Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Jesteś klientem mBanku? Zobacz jak możesz sprawnie chronić się przed spoofingiem telefonicznym/lewymi konsultantami

09 lutego 2022, 13:26 | W biegu | komentarzy 27

No więc, dzwoni do Ciebie ktoś, kto przedstawia się jako „konsultant” mBanku. Numer niewiele mówiący, lub nawet numer prawdziwej infolinii bankowej. Ale kto czyta Sekuraka, ten wie że numer dzwoniącego można w łatwy i efektywny sposób podrobić.

No więc jak sprawdzić czy rzeczywiście dzwoni do nas osoba z mBanku? Poprosiłem o kilka szczegółów przedstawicieli banku i procedura wygląda w następujący sposób (fragmenty kursywą to cytaty wypowiedzi mBanku, wytłuszczenia nasze):

1. Inicjowanie połączenia telefonicznego z klientem.

Nasz konsultant przedstawia się z imienia i nazwiska, informuje, że dzwoni z mBanku. Potem zapyta o to czy rozmawia z Panem (żeby wstępnie potwierdzić) później powie, że rozmowa jest nagrywana, opowie o RODO a także przedstawi ogólny powód kontaktu (np. dzwonię w sprawie oferty depozytowej).

Jeśli chce Pan dalej rozmawiać, konsultant ma obowiązek potwierdzić PUSH zarówno swoją, jak i Pana tożsamość (powie mniej więcej: Aby móc kontynuować rozmowę konieczna jest dodatkowa identyfikacja – i wtedy na Pana nr przyjdzie PUSH w aplikacji).

2. Do klienta automatycznie wysyłana jest informacja PUSH na appkę mobilną mBanku (czyli nie musisz o nic prosić konsultanta).

3. Komunikat w appce wygląda jak poniżej. Jeśli wszystko się zgadza – tj. imię i nazwisko, inne dane konsultanta – możemy kontynuować rozmowę (naciskamy: zatwierdź):

Źródło: materiały mBank

4. Zapytacie – po co jeszcze coś zatwierdzać? Wtedy konsultant wie, że rozmawia z nami :) Nie musi zadawać dodatkowych pytań weryfikacyjnych.

Z departamentu relacji z mediami otrzymaliśmy dodatkową informację o dalszych pracach nad tą funkcją: planujemy rozszerzać tę funkcjonalność na kolejne kanały kontaktu z klientem.

Na koniec, dla pewności, zadaliśmy jeszcze jedno, dodatkowe pytanie:

Sekurak: czy każde (prawdziwe) połączenie telefoniczne od mBanku można w ten sposób zweryfikować?

mBank: Nie, w tej chwili jeszcze nie mamy tego na wszystkich wychodzących połączeniach. Obsługujemy tylko część kontaktów, jak np. kontakty doradcy z placówki, kontakty od pracowników bezpieczeństwa etc. Pracujemy nad tym aby inne jednostki również mogły się w ten sposób identyfikować.

Podsumowując, mBank to jeden z niewielu banków w Polsce, który taką funkcję posiada (brawo!). Trzymamy kciuki za dalszy rozwój tego mechanizmu (oraz za wdrożenia w innych bankach).

~Michał Sajdak

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Przemek

    Czy czasem ten scenariusz nie jest podatny na atak MITM?

    Odpowiedz
    • MP

      Teoretycznie jest, ale albo wymagałoby to malware’u na telefonie albo DNS spoofing i podmiany webserwisów banku, trochę za dużo zachodu żeby pogadać sobie z klientem.

      Odpowiedz
  2. Ablam

    Brawo oby tak dalej, bo dotychczas dzwonił Gal Anonim, chciał mi rzekomo coś sprzedać i jeszcze ja miałem się weryfikować – no way!

    Odpowiedz
  3. Dociekliwy...

    A to nie jest tak, że gdy będziemy gdzieś na mieście (via LTE, 5g) i zadzwoni doradca, to rozłączy Nam połączenie internetowe? (wtedy push podczas rozmowy nie przyjdzie na mapkę) – zdaje się, że w większości telefonów tak to właśnie działa…

    Odpowiedz
    • Blasse

      Raczej nie ;)
      Po pierwsze – jeśli telefon obsługuje VoLTE, to połączenie via LTE/5G nie powoduje „zrzucenia” do 2G/3G.
      Po drugie – nawet przy braku obsługi VoLTE i „zrzuceniu” do 2G/3G – połączenie data pozostaje aktywne, jedynie działa na 2G/3G, czyli wolniej. Ale na odebranie powiadomienia push – wystarczy.

