόν καθημερινή βάση email και μηνύματα που φαίνεται να προέρχονται από τράπεζες. Κάποια από αυτά είναι πραγματικά, κάποια προέρχονται από απατεώνες που προσπαθούν να μας εξαπατήσουν. Άλλες φορές τα πραγματικά email καταλήγουν στα σπαμ, άλλες φορές τα ψεύτικα καταλήγουν στα εισερχόμενα. Κάποια δε φτάνουν ποτέ. Πάρα πολλοί άνθρωποι πέφτουν στην παγίδα καθημερινά και χάνουν από μικρά χρηματικά ποσά μέχρι ολόκληρες περιουσίες. Πώς όμως να το καταλάβουν όταν τα email φαίνεται να προέρχονται από διευθύνσεις που ανήκουν στην τράπεζα, όπως service@piraeusbank.gr, support@nbg.gr κτλ.; Σίγουρα το “πρόγραμμα” των email μας θα μπορούσε να ξέρει ποια από αυτά προέρχονται όντως από τις τράπεζες και ποια όχι, έτσι δεν είναι;
Η απάντηση είναι “και ναι, και όχι”. Ενώ το πρόγραμμα (ο πάροχος δηλαδή, όπως η GMail, το Outlook.com κλπ.) έχει τους τρόπους του να ελέγχει την εγκυρότητα των emails, δεν ξέρει τα πάντα και χρειάζεται βοήθεια. Μια τέτοια, πολύ σημαντική, βοήθεια μπορεί να έρχεται από τις ίδιες τις τράπεζες μέσω της δημοσίευσης των πολιτικών SPF, DKIM και DMARC. Χωρίς να περιπλέξουμε τα πράγματα, η ουσία είναι ότι για να αποφασιστεί αν κάποιο email θα καταλήξει στα εισερχόμενα, στα σπαμ ή δεν θα φτάσει καθόλου σε εμάς, εφαρμόζονται διάφορες μέθοδοι για την βαθμολόγηση της αξιοπιστίας του. Μία όμως που εφαρμόζουν όλα αυτά τα προγράμματα email είναι ο συνδυασμός αυτών των τριών πολιτικών. Αυτές μπορούν να επιβεβαιώσουν ότι ένα μήνυμα που φαίνεται ότι προέρχεται από έναν τομέα/domain (πχ. @alpha.gr, @eurobank.gr, @gmail.com, @outlook.com), όντως προέρχεται από αυτόν και όχι από κάποιον απατεώνα που τον υποδύεται. Το “πρόγραμμα” που χρησιμοποιούμε για τα email μας, λοιπόν, όταν θα πρέπει να μας παραδώσει ένα μήνυμα που φαίνεται ότι προέρχεται από το υποθετικό info@trapezamou.gr, “ρωτάει” το trapezamou.gr αν ο διακομιστής (ο server) από τον οποίο ήρθε το email είναι όντως της τράπεζας. Το SPF του λέει ποιους διακομιστές email έχει, το DKIM “υπογράφει” τα emails και το DMARC λέει τι να κάνει το πρόγραμμά μας, αν προκύψει ότι το email δεν έρχεται από εκεί.
Με άλλα λόγια, η τράπεζα λέει στη GMail ή στο Outlook ότι αν το email που πήραμε δεν προέρχεται όντως από αυτή, ή να το διαγράψει, ή να το βάλει στα σπαμ, ή να το αφήσει να περάσει.
Αυτός ο συνδυασμός γίνεται δεδομένος σήμερα, όπως είναι προφανές, ειδικά για υπηρεσίες υψηλού ρίσκου για απάτες, όπως τα χρηματοπιστωτικά ιδρύματα. Βοηθά και για να μην φτάνουν τα επικίνδυνα email στους φακέλους μας, όσο και για να φτάνουν τα πραγματικά.
Δύο από τις τρεις αυτές πολιτικές μπορούν να ελεγχθούν πολύ εύκολα, το SPF και το DMARC, και μία αλλαγή σε αυτές από την πλευρά των τραπεζών, η οποία γίνεται σχετικά εύκολα, μπορεί να επιφέρει σημαντική βελτίωση στην ασφάλεια των παραληπτών των email και στη μείωση των πετυχημένων αποπειρών “ψαρέματος” (phishing).
Ενώ φαίνεται ότι τα SPF είναι ορισμένα σωστά, ας δούμε λοιπόν τι ζητούν οι ελληνικές τράπεζες να κάνουν τα “προγράμματά” ηλεκτρονικού ταχυδρομείου μας όταν παίρνουν ένα email που ενώ φαίνεται να προέρχεται από αυτές, στην πραγματικότητα είναι ψεύτικο (spoof). Στην στήλη DMARC, αν πάρουμε κάποιο μήνυμα με ψεύτικο email η τράπεζα λέει στο πρόγραμμά μας, να το απορρίψει (✔️ reject), να το βάλει στα σπαμ (❌ quarantine), να το αφήσει να περάσει (❌ none) ή δεν έχει οριστεί καν η πολιτική (❌ Απουσιάζει).
Από τις 11 θεσμικές τράπεζες συν την ΤτΕ, βλέπουμε ότι μόνο 3 έχουν ορίσει την πολιτική DMARC να απορρίπτει τα ψεύτικα email, 2 έχουν την “μαλακή” πολιτική να ζητούν να πηγαίνουν στα σπαμ, ενώ οι υπόλοιπες 7, μεταξύ τους και η ΤτΕ, ή ζητούν να επιτρέπονται αυτά τα email ή δεν έχουν ασχοληθεί καθόλου με την ρύθμιση.
Στην εποχή των ηλεκτρονικών υπηρεσιών σε όλα, που όλοι οι πολίτες αναμένεται να χρησιμοποιούν το διαδίκτυο για τις υποθέσεις τους και η κυβερονασφάλεια είναι υπόθεση όλων, οι τράπεζες φαίνεται ότι ενώ κάνουν μεγάλες προσπάθειες για τη δική τους ασφάλεια, κάποια απλά και βασικά πράγματα για την ασφάλεια των πελατών τους απλώς απουσιάζουν.
