PKO Leasing rozesłał do części swoich klientów e-mail, w którym informował, co należy zrobić w przypadku problemu z dostępem do swojego serwisu. Opis procedury zawiera instrukcję, która niesie dla użytkownika bankowości online spore zagrożenie. W mailu czytamy bowiem:
Uwaga! Po kliknięciu adresu www.portal.pkoleasing.pl może pojawić się komunikat o problemie z certyfikatem zabezpieczeń. Należy wybrać opcję "Kontynuuj przeglądanie witryny sieci Web".
Innymi słowy instytucja należąca do grupy kapitałowej PKO BP radzi: kliencie, widzisz komunikat o tym, że strona, z którą się łączysz, nie jest bezpieczna? Zignoruj to ostrzeżenie.
Nigdy nie powinniśmy korzystać ze strony związanej z bankowością, która wyświetla się w taki sposób Nigdy nie powinniśmy korzystać ze strony związanej z bankowością, która wyświetla się w taki sposób fot. za zgodą Niebezpiecznik.pl
Zachęcanie do takiego zachowania w przypadku instytucji finansowej jest groźne. Nawet jeśli w tym konkretnym przypadku nie niesie ze sobą bezpośredniego ryzyka, bo strona na którą kieruje np. bank czy inna instytucja finansowa, nie służy do zawierania transakcji, liczy się sygnał wysłany użytkownikowi. Chodzi po prostu o propagowanie bardzo złych nawyków.
Przestępcy chcący oszukać użytkowników instytucji finansowych robią wszystko, by skierować ich na fałszywe strony. Często jedynym ostrzeżeniem dla internauty jest właśnie informacja o błędzie certyfikatu. To ostrzeżenie: nie potwierdzamy, że ta strona należy do banku. Hakerzy liczą na to, że użytkownik zaloguje się na stronie, ignorując ostrzeżenie. Należy pamiętać o tym, że certyfikaty SSL, z których korzystają instytucje finansowe, mają wysoki poziom bezpieczeństwa.
Certyfikat SSL niższego szczebla
Nie można ich bowiem wydać bez potwierdzenia wszystkich danych występującego o certyfikat. Obok symbolu kłódki widnieje napis "Bezpieczna", a po kliknięciu w zielony napis zobaczymy nazwę instytucji, na którą wystawiono certyfikat.
PKO Leasing przyznaje się do błędu
Na szczęście firma zaalarmowana przez portal Niebezpiecznik podjął odpowiednie kroki i przyznał, że popełnił błąd, doradzając klientom potencjalnie niebezpieczne zachowanie.
W dniach 28 kwietnia do 4 maja br., z uwagi na prawne połączenie PKO Leasing z Raiffeisen-Leasing Polska, prowadzone były zmiany w systemach informatycznych obu spółek, niezależnych od PKO Banku Polskiego. Klienci PKO Leasing otrzymali e-mailing z linkiem do logowania do Portalu, który w związku z fuzją został udostępniony pod nowym adresem. W komunikacji tej nie powinno było pojawić się sformułowanie namawiające do zignorowania komunikatu błędu certyfikatu. Źródłem problemu z certyfikatami był fakt finalnego wyboru i zakomunikowania klientom domeny https://portal.pkoleasing.pl, a nie jak początkowo zakładano https://www.portal.pkoleasing.pl.
Przedstawiciel PKO podkreśla, że pieniądze klientów nie były w tej konkretnej sytuacji zagrożone.
Błąd w komunikacie do Klientów nie prowadził do zagrożenia utraty ich danych czy włamania, ponieważ połączenia były cały czas szyfrowane. Portal nie jest też systemem transakcyjnym, nie można za jego pomocą zaciągać zobowiązań finansowych. Zawiera informacje dotyczące posiadanych umów, promocji marketingowych, stanowi dodatkowy kanał kontaktu ze spółką. Komunikacja błędnej treści klientom miała charakter jednorazowy. Komunikat został wysłany po godzinie 17:00. Problem został usunięty około godziny 21:00 poprzez skonfigurowanie domeny https://www.portal.pkoleasing.pl, aby była zabezpieczona poprawnym certyfikatem. Klientów przepraszamy za powstałe zamieszanie.
Incydent na szczęście nie doprowadził do strat finansowych, ale sytuacja jest dobrą okazją, by przypomnieć, że certyfikatów SSL nie można ignorować.