      Odpowiedz
      • skurwol

        A oprócz 2G/3G/4G/5G jest jeszcze Wi-Fi

        Odpowiedz
        • Dzek

          Ale Dociekliwy wyraźnie mówił o byciu na mieście, bez Wi-Fi

          Odpowiedz
    • Dzek

      Takie coś było chyba w sieciach 2g, w 3g nie wiem, w 4g nie występuje. Więc na mieście bym się nie martwił, jedynie na wsiach, w lesie itd. ale w lesie i tak bym powiedział, że niech dzwonią pozniej, bo jestem w lesie ;)

      Odpowiedz
      • marcin

        Rozmowa telefoniczna nie rozlacza intenetu. Nigdy nie rozmawiales z kimś i rowniczesnie ta osoba nie wysyłała ci zdjęć na komunikatorze?

        Odpowiedz
  4. NieCheAplikacji

    Co mają zrobić klienci, którzy nie chcą instalować aplikacji banku? Ja jej nie mam i pomimo kolejnych namów konsultantów jej NIE zainstaluję. Do mnie bank nie dzwoni, bo nie wyraziłam zgód marketingowych. Pozostaje pytanie, co z kredytobiorcami, z którymi banki robią co chcą, bo pozwolili wziąć się na kredytową smycz.
    Rada na marginesie: Nigdy nie bierz kredytu/pożyczki/karty/debetu.

    Odpowiedz
    • Ewa

      Moga oddzwonic.
      Moga tez ustawic haslo do potwierdzania tozsamosci banku – mam takie cos w aliorze.
      Jak do mnie dzwonia to ja ich oytam o haslo :)

      Odpowiedz
    • Artoooooor

      Właśnie też się zastanawiałem. Podobnie jak z ludźmi którzy nie chcą mieć smartfona (sam kiedyś na jakiś czas przestawiłem się ze smyrofona na starą Nokię). Nadal – dopóki jest to opcjonalne to jest to super rozwiązanie.

      Odpowiedz
  5. Tomasz

    A co w przypadku gdy mieszka się w miejscowości o słabym zasięgu? Mimo pokrycia sygnałem lte na mapach operatora u mnie Brak takiego sygnału. Posiadam Telefon zgodny z 5g i w przypadku chęci sprawdzenia czegoś w sieci w trakcie połączenia jest nie możliwe. Dodatkowo T-mobile wyłącza nadajniki 3g (https://www.t-mobile.pl/c/wylaczamy3g).
    Funkcja fajna, ale wszędzie to nie będzie działało niestety

    Odpowiedz
  6. Paweł

    Fajna funkcjonalność, tylko co jak nie mamy apki nie mamy transmisji danych(roaming)?

    Odpowiedz
  7. M.

    Super, za miesiąc-trzy specjaliści rozpracują i tę metodę.
    Albo krócej „u nas to jeszcze nie działa” :)

    Odpowiedz
  8. Marek

    Fajny bajer, ale w praktyce chyba średnio się sprawdzi. Oszust zadzwoni jak zwykle, może i nie potwierdzi się, ale 99% klientów o takie potwierdzenie nie poprosi, a nawet jak poprosi to oszust wciśnie jakiś kit że system nie działa.

    Odpowiedz
  9. Mhm...

    Nie bardzo widzę, żeby w p. 3 aplikacja jakkolwiek autoryzowała użytkownika telefonu w apce mbanku. Push leci na apkę i od razu można go obsłużyć bez potwierdzenia w apce, że ja to ja?

    Odpowiedz
  10. BTW, mbank wielokrotnie mnie oszukał

    „4. Zapytacie – po co jeszcze coś zatwierdzać? Wtedy konsultant wie, że rozmawia z nami :) Nie musi zadawać dodatkowych pytań weryfikacyjnych.”

