Temat: Przez telefon każdy rozmówca jest z banku

http://technologie.gazeta.pl/internet/1,104665,1040845...
...chyba wiem, o który bank chodzi :-)
"Na internetowych stronach banków zamieszczone są solenne zapewnienia o dbaniu o naszym bezpieczeństwie, oraz przypomnienia, że przedstawiciele banku nigdy nie poproszą o dane naszego konta. Ale kiedy bank ma do nas jakąś sprawę, oczekuje, że podamy mu dane osobowe w ciemno, pomimo że pod bank z łatwością ktoś mógłby się podszyć.

Przy kontaktach z każdą współczesną instytucją finansową możemy się spodziewać takiego, znanego czytelnikom telefonu:
- Dzień dobry czy to Pan / Pani N N?
- A o co chodzi?
- To mogę powiedzieć dopiero kiedy dowiem się czy rozmawiam z Panem / Panią N N.
- Ale o co chodzi?
- Mogę powiedzieć, że dzwonię z banku.
Oprócz nazwiska, "przedstawiciele” proszą też czasami o podanie używanych do autoryzacji danych osobowych - fragmentu daty urodzenia, czy nazwiska panieńskiego matki. W najbardziej kuriozalna wersja tej rozmowy z jaką miałem doc czynienia, dzwoniący nie przedstawił się jako pracownik banku, ale jako pracownik podwykonawcy banku. Paradoksalnie, trochę zwiększało to jego wiarygodność. Przestępca nie musiałby tego powiedzieć.

Jednak z punktu widzenia bezpieczeństwa, rozwiązanie takie jest skandaliczne: musimy nawiązać kontakt z osobą, której tożsamości nie mamy jak sprawdzić, i w celu wzajemnego uwierzytelnienia, przekazać jej informacje wrażliwe, część informacji używanych do autoryzacji wobec banku. Same te informacje nie pozwolą się zalogować, ale mogą posłużyć do przygotowywania treści do dalszego wyłudzenia informacji o konkretnej osobie. Jak to działa, opisał znany hacker Kevin Mitnick w swojej "Sztuce podstępu”, to elementarz inżynierii społecznej.

Jak to rozwiązać? W kryptografii istnieje pojęcie dowodów z wiedzą zerową (zero-knowledge proofs), dzięki którym mozna udowodnić, że się jakąś informację posiada, bez jej ujawniania. Pytanie o pojedyńcze znaki hasła jest techniką tego typu, ale niedoskonałą - podsłuchanie wielu rozmów doprowadzi do ujawnienia całego hasła. Inne podejścia do dowodów z wiedzą zerową są zbyt skomplikowane dla przeciętnego klienta banku. Ale można to rozwiązać inaczej

Kiedy trzeba mieć pewność, że telefoniczny rozmówca jest tym za kogo się podaje, wystarczy mieć możliwość oddzwonienia na ogólnie znany numer tego miejsca i połączenie w jakiś sposób z rozmówcą.Ten sposób też nie jest doskonały, ale zapewnia wystarczający poziom bezpieczeństwa.

Gdyby więc tajemniczy bankowi rozmówcy mogli powiedzieć:
- Skoro nie mają państwo pewności, że dzwonię z banku, proszę oddzwonić na infolinię banku, wybrać 3, wybrać 0 i mój kod 2435 i zostaniemy połączeni przez centralę.

...można byłoby mieć pewność że rozmawia się z przedstawicielem banku. Dopóki taka możliwość się nie pojawi i dopóki nie skończą się anonimowe bankowe telefony, zapewnienia banków o dbaniu o nasze bezpieczeństwo, będą tylko marketingowym pustosłowiem."

Temat: Przez telefon każdy rozmówca jest z banku

Osobiście mam zablokowane połączenia z zastrzeżonych numerów. Jeśli dzwoni do mnie ktoś z banku, to z lokalnego numeru, przedstawiając się imieniem i nazwiskiem, co więcej jest to osoba, która widuje będąc w placówce. Nie zdarzyło mi się by ktoś dzwoniąc do mnie prosił o część hasła, bądź nazwisko rodowe matki, te czynności są wykonywane kiedy to ja dzwonie na infolinie w celu potwierdzenia mojej tożsamości.
Prowadzone działania opisane przez Ciebie, występują w działach windykacji,ale też dotyczy to tylko pytania o imię i nazwisko. I zawsze firmy te dają możliwość oddzwonienia na podany przez agenta numer. Podawanie osobie dzwoniącej takich danych przez telefon, jest dla mnie tożsame z akceptacją regulaminu bez jego wcześniejszego przeczytania ;)

Temat: Przez telefon każdy rozmówca jest z banku

Wrzucałem też tutaj info o możliwości podszywania się pod dowolny numer. Oczywiście wymaga to nieco zachodu, ale poziom naiwności ludzkie jest przeogromny. Nie będę przytaczał linka, ale na "Niebezpieczniku" ludzie w komentarzach zostawiali loginy i hasła do kont, bo myśleli , że to skrypt do SMS

Temat: Przez telefon każdy rozmówca jest z banku

To niestety zdarza się bardzo często.
Ostatnio pan z infolinii pewnego banku (mam nadzieję, że stamtąd) był bardzo zdziwiony że nie chcę podać swojej daty urodzenia i adresu kiedy to on dzwonił do mnie.
A proponował potwierdzenie swojej tożsamości poprzez telefon na infolinię banku i zapytanie o to czy tam pracuje - ale po naszej rozmowie.
Niedopuszczalne.

Rola Operatora CC jest dziś niełatwa.

Temat: Przez telefon każdy rozmówca jest z banku

rzeczywiście banki mają teraz przedziwne poczucie własnej "wartości"
- dzwoni do mnie regularnie ktoś z ( mam nadzieję ) mojego banku - oczywiście bez identyfikacji numeru bo taniej , chce przedstawić ofertę i w tym celu mnie identyfikuje ...jakieś żarty

Temat: Przez telefon każdy rozmówca jest z banku

jeśli ja potrzebuję jakiegoś produktu bankowego, to ja inicjuję kontakt.
Jakoś przedawca warzyw z osiedlowego sklepu nie musi do mnie dzwonić, ze ma właśnie świeże pomidory prosto z krzaka, bo wie, że i tak do niego przyjde, tak samo bank nie musi dzwonić...