Bezpieczeństwo, Dobre praktyki

Emaile transakcyjne w branży bankowej

Aleksandra Duło, 18 December 2017

Branża bankowa posiada bardzo rygorystyczne regulacje prawne, jeśli chodzi o przechowywanie i przetwarzanie danych osobowych.

Sektor bankowości prężnie działa w internecie, głównie tworząc innowacyjne aplikacje mobilne, wykorzystując witryny www, współpracując  z influencerami oraz wysyłając mailingi. W skład wysyłek mailowych wchodzą nie tylko newslettery konsumenckie oraz oferty, ale także emaile transakcyjne, które służą do przesyłania tak wrażliwych danych, jak hasła logowania się do bankowości, wyciągi z kont, potwierdzenia, notyfikacje i wiele innych.

Warto jednak zastanowić się, jakie zagrożenia w kontekście wysyłania emaili transakcyjnych czyhają na banki oraz co można zrobić, by poprawić skuteczność i zabezpieczyć przesyłki.

Phishing i spoofing, czy dotyczy banków?

Banki bardzo często padają ofiarą działań cyberprzestępców. Niestety jest to spowodowane faktem, że przestępcom w ten sposób najprościej jest wyłudzić pieniądze. Wirusy bardzo często są zawarte w fałszywych zmianach regulaminów, przesyłanych informacjach finansowych, potwierdzeniach przelewu czy ponagleniach do zapłaty. Banki są ich ulubionym łupem z powodu wielkiej bazy klientów, dlatego łatwo jest spekulować, kto posiada konto w danym banku. Prawdopodobieństwo trafienia na odpowiedniego użytkownika zdecydowanie rośnie w przypadku najpopularniejszych instytucji fnansowych, więc przestępcy mają większe pole manewru.

To zjawisko nazywane jest Phishingiem. Obecnie jest najczęściej stosowaną metodą oszustw w której przestępca podszywa się pod inną osobę lub instytucję w celu wyłudzenia określonych informacji (między innymi: danych logowania, czy danych karty kredytowej). Zdarza się też, że przez zdalne wgranie złośliwego oprogramowania hakerzy chcą wyłudzić od swojej ofiary pieniądze lub skłonić do wykonania innego, określonego działania.

Nawet jeśli Twój klient wie, że Twoja firma nie ma nic wspólnego z atakiem, to negatywne konsekwencje tego typu działań dadzą o sobie znać. Do najważniejszych konsekwencji należy:

  • Zły PR – lawina niekorzystnych artykułów w mediach;
  • Spadek reputacji firmy;
  • Utrata zaufania klientów;
  • Spadek zysków Twojej firmy.

Jak się zabezpieczyć?

W pierwszej kolejności należy sprawdzić, czy posiadane zabezpieczenia typu SPF, DKIM i DMARC spełniają swoją rolę w odpowiednim stopniu.

  • SPF – podstawowe zabezpieczenie komunikacji. Pozwala wskazać, które adresy IP mogą wysyłać emaile z naszej domeny. Niestety, SPF możemy w prosty sposób oszukać, dlatego nie jest on wystarczającym zabezpieczeniem, a tylko absolutnym minimum.
  • DKIM – to dodatkowe zabezpieczenie, które zostało wprowadzone w odpowiedzi na problemy związane z SPFem. DKIM wskazuje, czy wiadomość wysłana z danej domeny, została rzeczywiście wysłana przez prawdziwego nadawcę. Wprawny Phisher oszuka również DKIM, należy jednak wprowadzić to zabezpieczenie jako niezbędną i wymaganą bazę dla uwierzytelnienia DMARC.
  • DMARC  to najbardziej zaawansowany mechanizm ochronny. Prawidłowe ustawienie DMARC gwarantuje, że nikt nie będzie mógł podszyć się pod Twoją markę. Jedynym minusem tego rozwiązania jest fakt, że wspierają go jedynie globalni ISP – np. Gmail, Yahoo, Hotmail.

