I forrige uke poengterte vi at bedrifter dobbeltkommuniserer når de hevder å aldri be om brukernavn/passord i e-poster, men samtidig oppfordrer brukere til å klikke på linker i e-poster som (i alle fall indirekte) leder til innloggingssider. Nå har vi kommet til versjon 2.0 av slik dobbeltkommunikasjon.
“Ikke bit på kroken” lyder det i et nyhetsbrev fra en ikke-navngitt bank i et forsøk på å få vanlige folk til å være skeptiske til phishing-eposter. Ironien er så slående at det gjør vondt.
For, hva må man gjøre for å finne ut hvordan man ikke skal bli lurt? Jo, man må følge linken med den kledelige tittelen “unngå å bli lurt”. Og den linken går til en sporingstjeneste (anpdm.com, se illustrasjon), ikke til banken direkte. Dette er selvsagt ikke måten å gjøre det på, men det blir enda bedre. For om man følger denne linken (jeg tok sjansen) får man råd om hvordan man skal unngå å bli lurt. Første råd lyder: “Ikke trykk på lenker eller vedlegg i slike [phishing] eposter. Gjør du det kan du risikere å bli infisert med skadelige programvare og sensitiv informasjon du oppgir på nettsider kan tappes uten at du merker det“.
Det er fristende å referere middelmådige amerikanske advokatserier og si “I rest my case”, men i og med at ironien tydeligvis går de fleste markedsavdelinger hus forbi er det enda mer fristende å påpeke hva som er det morsomme/triste med dette.
Altså, for å komme til siden som gir råd om hvordan å unngå phishing må man bryte med det aller første rådet for nettopp å unngå phishing… Det er fordi mottakeren ikke har noen mulighet til å avgjøre på forhånd om avsenderen er ekte. Og da skal han altså i følge phishing-rådene ikke følge linkene i e-posten, og i alle fall ikke linker til andre enn bankens egen nettside. En bevisst bruker vil derfor ignorere/slette denne e-posten umiddelbart (det er forøvrig et av rådene på siden det linkes til) og dermed aldri få med seg de gode rådene. En ubevisst bruker vil demonstrere dette ved å følge linken og erfare at det slettes ikke er farlig å klikke på linker i e-poster. Slik kan altså gode råd virke mot sin hensikt…
I e-posten fra banken hevdes det at “Svindlere blir flinkere og flinkere til å etterligne nettsider og e-poster”. Det er forsåvidt sant, men de kunne godt fortsatt med “…og vi gjør det stadig enklere for svindlere å etterligne våre e-poster”. Det er der problemet ligger, og inntil vi får på plass enkel signering/verifisering av e-post bør ingen bedrifter sende e-poster til sine kunder med linker som skal klikkes.
Hva om vi feirer nasjonal sikkerhetsmåned med å få en slutt på slik dobbeltkommunikasjon? Snakk med markedsavdelingen i bedriften din. De vet helt sikkert at dobbeltkommunikasjon ikke er god kommunikasjon.
NB: Noen vil kanskje gjenkjenne den ikke-navngitte banken i eksemplet over. Det er imidlertid ikke vår intensjon å henge ut enkeltbedrifter eller banker spesielt. Eksemplet er kun ment å illustrere et generelt problem og hvordan selv gode råd om å unngå phishing kan gjøre det enda vanskeligere for brukere å beskytte seg mot nettopp phishing.