1 grudnia 2017

Uwaga! Oszukują nas przez telefon! Jak się zachować, gdy dostaniemy telefon „z banku”?

Coraz więcej dochodzi do mnie sygnałów, że złodzieje naszych pieniędzy chętnie wracają do „analogowych” sposobów zdobywania informacji, które pozwolą im zdobyć dostęp do naszych pieniędzy. Na e-mailowy spam jesteśmy coraz odporniejsi, więc znów robi się moda na… dzwonienie do nas. Nie chodzi nawet o stary jak świat patent z kradzieżą „na wnuczka” (dzwoni człowiek podający się za wnuczka, który błaga o pomoc – czyli żeby mu pożyczyć pieniądze), który ostatnio zyskał swoją facebookową mutację…

Czytaj: Jak nie da się okraść metodą „na wnusia z Facebooka”?

…lecz o podszywanie się pod pracowników banków. Taki złodziej zadzwoni do nas i powie, że nasze konto zostało zhakowane, zaś jedymym sposobem na uratowanie pieniędzy jest… podanie loginu i hasła. A potem oczywiście trzeba zostać na linii i podać jeszcze hasło SMS-owe, które „bank właśnie wysłał, żeby potwierdzić zablokowanie przelewu do złodzieja”. Hasło SMS-owe oczywiście jest potrzebne tylko po to, by potwierdzić transakcję zleconą przez złodzieja, czyli przelew pieniędzy na kontrolowane przez niego konto.

To nie są bajki o żelaznym wilku, to prawdziwa historia, która się zdarzyła niedawno i która spowodowała, że jeden z moich czytelników stracił pieniądze. Można powiedzieć, że człowiek był naiwny. Ale można też powiedzieć, że instytucje finansowe dość lekkomyślnie – biorąc pod uwagę to w jak niebezpiecznych czasach żyjemy – ustawiają swoje procesy.

Zobacz też: Jak nie dać się okraść z pieniędzy przez internet?

Tak, jak powoli odchodzą od SMS-ów autoryzacyjnych (które można zdalnie przechwycić jeśli na smartfonie jest wirus) na rzecz autoryzacji mobilnej, powinny też zmodyfikować proces uwierzytelniania się przy rozmowie klienta z konsultantem przez telefon. Zwłaszcza wtedy, gdy to bankowcy dzwonią do klientów, a nie an odwrót.

„Piszę do Pana, gdyż wierzę, że Pańskie felietony czytają wpływowe osoby w bankach. Zależy mi na bezpieczeństwie banków i kształtowaniu bezpiecznych postaw w społeczeństwie. Zauważyłem, że w Nest Banku istnieje procedura, która polega na tym, że pracownik dzwoni do klienta, przedstawia się i prosi rozmówcę o podanie różnych danych osobowych w celu uwierzytelnienia klienta. Procedura ta jest niebezpieczna”

– przekonuje mnie jeden z czytelników. I chyba ma rację. Nie chodzi o to, żeby piętnować ten konkretny bank, bo podobne standardy obowiązują w prawie wszystkich instytucjach finansowych w kraju. Na tym konkretnym przykładzie – razem z moim czytelnikiem – chcemy pokazać, że czas na zmiany. Jak wygląda rozmowa pracownika banku z klientem? I dlaczego niesie za sobą niebezpieczeństwa?

Po pierwsze: pracownik banku dzwoni z numeru, który nie jest ujawniony jako numer kontaktowy Nest Banku w żadnych dokumentach, umowach, ani na stronie internetowej banku. Klient nie może więc zweryfikować, że połączenie przychodzi z numeru, który jest powiązany z bankiem. Może dzwonić pan Józio i też przedstawić się jako Nest Bank, prosząc np. o dane z dowodu osobistego klienta.

Po drugie: pracownik banku nie jest w stanie uwiarygodnić się, podać żadnego dowodu, iż rzeczywiście dzwoni z tego banku, bądź z jakiegokolwiek banku. Mój czytelnik poprosił tego pracownika, by w celu uwiarygodnienia się podał wartość groszy salda konta klienta. Niestety, pomysł został wyśmiany. Pracownik powiedział tylko jak się nazywa. Ale żeby zweryfikować, że taki człowiek rzeczywiście pracuje w banku trzeba byłoby się rozłączyć i zadzwonić do banku.

Po trzecie: pracownik, w celu weryfikacji klienta, zadaje pytania o dane wrażliwe. Numery, adresy, nazwiska. Po co? Czy naprawdę nie można połączyć biometrii głosowej, weryfikacji twarzy i jakiegoś hasła jednorazowego, które w momencie połączenia wyświetliłoby się w aplikacji mobilnej banku, którą klient ma w telefonie? Bank przyzwyczaja klientów do podawania danych osobowych i nie tylko tych każdemu kto przedstawi się jako przedstawiciel banku.

„Podczas rozmowy z konsultantami tego banku zwracam im uwagę na niebezpieczeństwo tej procedury, ale mam wrażenie, że to nic nie da. Pomyślałem, że gdyby napisał Pan felieton w tym temacie, to byłaby jakaś szansa na zmianę tej procedury w tym banku”

– pisze do mnie czytelnik. Cóż, powtarzam – tu nie chodzi o jeden, konkretny bank. Tu chodzi o sposób, w jaki banki komunikują się z nami przez telefon. Po erze ataków phishingowych, w których socjotechnika złodziei działała przez e-maila teraz coraz częściej wraca phishing telefoniczny. Nieprzypadkowo. Złodzieje po prostu zauważyli, że ten sposób kontaktu banku z klientem jest znacznie słabiej zabezpieczany. A przecież nie byłoby trudno wprowadzić dodatkowe zabezpieczenia, o których napisałem wyżej.