    W jakis sposób z naciśnięcia „zatwierdź” wiadomo cokolwiek więcej o naciskającym, niż to, że to KTOŚ, kto odebrał połączenie? Niekoniecznie klient.

    Odpowiedz
    • Ale przecież ktoś musiał a) „dostać się” (zalogować się) do b) „aktywowanej” appki bankowej. Dopiero wtedy może potwierdzić.

      Odpowiedz
  11. Michał

    Funkcja fajna, zawsze to jakieś dodatkowo zabezpieczenie na takich oszustów. Obawiam się że nie zmniejszy to jednak skali ataków, bo podatny odbiorca, da się złapać jak atakujący będzie dobrze przygotowany (zastosuje dobrą socjotechnikę), np. powiadomienie PUSH zostało do Pani/Pana wysłane, nie wyświetla się? To nic pewnie nie ma Pani/Pan w tej chwili połączenia z internetem, lub występują przejściowe problemy z połączeniem, hitem będzie że w tej chwili mamy przerwę techniczną itp.

    Odpowiedz
  12. Dzek

    Socjotechnika to rozpracuje. Pomijając nawet fakt, że jeżeli klient nie wie, że coś takiego jest (a wiele wody w Wiśle upłynie, zanim dojdzie to do świadomości, szczególnie, że niektóre banki procedurę z pushem jeżeli mają to tylko na żądanie klienta), to jakaś bajeczka typu „podejrzewamy kradzież pana tożsamości/dostępu, w związku z tym nie robimy dodatkowego potwierdzenia, ponieważ złodziej by i tak za pana potwierdził/odrzucił, więc system tu nie zadziała i musimy pana zweryfikować przez TeamViewera albo stronę zweryfikujmbank.pl”. Jak ktoś łykał takie historie do tej pory to łyknie i to

    Odpowiedz
    • To raczej jest trochę tak:

      1) 2FA z wykorzystaniem SMSów.
      2) eeee, bez sensu, bo przecież atakujący mogą to i tak ominąć (bo mogą spróbować poprosić o kod z SMS na stronie phishingowej)
      3) no prawda, ale i tak IMO bezpieczeństwo 2FA z SMSami > bezpieczeństwo gołego konta bez 2FA

      Odpowiedz
  13. Jan

    Dzwoni (podobno) konsultant mBanku i coś tam, coś tam. Proszę o przesłanie mi na maila, dziękuję i się rozłączam. Zero dyskusji.

    Odpowiedz
  14. prost

    Jeśli ktoś prosi nas o dane osobowe lub finansowe to najbezpieczniej jest zakończyć połączenie telefoniczne i samemu zadzwonić do banku. Pracownik banku przyjmie takie zachowanie ze zrozumieniem, oszust będzie stawiał opór.

    Odpowiedz
  15. Marek

    Wiele lat temu im (mBank) zwracałem uwagę na to, że nie ma możliwości weryfikacji tego kto do mnie dzwoni, a to że on mówi że dzwoni z banku to nic nie znaczy.
    Konsultant informuje, że mogę się połączyć z bankiem i sprawdzić konsultanta. No tak – ale żeby to zrobić to muszę rozłączyć aktualną rozmowę i „tracę” „mojego” konsultanta :-( Następny konsultant już będzie inny.
    Tłumaczyłem to wielokrotnie konsultantom, zgłaszałem mail-owo mBankowi – twierdzili że taki system jaki mieli jest bardzo dobry i nie ma potrzeby go zmieniać. Widać jednak, że w końcu dotarło, że nie można tak naprawdę sprawdzić kto do mnie dzwoni.
    Cóż, lepiej późno niż wcale. :)

    Odpowiedz
  16. Alfred

    Dopowiem, że to działa (w mBanku) od chyba prawie roku.
    I od prawie roku nie mogą tego robić wszyscy pracownicy, w szczegolności mFinanse…

    Odpowiedz
  17. hakk

    Czy te powiadomienia trzeba dodatkowo aktywować?
    Używam apki mBanku od kilku lat, marketerzy/konsultanci kilka razy w miesiącu próbują „porozmawiać ze mną o opcjach dotyczących oszczędzania”, a ja nigdy nie dostałem takiej push-notyfikacji.

    Odpowiedz

Odpowiedz