Zawsze sobie ceniłem troskę banków o mój portfel. I cieszyłem się, że np. ktoś z działu transakcyjnego dzwoni do mnie, by upewnić się czy to na pewno ja chcę właśnie kupić telewizor za kilka tysięcy złotych. To daje poczucie bezpieczeństwa. Okazuje się jednak, że są klienci, których troska banku… denerwuje
Jak wiadomo, w bankach działają systemy antyfraudowe, których zadaniem jest m.in. wychwytywanie wszelkich nietypowych transakcji. Nietypowość jst tu rozumiana bardzo szeroko. Jeśli kilka godzin temu moja karta była używana w Warzawie, a teraz jest próba autoryzacji transakcji w Tajlandii to gołym okiem widać, że coś tu nie gra. Albo jeśli od piętnastu miesięcy średnie saldo wydatków na karcie wynosi 2000 zł, a teraz ktoś w ciągu godziny robi dwa razy zakupy po 5000 zł, to też można się zdziwić.
- Wymarzony moment, żeby inwestować w fundusze obligacji? Podcast z Pawłem Mizerskim [POWERED BY UNIQA TFI]
- Nowe funkcje terminali płatniczych. Jak biometria zmieni świat naszych zakupów? [POWERED BY FISERV]
- BaseModel.ai od BNP Paribas: najbardziej zaawansowana odsłona sztucznej inteligencji we współczesnej bankowości!? [POWERED BY BNP PARIBAS]
Przyznam, że osobiście wolę, gdy bank jest nadwrażliwy i upewnia się, że moja karta nie została skradziona, niż gdy ma wszystko w nosie i nie interesują go żadne nietypowe zachowania. Szlag mnie trafiał, gdy słyszałem historie o klientach okradanych z pieniędzy przez internet, bo złodzieje – po zhakowaniu ich kont i telefonów – bez żadnych kłopotów mogli „zsypać” wszystkie pieniądze z kont oszczędnościowych i lokat na ROR i wypuścić jednym ogromnym przelewem.
Sorry, ale taka akcja zawsze powinna wzbudzić u bankowców podejrzenia i chęć potwierdzenia, że to rzeczywiście klient robi takie paniczne ruchy, a nie złodziej w jego imieniu.
Kiedy wolę, gdy bank jest wścibski, a kiedy nie?
Są więc sytuacje, w których wolę, gdy bank jest wścibski, ale jest to wsadzanie nosa w nie swoje sprawy wyłącznie dla mojego bezpieczeństwa. Ale są i inne punkty widzenia. Mój czytelnik, klient PKO BP, zaczął zastanawiać się czy przypadkiem taka troska banku nie jest… dziurą w systemie bezpieczeństwa.
„Dziś, po wykonaniu przeze mnie dużego przelewu w bankowości elektronicznej, zadzwonił do mnie pracownik banku z informacją, że przelew wymaga autoryzacji. Aby przejść przez proces autoryzacji przelewu rozówca oczekiwał podania przeze mnie danych wrażliwych. Czy jest to standardowa procedura?”
– zapytał mnie pan Arek. Zgodnie z prawdą odpowiedziałem, że standardowa to ona nie jest na pewno, ale jeśli był to przelew wysokokwotowy, to może system antyrfaudowy „wypluł” prośbę o dodatkowe potwierdzenie.
„Przelew wysokokwotowy, bank na pewno się troszczy, natomiast nie jest dla mnie naturalne to, że ktoś dzwoni do mnie z numeru, którego nie znam, przedstawia się jako pracownik banku – każdy może się tak przedstawić – i oczekuje podania imienia, drugiego imienia, nazwiska, numeru PESEL, nazwiska panieńskiego matki, numeru i serii dowodu osobistego. Jest to dla mnie wielka luka w bezpieczeństwie. Ponadto od podania tych informacji bank uzależnia wykonanie przelewu. Mam aplikację mobilną, mam dostęp do bankowości internetowej, bank ma automatyczną infolinię IVR, a mimo to oczekuje się ode mnie podawania danych wrażliwych przez telefon”
– zżyma się czytelnik i chyba jego też jestem w stanie zrozumieć. To, że system antyfraudowy wytypował transakcję do dodatkowego potwierdzenia nie jest niczym złym. Gdyby pracownik banku zadzwonił do klienta, przedstawił się i poprosił o potwierdzenie, że ów klient chce dokonać tej transakcji… Byłoby mniej kontrowersyjnie. Domyślam się, że bank chciał mieć pewność, że po drugiej stronie nie ma oszusta, który nie tylko przejął konto bankowe pana Arka, ale i jego telefon.