Tutaj podobny przypadek wyłudzania danych – czytaj w „Niebezpieczniku”

Zapisz się na mój newsletter! Kliknij ten link i się zapisz, a raz w tygodniu prześlę Ci coś ciekawego, a w prezencie dostaniesz pakiet użytecznych poradników, m.in. przegląd kont bankowych ułatwiających oszczędzanie.

Czytaj: Banki testują weryfikację tożsamości za pomocą… internetowej kamerki

źródło ilustracji tytułowej mimzy/Pixabay.com

 

10
Dodaj komentarz

avatar
7 Comment threads
3 Thread replies
0 Followers
 
Most reacted comment
Hottest comment thread
10 Comment authors
Maciej SamcikMichałGZ87Darek SiczekPolokokt Recent comment authors
  Subscribe  
najnowszy najstarszy oceniany
Powiadom o
Mateusz
Gość
Mateusz

Ostatnio dzwonil do mnie millenium bank „dzien dobry dzwonie z millenium banku w celu informacyjnej – slucham – ale najpierw musze zweryfikowac kilka danych: nazwisko rodowe mamtki , ojca itd itp”. Nie dosc ze dzwonia do mnie sami, nie inicjowalem tego kontaktu, na numer ktory podalem i wymagaja zebym im podal jakies dane. Na moje oburzenie i odmowienie mowia ze w sumie to nic waznego nie maja.

walus
Gość
walus

Przecież to normalne praktyki banków. Ja zawsze odmawiam odpowiedzi na pytania. Żadnego podawania PESELi ani nazwiska rodowego matki.

m
Gość
m

Mialem podobnie z Tmobile (telecom, nie bank). Od jakiegos czasu (pare lat? ) zlecaja dzwonie z ofertami jakiejs firmie zewnetrznej. Numer sie pokazuje z kierunkowym 22 i pani pyta o haslo aby mogla przedstawic oferte…
Ja osobiscie koncze rozmowe w takim momencie. Ale widac wyciagneli wnioski, bo firma jest dalej, ale juz pojawia mi sie poprawnie ze dzwonia z biura obslugi . Oczywiscie to tez mozna oszukac, ale przynajmniej troche trudniej.

citi bank ma podobne callcenter tez jakis losowy numer z warszawy – i za kazdym razem inny – a przynajmniej tak bylo ze 2 lata temu.

Borys
Gość
Borys

Pod koniec sierpnia zgłosiłem w wiadomościach do dwóch banków (Idea i Millennium, ponieważ one najczęściej do mnie dzwonią) propozycję jak mogą rozwiązać kwestię autentykacji dwóch stron rozmowy telefonicznej.
IdeaBank do tej pory nie odpowiedział… Millennium zaś odpowiedział, że przekazał sugestie to odpowiedniego działu w co prawdę mówiąc, ale niestety wątpię. 😉

Sosna
Gość
Sosna

W Idei pracownicy, po zgłoszeniu wątpliwości, z własnej inicjatywy przesyłają swoją wizytówkę na maila z adresu w domenie banku. Że to faktyczna domena, a nie spoofing, można sprawdzić w opcjach wiadomości.

Polokokt
Gość
Polokokt

Dokładnie tak. Ja z Idei tez prosze u wiarygodniejsze się i dostaje wizytówkę na maila powiązanego z kontem i pracownik oddzwania.

Darek Siczek
Gość

Ja nie mogę jakoś zaufać odciskom własnego palca, czy czytnika twarzy – dla mnie to lekko przerażające, że aż tak łatwo poddajemy się nowej technologii.

GZ87
Gość
GZ87

Panie Redaktorze, proszę sprawdzić definicję „danych wrażliwych”. 🙂

Michał
Gość
Michał

PKO BP ma proces, że jeżeli jakiś przelew nie pasuje im do dotychczasowych schematów zachowań klienta to taki przelew blokują i żądają dodatkowej weryfikacji. Dzwoni Pan/Pani z numeru w Łodzi i żąda danych wrażliwych łącznie z numerem dowodu osobistego!!! Jak zareagowałem z oburzeniem to powiedziano mi abym zadzwonił na infolinię. Zadzwoniłem, gdzie tylko potwierdzono, że taka jest procedura, ale nie mogą zweryfikować mnie gdy sam dzwonie. Jest to jakaś kompletna paranoja, gdyż w przypadku nie podania danych panience dzwoniącej z Łodzi przelew (prawidłowo potwierdzony kodem sms w bankowości internetowej) jest anulowany.

Subiektywny newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślę ci powiadomienie o najważniejszych tematach dla twojego portfela. Otrzymasz też zestaw pożytecznych e-booków. Dla subskrybentów newslettera przygotowuję też specjalne wydarzenia (np. webinaria) oraz rankingi. Nie pożałujesz!

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślę ci powiadomienie o najważniejszych tematach dla twojego portfela. Otrzymasz też zestaw pożytecznych e-booków. Dla subskrybentów newslettera przygotowuję też specjalne wydarzenia (np. webinaria) oraz rankingi. Nie pożałujesz!

Zamknij