W Polsce, operatorzy pocztowi przyjęli inny standard – Trusted Sender, czyli zaufany nadawca. Otrzymując taki status, który przeznaczony jest tylko dla wysyłek emaili transakcyjnych, zyskasz pewność, że odbiorcy z łatwością odróżnią Twoje prawdziwe wiadomości od tych spreparowanych. Dzięki Trusted Sender, Twoje wiadomości będą  oznaczone zieloną kłódką, jak w przypadku używania przez stronę zabezpieczenia SSL.

Do najważniejszych zalet uwierzytelnienia typu Trusted Sender należy:

  • Wyraźny znak graficzny w skrzynce odbiorczej – Twoje wiadomości zostaną wyróżnione;
  • Znak graficzny po otwarciu wiadomości;
  •  Pierwszeństwo w dostarczeniu wiadomości email;
  •  Wiadomości transakcyjne w skrzynce głównej.

Czy wiesz, że Twoje emaile mogą być podglądane?

Czy wiedziałeś, że istnieją osoby zajmujące się profesjonalnie monitorowaniem i przechwytywaniem informacji w sieci? Nazywamy ich snifferami, a ich praca wspomaga służby specjalne przy przeciwdziałaniu próbom zamachów, czy walce z nielegalnym handlem. Niestety jednak sniffing wykorzystywany jest również w inny, negatywny sposób.

Może się zdarzyć, że hakerzy “w locie” przeglądają Twoje emaile i odczytują z nich treść dla własnych korzyści. Takie działanie często powoduje wycieki danych osobowych, lub danych logowania Twoich klientów. Podglądanie wiadomości przez nieupoważnione jednostki jest niezgodne z prawem, a ustrzec się przed nim można tylko wdrażając dodatkowe protokoły zabezpieczające, czy np. mechanizmy kryptograficzne.

Jednym z najskuteczniejszych sposobów zabezpieczenia emaili jest wdrożenie połączenia TLS, które szyfruje pocztę od momentu wyjścia z Twojego serwera do przejęcia wysyłki na serwery providera poczty.

Certyfikaty i uwierzytelnienia

Certyfikat s/mime to najlepsza ochrona dla użytkowników programów pocztowych.  Zwróć uwagę na to, że certyfikat jest wydawany przez specjalny urząd certyfikujący i wymaga przekazania dowodu tożsamości oraz świadectwa zatrudnienia w danej firmie. Innymi słowy, nie ma możliwości aby ktoś spoza Twojej firmy zdobył taki certyfikat dla Twojej domeny.

Oto najważniejsze zalety certyfikatu s/mime:

  • Wyraźny znak graficzny w skrzynce odbiorczej – Twoje wiadomości zostaną wyróżnione;
  • Znak graficzny po otwarciu wiadomości;
  • Wiadomości podpisane cyfrowo danymi Twojej firmy;
  •  Najlepsze zabezpieczenie dla użytkowników programów desktopowych (Thunderbird, Outlook, Apple Mail, The Bat!).

Kiedy wysyłki są już poprawnie zabezpieczone

Teraz czas zastanowić się, czy Twoje emaile docierają bez żadnego problemu do skrzynki głównej adresatów. Kiedy prawidłowo nadana i zabezpieczona wiadomość wychodzi z serwera warto analizować co się z nią dalej dziejej. Tu przyda się analityka, dzięki której możesz dowiedzieć się, czy wiadomość dotarła do adresata, a jeśli tak, to czy została otworzona lub kliknięto w link. Prowadzenie statystyk pozwala diagnozować zaistniałe błędy i naprawiać je w szybki i sprawny sposób.

Szczególnie należy kontrolować, czy:

  • wiadomości docierają – może okazać się, że wiadomości bez żadnego problemu docierają do użytkowników posiadających konto na serwerach Interii i Onetu, ale w Wirtualnej Polsce wpadają do spamu lub są całkowicie blokowane;
  • szybkość z jaką dostarczasz wiadomości transakcyjne jest wystarczająca – pamiętaj, że czas wysłania z Twojego serwera nie jest równoznaczny z dostarczeniem go do użytkownika końcowego;
  • wiadomości są otwierane – jeśli  współczynnik jest mniejszy niż 30%, należy zastanowić się, czy wiadomość docierają do skrzynki adresata;
  • adresaci klikają w link – niska ilość kliknięć w link może oznaczać problem z wyświetlaniem się kreacji lub np. z przyciskiem rejestracji.

