Witam,

chciałem się podzielić wątpliwościami dotyczącymi "uwierzytelniania się"
telefonicznego w banku Credit Agricole (dawniej Lukas).

Otóż zadzwonił do mnie na telefon komórkowy ktoś z zastrzeżonego numeru
(czyli anonim), przedstawił się z imienia i nazwiska i poinformował,
że dzwoni z banku. Zapytał, czy rozmawia z [imię nazwisko] - czyli
ze mną. Potwierdziłem. Wtedy powiedział, że ma ofertę korzystnego
inwestowania "nadwyżek pieniędzy" na koncie. OK, powiedziałem
- mam chwilę czasu, posłucham.

....i wtedy powiedział, że musi się upewnić, czy ja to na pewno ja.
Prosi więc o podanie daty urodzenia. Podałem. Ale to nie wystarczyło.
Pytał jeszcze o sześciocyfrowy kod dostępu do "bankowości telefonicznej".
Tego było mi już za dużo i podziękowałem za rozmowę.

Czy to rzeczywiście jest normalna procedura prowadzenia rozmowy
z klientem? Jak to się ma do bezpieczeństwa systemu?
Dzwoni do mnie anonim i prosi o dane pozwalające korzystać
z banku przez telefon... Podam je, a on sobie zadzwoni w moim
imieniu do banku i przeleje pieniądze na swoje konto?
Bo ja nie mam żadnej możliwości sprawdzenia, że dzwoni do mnie
ktoś z "mojego" banku.


P.

On Dec 20, 11:45 pm, Piotrne <piotr1...@poczta.onet.pl> wrote:

Czy to rzeczywiście jest normalna procedura prowadzenia rozmowy
z klientem? Jak to się ma do bezpieczeństwa systemu?
Dzwoni do mnie anonim i prosi o dane pozwalające korzystać
z banku przez telefon... Podam je, a on sobie zadzwoni w moim
imieniu do banku i przeleje pieniądze na swoje konto?
Bo ja nie mam żadnej możliwości sprawdzenia, że dzwoni do mnie
ktoś z "mojego" banku.

Normalna w CA. Ja kazałem spadać na drzewo jeszcze przed podaniem daty
urodzenia. Z ciekawostek - byłem ostatnio w oddziale temacie tokena/
haseł SMS - tu znowu jakiś debil wymyślił, że hasło nie może mieć
więcej niż 10 znaków - bo k***wa co?

mucher

Piotrne wrote:

Czy to rzeczywiście jest normalna procedura prowadzenia rozmowy
z klientem?

Nie.
Ty sie uwierzytelniasz jak dzownisz do banku.

Bank sie uwierzytelnia jak dzowni do ciebie. Np popros o cztery ostatnie cyfry swojego rachunku.

Jak sie nie chca "przedstawic" to wskaz im najblizszy oddzial pocztowy do przedstawienia ich genialnych rewelacji.

Piotrne napisał(a) :

Witam,

chciałem się podzielić wątpliwościami dotyczącymi "uwierzytelniania się"
telefonicznego w banku Credit Agricole (dawniej Lukas).

Otóż zadzwonił do mnie na telefon komórkowy ktoś z zastrzeżonego numeru
(czyli anonim), przedstawił się z imienia i nazwiska i poinformował,
że dzwoni z banku. Zapytał, czy rozmawia z [imię nazwisko] - czyli
ze mną. Potwierdziłem. Wtedy powiedział, że ma ofertę korzystnego
inwestowania "nadwyżek pieniędzy" na koncie. OK, powiedziałem
- mam chwilę czasu, posłucham.

....i wtedy powiedział, że musi się upewnić, czy ja to na pewno ja.
Prosi więc o podanie daty urodzenia. Podałem. Ale to nie wystarczyło.
Pytał jeszcze o sześciocyfrowy kod dostępu do "bankowości telefonicznej".
Tego było mi już za dużo i podziękowałem za rozmowę.

Czy to rzeczywiście jest normalna procedura prowadzenia rozmowy
z klientem? Jak to się ma do bezpieczeństwa systemu?
Dzwoni do mnie anonim i prosi o dane pozwalające korzystać
z banku przez telefon... Podam je, a on sobie zadzwoni w moim
imieniu do banku i przeleje pieniądze na swoje konto?
Bo ja nie mam żadnej możliwości sprawdzenia, że dzwoni do mnie
ktoś z "mojego" banku.

Nie podawaj następnym razem nawet daty urodzenia. Ani anonimom, ani nieznanym Tobie osobom dzwoniącym z numeru, który nawet możesz mieć zapisany. W dzisiejszych czasach nie stanowi żadnego problemu prezentacja fałszywego numeru osoby dzwoniącej.

Weź pod uwagę, że możesz być celem spersonalizowanego ataku. Nie musi być on natychmiastowy. Jednym razem dostaną datę urodzenia, innym razem którąś cyfrę PESEL-u, kolejnym razem nazwisko panieńskie matki. I cegiełki powoli się składają do kupy.
Paranoja? Twoje dane, Twój interes.

--
Pozdrawiam
    Zbyszek
PGP key: 0x1E6680DF

[Człowiek zaczyna używać dopiero wtedy rozumu, gdy kończą mu się wszystkie możliwości.]