Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
mBank wprowadza obowiązkowe potwierdzenie tożsamości konsultanta w appce mobilnej. Koniec scamów telefonicznych?
Dzwoni do Ciebie konsultant z banku z losowego numeru. Ale czy to na pewno jest konsultant czy może „konsultant,” który opróżni Ci niedługo konto?
Już spory czas temu mBank wprowadził do swojej appki mobilnej funkcję opcjonalnego potwierdzenia tożsamości przez konsultanta. Opcjonalnego – w sensie: część pracowników/konsultantów banku posiadało taką możliwość, ale jednak część nie.
Zgodnie z tą informacją, od 27 marca 2023 już wszystkie rozmowy(*) nawiązywane przez konsultantów banku będą musiały być potwierdzone przez klienta w appce mobilnej banku:
Od 27 marca wszystkie rozmowy prowadzane przez konsultantów lub doradców z placówek będą wymagały potwierdzenia tożsamości pracownika w aplikacji. W ten sposób będziesz mieć pewność, że rozmawiasz z pracownikiem mBanku, a pracownik – że po drugiej stronie jesteś Ty.
Mechanizm taki jest sensowny, bo cyberzbój przecież nie będzie w stanie wysłać powiadomienia na naszą appkę bankową. Może on jednak próbować ściemniać na zasadzie: no jest awaria, nie ma potwierdzenia, bla bla bla. Ale zapewne łatwiej będzie mu przerzucić się na klientów innego banku.
(*) Co w przypadku kiedy klient nie ma appki mobilnej mBanku? Nie dostanie takiego potwierdzenia…
~ms
Tylko Adam może im pomóc
link „zgodnie z tą informacją” jest błędny
poprawione
Mbąk bardzo mocno ciśnie na popularyzację swojej aplikacji. Część funkcji bankowości nie da się bez niej zrealizować, np. generowanie kodów BLIK. Po 23 latach czas zmienić bank…
kogo to obchodzi, rób co chcesz
A w jakich bankach generuje się kody BLIK w serwisie na www, bez aplikacji?
Fajnie to brzmi ale przecież lewy konsultant nie powie „proszę zerknąć w aplikację, tam jest informacja że dzwonię”. Nieświadomy klient dalej nie jest chroniony.
Serwis tabletowo też podał tę informację o powiadomieniach ale z komentarzem, że to oznacza, że konsultanci nie będą dzwonić do ludzi bez możliwości weryfikacji (czyli bez aplikacji).
Nie masz appki – nie masz telefonów z banku. Rozwiązanie niemal idealne, niestety oszuści dalej będą dzwonić bo ludzie mogą nie wiedzieć, jak to działa :(
Gdyby aplikacja bankowa miała prawdziwe 2FA (czyli drugi składnik poza urządzeniem, na którym jest zainstalowana, np. U2F albo fizyczny token innego rodzaju), to bym był wielkim jej fanem.
Skąd klienci mają wiedzieć, że powinni dostać to powiadomienie?
Nawet jeśli ktoś używa aplikacji, ta metoda zadziała tylko wtedy, gdy ofiara będzie nalegać na otrzymanie powiadomienia.
To chyba niczego nie rozwiązuje, tylko daje bankowi podstawę do jednoznacznego wskazania winy klienta.
„Zgodnie z naszymi nowymi zasadami bezpieczeństwa musi Pan potwierdzić moja tożsamość. Żeby to zrobić musi Pan pobrać aplikacje xyz (np. AnyDesk)”
– Nie będzie to dotyczyło osób, które nie korzystają z aplikacji mobilnej.
– Moim zdaniem warto wycofać zgody marketingowe aby ograniczyć ilość telefonów z banku.
Najprościej to po prostu z nimi nie rozmawiać wcale. Bank nie dzwoni po to, żeby nam dać zarobić, tylko dla swojego zysku. Jedyny potencjalny wyjątek to powiadomienie o scamie, ale wtedy zawsze możemy przyjąć do wiadomości i zadzwonić samodzielnie.
Po co komu aplikacja bankowa do tego?
I to jeszcze taka, co pozwala dokonywać transakcji bez innego fizycznie tokena niż telefon?