Coraz więcej dochodzi do mnie sygnałów, że złodzieje naszych pieniędzy chętnie wracają do „analogowych” sposobów zdobywania informacji, które pozwolą im zdobyć dostęp do naszych pieniędzy. Na e-mailowy spam jesteśmy coraz odporniejsi, więc znów robi się moda na… dzwonienie do nas. Nie chodzi nawet o stary jak świat patent z kradzieżą „na wnuczka” (dzwoni człowiek podający się za wnuczka, który błaga o pomoc – czyli żeby mu pożyczyć pieniądze), który ostatnio zyskał swoją facebookową mutację…
Czytaj: Jak nie da się okraść metodą „na wnusia z Facebooka”?
- Osiągnąłeś sukces? Nie chcesz tego zaprzepaścić? Zaplanuj sukcesję. Może w tym pomóc notariusz. A jak? Oto przegląd opcji [POWERED BY IZBA NOTARIALNA W WARSZAWIE]
- Kiedy przychodzi ten moment, że jesteś już gotowy do lokowania części oszczędności za granicą? Pięć warunków, od których to zależy [POWERED BY RAISIN]
- Tego jeszcze nie było. Złoto drożeje szybciej niż akcje. Jak inwestuje się w „papierowy” kruszec? I po co w ogóle to robić? [POWERED BY XTB]
…lecz o podszywanie się pod pracowników banków. Taki złodziej zadzwoni do nas i powie, że nasze konto zostało zhakowane, zaś jedymym sposobem na uratowanie pieniędzy jest… podanie loginu i hasła. A potem oczywiście trzeba zostać na linii i podać jeszcze hasło SMS-owe, które „bank właśnie wysłał, żeby potwierdzić zablokowanie przelewu do złodzieja”. Hasło SMS-owe oczywiście jest potrzebne tylko po to, by potwierdzić transakcję zleconą przez złodzieja, czyli przelew pieniędzy na kontrolowane przez niego konto.
To nie są bajki o żelaznym wilku, to prawdziwa historia, która się zdarzyła niedawno i która spowodowała, że jeden z moich czytelników stracił pieniądze. Można powiedzieć, że człowiek był naiwny. Ale można też powiedzieć, że instytucje finansowe dość lekkomyślnie – biorąc pod uwagę to w jak niebezpiecznych czasach żyjemy – ustawiają swoje procesy.
Zobacz też: Jak nie dać się okraść z pieniędzy przez internet?
Tak, jak powoli odchodzą od SMS-ów autoryzacyjnych (które można zdalnie przechwycić jeśli na smartfonie jest wirus) na rzecz autoryzacji mobilnej, powinny też zmodyfikować proces uwierzytelniania się przy rozmowie klienta z konsultantem przez telefon. Zwłaszcza wtedy, gdy to bankowcy dzwonią do klientów, a nie an odwrót.
„Piszę do Pana, gdyż wierzę, że Pańskie felietony czytają wpływowe osoby w bankach. Zależy mi na bezpieczeństwie banków i kształtowaniu bezpiecznych postaw w społeczeństwie. Zauważyłem, że w Nest Banku istnieje procedura, która polega na tym, że pracownik dzwoni do klienta, przedstawia się i prosi rozmówcę o podanie różnych danych osobowych w celu uwierzytelnienia klienta. Procedura ta jest niebezpieczna”
– przekonuje mnie jeden z czytelników. I chyba ma rację. Nie chodzi o to, żeby piętnować ten konkretny bank, bo podobne standardy obowiązują w prawie wszystkich instytucjach finansowych w kraju. Na tym konkretnym przykładzie – razem z moim czytelnikiem – chcemy pokazać, że czas na zmiany. Jak wygląda rozmowa pracownika banku z klientem? I dlaczego niesie za sobą niebezpieczeństwa?
Po pierwsze: pracownik banku dzwoni z numeru, który nie jest ujawniony jako numer kontaktowy Nest Banku w żadnych dokumentach, umowach, ani na stronie internetowej banku. Klient nie może więc zweryfikować, że połączenie przychodzi z numeru, który jest powiązany z bankiem. Może dzwonić pan Józio i też przedstawić się jako Nest Bank, prosząc np. o dane z dowodu osobistego klienta.
Po drugie: pracownik banku nie jest w stanie uwiarygodnić się, podać żadnego dowodu, iż rzeczywiście dzwoni z tego banku, bądź z jakiegokolwiek banku. Mój czytelnik poprosił tego pracownika, by w celu uwiarygodnienia się podał wartość groszy salda konta klienta. Niestety, pomysł został wyśmiany. Pracownik powiedział tylko jak się nazywa. Ale żeby zweryfikować, że taki człowiek rzeczywiście pracuje w banku trzeba byłoby się rozłączyć i zadzwonić do banku.
Po trzecie: pracownik, w celu weryfikacji klienta, zadaje pytania o dane wrażliwe. Numery, adresy, nazwiska. Po co? Czy naprawdę nie można połączyć biometrii głosowej, weryfikacji twarzy i jakiegoś hasła jednorazowego, które w momencie połączenia wyświetliłoby się w aplikacji mobilnej banku, którą klient ma w telefonie? Bank przyzwyczaja klientów do podawania danych osobowych i nie tylko tych każdemu kto przedstawi się jako przedstawiciel banku.
„Podczas rozmowy z konsultantami tego banku zwracam im uwagę na niebezpieczeństwo tej procedury, ale mam wrażenie, że to nic nie da. Pomyślałem, że gdyby napisał Pan felieton w tym temacie, to byłaby jakaś szansa na zmianę tej procedury w tym banku”
– pisze do mnie czytelnik. Cóż, powtarzam – tu nie chodzi o jeden, konkretny bank. Tu chodzi o sposób, w jaki banki komunikują się z nami przez telefon. Po erze ataków phishingowych, w których socjotechnika złodziei działała przez e-maila teraz coraz częściej wraca phishing telefoniczny. Nieprzypadkowo. Złodzieje po prostu zauważyli, że ten sposób kontaktu banku z klientem jest znacznie słabiej zabezpieczany. A przecież nie byłoby trudno wprowadzić dodatkowe zabezpieczenia, o których napisałem wyżej.
Tutaj podobny przypadek wyłudzania danych – czytaj w „Niebezpieczniku”
Zapisz się na mój newsletter! Kliknij ten link i się zapisz, a raz w tygodniu prześlę Ci coś ciekawego, a w prezencie dostaniesz pakiet użytecznych poradników, m.in. przegląd kont bankowych ułatwiających oszczędzanie.
Czytaj: Banki testują weryfikację tożsamości za pomocą… internetowej kamerki
źródło ilustracji tytułowej mimzy/Pixabay.com