Pamiętaj, dostarczalność wiadomości jest najważniejsza. Twój serwer może nie wysłać emaili na czas – ta sytuacja zdarza się w przypadku współdzielenia serwera z innymi użytkownikami lub jeśli wysyłamy duże wolumeny emaili marketingowych jednocześnie z transakcyjnymi. W takim przypadku zalecamy korzystanie z dedykowanego IP pod emaile transakcyjne, co pozwoli rozdzielić te wiadomości od emaili marketingowych.

Dlaczego warto nam zaufać?

Bezpieczeństwo i wydajność technologiczna to fundament naszej działalności. Wierzymy, że wydajny,  bezpieczny  i  niezawodny  system  jest  podstawą każdego  biznesu  internetowego. Nasze serwery kolokowane są w Data Center Beyond.pl  – uznawanym za najnowocześniejszy tego typu obiekt w kraju i Europie.

Beyond.pl  posiada  rozwiązania  gwarantujące  bezpieczeństwo energetyczne na najwyższym poziomie. W skład systemu zasilania energetycznego wchodzą: dwa niezależne przyłącza energetyczne z dwóch niezależnych elektrowni miejskich, dwa niezależne   tory zasilania, niezależne systemy zasilania awaryjnego UPS. Dodatkowe bezpieczeństwo zapewnia spalinowy agregat prądotwórczy firmy MTU  (Mercedes)  wykorzystywany między innymi na łodziach podwodnych, który posiada zbiornik paliwa  z  zapasem  na  minimum  24  godziny  pracy agregatu z możliwością ciągłego dotankowywania.

Dodatkowo nasza firma podlega regularnym audytom bezpieczeństwa prowadzonym przez zewnętrzne firmy consultingowe. Gwarantuje to najwyższą jakość w stosowaniu zabezpieczeń oraz najlepsze przygotowanie na wypadek zmian, takich jak np. wchodzące w najbliższym czasie przepisy dotyczące RODO.

“RODO to unijna regulacja mocno zmieniająca zasady ochrony danych osobowych, która wejdzie w życie 25 maja 2018. Zobowiązuje ona do obracania nimi ze zwiększoną dbałością o prawa osób przetwarzanych, a także umożliwienia im posiadania w tym zakresie wiedzy i wpływu. Wprowadza również obowiązki i sankcje w przypadku nastąpienia wycieku takich danych.

W zakresie mailingu nie bez znaczenia jest ponadto wchodzące również 25 maja rozporządzenie ePrivacy, które zmieni wiele w kwestii kontaktu firm z odbiorcami. Przykładowo znikną ze stron komunikaty o cookies, a telefony od telemarketerów będą łatwiejsze do zidentyfikowania.

Większość przedsiębiorców nie zdaje sobie sprawy z wchodzących zmian i zapewne ich nie wdroży. Nie zabraknie zapewne również prowizorycznych wdrożeń na ostatnią chwilę. Tymczasem o kwestiach tego typu należy myśleć z odpowiednim wyprzedzeniem, aby dbać o dobro danych klientów. “

Tomasz Palak radca prawny w Profit Plus: Biznes Podatki Prawo Księgowość. Autor bloga www.tomaszpalak.pl . Znany m.in z tego, że systematycznie obala mit prawnika operującego niezrozumiałym językiem.

Dzięki współpracy z wieloma wiodącymi podmiotami w branży ubezpieczeniowej, finansowej, kredytowej i bankowej doskonale znamy rygorystyczne wymogi prawne dotyczące bankowości w Internecie.

W EmailLabs stosujemy wszystkie dostępne zabezpieczenia komunikacji email: SPF, DKIM, DMARC, s/mime, Trusted Sender oraz szyfrujemy komunikację na linii: system klienta – platforma EmailLabs – operatorzy poczty.

Poznaj case study ze współpracy z jednym z wiodących banków w Polsce >>> Raiffeisen Polbank

Chcesz wiedzieć więcej? Napisz do nas i przetestuj naszą usługę za darmo!

Most popular