時折、利用中のクレジットカード会社から電子メールのダイレクトメールがやってきます。
利用しているどの会社も大丈夫なのだろうかと感じてしまいます。

1.会社名とメール送信元ドメインが違う。 2.メール内に記載されたurlがhttp。 3.メール内のurlが検索エンジンでヒットするドメインと違う(一応両方共本物でした) 4.メールが非ssl/tlsで送信されている。 5.電子署名が無い。

クレジットカード関連のメールは基本疑ってかかっているので、最後に書いた電子署名はともかくとしてそれ以外に当てはまるメールは胡散臭く感じるんですよね。
本当にこれ正しいの? と。

疑わしいのでメール本文内のリンクは辿らず、サイトで目的のページへ移動するようにしています。

サイトに関しても結構重要な情報を扱う割に、パスワード長が短いとか文字種が数字のみとか、
二要素認証の項目が用意に推測可能な個人情報を元にしているとか、正直な話、アカウントを作らなくて済むのであれば作りたくありません。
アカウントがそもそも無ければ、クレジットカード会社のアカウントを悪用できませんし。

この辺のことってエンドユーザーのリテラシーに合わせた結果なのでしょうか。
セキュリティと利便性って相反しやすいものですが、だからといってセキュリティが軽視されるのは……