Czytaj też: Gdy bank bawi się z klientami w głuchy telefon. Albo w strusia. W całe stado strusi
Czytaj też: Miało być więcej za mniej, a wyszło jak zwykle, czyli wizja telefoniczna
A jeśli ktoś się podszywa pod bank?
Pytanie czy ta procedura – zacna i potrzebna – powinna przebiegać tak, jak przebiegła. Bo jeśli pracownik banku nie jest pewny czy po drugiej stronie jest klient, czy też ktoś, kto się tylko za klienta podaje, to klient też ma prawo się zastanawiać czy po drugiej stronie „drutu” jest pracownik banku czy też ktoś, kto chce wyłudzić dane klienta. Ktoś mógł przecież podpatrzyć numer telefonu pana Arka i chodzić za nim, żeby wiedzieć kiedy użyje karty do dużej transakcji.
Niemożliwe? Kilka dni temu ING Bank Śląski opublikował na swojej stronie internetowej oraz w mediach społecznościowych komunikat, w którym ostrzega przed nową akcją wymierzoną w jego klientów. Oszuści nie tylko wysyłają do klientów e-maile czy SMS-y podszywające się pod korespondencję z banku, ale też… dzwonią podając się za pracowników banku. Celem tych działań ma być wymuszenie na klientach banku ujawnienia loginów i haseł.
Przeczytaj też: Ostrzeżenie mBanku: uważajcie przy płatności kartą
Oszuści dzwonią do klientów i podają się za pracowników banku. Twierdzą, że po ostatniej awarii systemu transakcyjnego trzeba zabezpieczyć dostęp do systemu „Moje ING”. Wysyłają SMS z linkiem, który prowadzi do fałszywej strony, bardzo podobnej do strony ING. Fałszywa strona wymusza podanie pełnego hasła do systemu internetowego.
Wiadomo: żaden bank nie wysyła SMS-ów, ani e-maili z prośbą o zalogowanie lub podanie danych prywatnych. Nigdy nie wymaga podawania loginu i pełnego hasła do bankowości. Dotyczy to również kodów SMS. Chyba że to sam klient dzwoni do banku
Jak sprawdzić czy dzwonią z banku czy tylko udają?
Załóżmy, że to rzeczywiście dzwonił człowiek z banku. Są dwa sposoby działania, które pozbawiłyby klienta wątpliwości co do konieczności ujawniania danych wrażliwych. Pierwszy to najzwyklejsza w świecie wymiana ustalonych wcześniej haseł. Klient może utworzyć i przekazać bankowi – w jakiejś bezpiecznej procedurze – hasło, którym później musi „wylegitymować” się pracownik. I dopiero po tym „powitaniu” pracownik mógłby zadawać pytania identyfikujące, ale też nie wprost (np. „jak brzmi trzecia litera nazwiska panieńskiego pana matki).
I druga opcja: klient jest przekierowany na infolinię automatyczną banku i tam podaje tonowo losowo wybrane cyfry lub litery. Ewentualnie loguje się do aplikacji mobilnej o „pokazuje się” pracownikowi przez wideoczat. Owszem, to trochę kłopotliwe i odrobinę niekomfortowe, ale być może w erze konieczności chronienia wrażliwych danych trzeba szukać rozwiązań, które pozwalają bankowi potwierdzić nietypową, potencjalnie „fraudową” transakcję i tożsamość klienta, który ją zlecił, ale klientowi z kolei zapewnić poczucie bezpieczeństwa. Bo w tej sprawie ważny jest komfort obu stron.
Problem z wzajemną weryfikacją tożsamości przez telefon to niestety nie jest dziś rzadkość. Z podobnym problemem napisał do mnie klient Raiffeisen Banku:
„Godzina 20.00, telefon z nieznanego numeru. Pani się przedstawia i twierdzi, że dzwoni z firmy XYZ w imieniu Raiffeisen Banku celem weryfikacji i uaktualnienia danych klienta. I… zaczyna mnie o te dane wypytywać. Myślę sobie, że to typowy phishing, próba wyłudzenia danych. Rozłączyłem się, zadzwoniłem na infolinię Raiffeisena i – zaskoczenie – okazało się, że faktycznie wynaleźli jakąś firmę do wydzwaniania po klientach i aktualizacji danych,. Ale w jakim celu?”
Cel jest w tym momencie drugorzędny. Szkoda natomiast, że proces wygląda tak podejrzanie, że niemal co do joty przypomina próbę wyłudzenia danych. Nie rozumiem i nigdy nie zrozumiem polskich banków dlaczego nie ucywilizują tej formy kotaktu z klientami.
zdjęcie tytułowe: Stocksnap/Pixabay
