Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
PKO BP wprowadza super metodę ochrony przed spoofingiem telefonicznym/lewymi konsultantami banku
Na wstępie – żeby wykonać weryfikację, musisz posiadać aktywną appkę mobilną banku – IKO.
No więc, dzwoni konsultant lub „konsultant” z PKO BP (może nawet widzisz prawdziwy numer infolinii bankowej – może to być spoofing numeru) i prosi Cię o jakieś dane. Grzecznie poproś: chciałbym zweryfikować pana/pani tożsamość w appce IKO.
Tutaj ważne: musisz o to poprosić, bankowa appka nie zadziała automatycznie.
W tym momencie (no dobra, po krótkiej chwili) powinieneś otrzymać w appce powiadomienie wysłane przez bank, zawierające dane konsultanta (imię, nazwisko, stanowisko, oddział z którego dzwoni) – to w przypadku jeśli rzeczywiście takie połączenie zostało wykonane przez kogoś z banku (lewy „konsultant” nie będzie w stanie wysłać Wam takiego powiadomienia).
Dla pewności możesz teraz poprosić dzwoniącego o ponowne przedstawienie się. Porównaj dane z tym co otrzymałeś w appce. Jeśli wszystko się zgadza, możesz kontynuować rozmowę. Jeśli nie – zadzwoń do banku z alertem.
Cała procedura wyjaśniona jest tutaj w skondensowanej formie, bez zbędnego marketingu – brawo!
Podobną funkcję ma też mBank.
~Michał Sajdak
Nie prościej było zrobić możliwość dzwonienia konsultanta przez apkę bankową do klienta ?
IKO już ma taką możliwość, jak dzwonisz na infolinie z apki, to nie musisz się drugi raz weryfikować w żaden sposób (od razu konsultant wie kim jesteś)
ale tu chodzi o weryfikację konsultanta Z banku który zadzwoni do klienta, a nie klienta który dzwoni DO banku
mówisz o sytuacji „Klient dzwoni do Banku” a tutaj chodzi o sytuację odwrotną :-)
Ale mało która osoba będzie w staje rozróżnić czy dzwonią przez aplikacje czy nie.
Różnica może być tak mama że można niezauważyć w jaki sposób masz połączenie.
A weryfikacja opisana wyżej jest jednoznaczna.
A skąd prawdziwy konsultant banku miałby wiedzieć, że do Ciebie dzwoni fałszywy konsultant? Sam musisz to sprawdzić w aplikacji IKO lub przerwać połączenie i zadzwonić do banku. Aplikacja umożliwia sprawdzenie wiarygodności konsultanta, bez konieczności przerywania połączenia telefonicznego.
A ilu podatnych klientów ma aplikacje banku? Zresztą to i tak wiele nie da bo: Andriej powie, że teraz jest chwilowa awaria na serwerze i robot wyśle dane pracownika bezpieczeństwa przez SMS. Skoro ludzie dają sobie wmówić, że zgodnie z regulaminem banku potrzebują teamViewra albo anydesk to sztuczka z smsem się nie uda? Albo nawet taki sms zostanie wysłany po kilku minutach rozmowy gdy Andriej wyczuje, że ofiara jest potencjalnie podatna. Andriej spokojnie wyjaśni, że robot bankowy wysłał sms z danymi aby potwierdzić autentyczny kontakt pracownika z banku. Na naiwność ludzką nie ma siły jak nie tak to inaczej…
Nie są pierwsi? Mbank robi to od dawna, na pewno przy wymianie walut. Konsultant informuje, że wyskoczy powiadomienie w apce z jego danymi.
Nigdy mi się nic takiego nie pokazało w apce. Co gorsza konsultanci dzwonią z prywatnych numerów i proszą o nazwisko panieńskie matki i datę urodzenia w celu potwierdzenia.
Przecież podobne rozwiązanie od dawna ma również mBank? Dzwonią do Ciebie i w trakcie rozmowy, wysyłają powiadomienie w apce, które trzeba potwierdzić i dopiero wtedy przechodzą do właściwego tematu rozmowy. Co jest nadzwyczajnego w rozwiązaniu PKO?
Wlasnie to, ze PKO zaplacil za reklame. No przeciez nie przez przypadek ostatnio mocno reklamuja ta apke gdzie sie tylko da.
Vo z tego że wprowadza. Dziś właśnie usunąłek konto i wszystkie lokaty, bo drugi rok z oprocentowanirm 0,01% nie zdzierżę. W innych bankach jest juz 2%.
Ochrona osób mniej więcej świadomych zagrożeń. Fajnie, że jest, ale czy to coś zmieni?
Ale mało która osoba będzie w stanie rozróżnić czy dzwonią przez aplikacje czy nie.
Różnica może być tak mała że można niezauważyć w jaki sposób otrzymałeś połączenie.
A weryfikacja opisana wyżej jest jednoznaczna.
Na geniuszy ktorzy sie na to nabieraja to za malo. Albo tego nie ogarna albo ukrainiec w sluchawce im powie, ze to blad systemu i on zastepuje kolege, ktory byl oszustem i go policja wlasnie zabrala dlatego on dzwoni, zeby geniusza uratowac.
mBank już od dawna na takie coś
Najlepiej by zrobili jakby przestali z byle powodu wydzwaniać do klientów. Jak z innego banku dzwonią to od razu coś zaczynam podejrzewać, a PKO uśpiło moją czujność.
Wyłącz zgody i nie będą dzwonić. Ja tak zrobiłem i od 2019 roku dzwonią do mnie tylko z potwierdzeniem transakcji powyżej 20k PLN.
mBank też tak robi, tyle że z defaultu. Dzwoni do mnie pani i prosi o potwierdzenie tożsamości w aplikacji mobilnej. Oni wiedzą że ja to ja, a ja wiem kto do mnie dzwoni i z którego oddziału.
Dziś rozmawiałem z konsultantem mBanku i wygląda to podobnie. Nie wiedziałem o tym, konsultantka sama poinformowała mnie, że teraz jest taka procedura. Musiałem zalogować się na aplikacje bankową i autoryzować rozmowę.
W mBanku jest to od dawna – pamiętam potwierdzanie pusha w apce w październiku 2020 (a pewnie było wcześniej).
A na czacie z konsultantem play dalej wymaganie pesel i ukrywanie się konsultantów pod nickami czy numerami id :)
A nie lepiej w końcu pozwolić na logowanie za pomocą klucza u2f? Najprostszy i najbezpieczniejszy sposób logowania. Stracisz login i hasło to i tak się nie zalogują bez klucza sprzętowego.
Ale przecież to są dwie różne rzeczy -> logowanie do banku vs dzwoni konsultant i o „cośtam” prosi
Naprawdę super zabezpieczenie, A nie można zadzwonić do banku żeby dowiedzieć się ich oferty, wtedy na pewno odbierze jakiś konsultant i się przedstawi, resztę danych na pewno można „wygooglować”. ;p i można dzwonić do ofiar :)