Książka sekuraka o bezpieczeństwie aplikacji webowych: -20% z kodem rabatowym: ksiazka-wakacje

PKO BP wprowadza super metodę ochrony przed spoofingiem telefonicznym/lewymi konsultantami banku

08 lutego 2022, 12:18 | W biegu | komentarzy 25

Na wstępie – żeby wykonać weryfikację, musisz posiadać aktywną appkę mobilną banku – IKO.

No więc, dzwoni konsultant lub „konsultant” z PKO BP (może nawet widzisz prawdziwy numer infolinii bankowej – może to być spoofing numeru) i prosi Cię o jakieś dane. Grzecznie poproś: chciałbym zweryfikować pana/pani tożsamość w appce IKO.

Tutaj ważne: musisz o to poprosić, bankowa appka nie zadziała automatycznie.

W tym momencie (no dobra, po krótkiej chwili) powinieneś otrzymać w appce powiadomienie wysłane przez bank, zawierające dane konsultanta (imię, nazwisko, stanowisko, oddział z którego dzwoni) – to w przypadku jeśli rzeczywiście takie połączenie zostało wykonane przez kogoś z banku (lewy „konsultant” nie będzie w stanie wysłać Wam takiego powiadomienia).

Dla pewności możesz teraz poprosić dzwoniącego o ponowne przedstawienie się. Porównaj dane z tym co otrzymałeś w appce. Jeśli wszystko się zgadza, możesz kontynuować rozmowę. Jeśli nie – zadzwoń do banku z alertem.

Cała procedura wyjaśniona jest tutaj w skondensowanej formie, bez zbędnego marketingu – brawo!

Źródło: PKO BP

Podobną funkcję ma też mBank.

~Michał Sajdak

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Arkadiusz

    Nie prościej było zrobić możliwość dzwonienia konsultanta przez apkę bankową do klienta ?

    Odpowiedz
    • Marcin

      IKO już ma taką możliwość, jak dzwonisz na infolinie z apki, to nie musisz się drugi raz weryfikować w żaden sposób (od razu konsultant wie kim jesteś)

      Odpowiedz
      • alicja

        ale tu chodzi o weryfikację konsultanta Z banku który zadzwoni do klienta, a nie klienta który dzwoni DO banku

        Odpowiedz
      • Jerzy

        mówisz o sytuacji „Klient dzwoni do Banku” a tutaj chodzi o sytuację odwrotną :-)

        Odpowiedz
    • Karol

      Ale mało która osoba będzie w staje rozróżnić czy dzwonią przez aplikacje czy nie.
      Różnica może być tak mama że można niezauważyć w jaki sposób masz połączenie.
      A weryfikacja opisana wyżej jest jednoznaczna.

      Odpowiedz
    • Krzysztof

      A skąd prawdziwy konsultant banku miałby wiedzieć, że do Ciebie dzwoni fałszywy konsultant? Sam musisz to sprawdzić w aplikacji IKO lub przerwać połączenie i zadzwonić do banku. Aplikacja umożliwia sprawdzenie wiarygodności konsultanta, bez konieczności przerywania połączenia telefonicznego.

      Odpowiedz
  2. czytelnik

    A ilu podatnych klientów ma aplikacje banku? Zresztą to i tak wiele nie da bo: Andriej powie, że teraz jest chwilowa awaria na serwerze i robot wyśle dane pracownika bezpieczeństwa przez SMS. Skoro ludzie dają sobie wmówić, że zgodnie z regulaminem banku potrzebują teamViewra albo anydesk to sztuczka z smsem się nie uda? Albo nawet taki sms zostanie wysłany po kilku minutach rozmowy gdy Andriej wyczuje, że ofiara jest potencjalnie podatna. Andriej spokojnie wyjaśni, że robot bankowy wysłał sms z danymi aby potwierdzić autentyczny kontakt pracownika z banku. Na naiwność ludzką nie ma siły jak nie tak to inaczej…

    Odpowiedz
  3. Szymon

    Nie są pierwsi? Mbank robi to od dawna, na pewno przy wymianie walut. Konsultant informuje, że wyskoczy powiadomienie w apce z jego danymi.

    Odpowiedz
    • Andrzej

      Nigdy mi się nic takiego nie pokazało w apce. Co gorsza konsultanci dzwonią z prywatnych numerów i proszą o nazwisko panieńskie matki i datę urodzenia w celu potwierdzenia.

      Odpowiedz
  4. Michał

    Przecież podobne rozwiązanie od dawna ma również mBank? Dzwonią do Ciebie i w trakcie rozmowy, wysyłają powiadomienie w apce, które trzeba potwierdzić i dopiero wtedy przechodzą do właściwego tematu rozmowy. Co jest nadzwyczajnego w rozwiązaniu PKO?

    Odpowiedz
    • Stefan

      Wlasnie to, ze PKO zaplacil za reklame. No przeciez nie przez przypadek ostatnio mocno reklamuja ta apke gdzie sie tylko da.

      Odpowiedz
  5. Zenek

    Vo z tego że wprowadza. Dziś właśnie usunąłek konto i wszystkie lokaty, bo drugi rok z oprocentowanirm 0,01% nie zdzierżę. W innych bankach jest juz 2%.

    Odpowiedz
  6. M

    Ochrona osób mniej więcej świadomych zagrożeń. Fajnie, że jest, ale czy to coś zmieni?

    Odpowiedz
  7. Karol

    Ale mało która osoba będzie w stanie rozróżnić czy dzwonią przez aplikacje czy nie.
    Różnica może być tak mała że można niezauważyć w jaki sposób otrzymałeś połączenie.
    A weryfikacja opisana wyżej jest jednoznaczna.

    Odpowiedz
  8. Klub Pana Rysia

    Na geniuszy ktorzy sie na to nabieraja to za malo. Albo tego nie ogarna albo ukrainiec w sluchawce im powie, ze to blad systemu i on zastepuje kolege, ktory byl oszustem i go policja wlasnie zabrala dlatego on dzwoni, zeby geniusza uratowac.

    Odpowiedz
  9. Rs

    mBank już od dawna na takie coś

    Odpowiedz
  10. Sebastian

    Najlepiej by zrobili jakby przestali z byle powodu wydzwaniać do klientów. Jak z innego banku dzwonią to od razu coś zaczynam podejrzewać, a PKO uśpiło moją czujność.

    Odpowiedz
    • Mateusz

      Wyłącz zgody i nie będą dzwonić. Ja tak zrobiłem i od 2019 roku dzwonią do mnie tylko z potwierdzeniem transakcji powyżej 20k PLN.

      Odpowiedz
  11. Józek

    mBank też tak robi, tyle że z defaultu. Dzwoni do mnie pani i prosi o potwierdzenie tożsamości w aplikacji mobilnej. Oni wiedzą że ja to ja, a ja wiem kto do mnie dzwoni i z którego oddziału.

    Odpowiedz
  12. Adam

    Dziś rozmawiałem z konsultantem mBanku i wygląda to podobnie. Nie wiedziałem o tym, konsultantka sama poinformowała mnie, że teraz jest taka procedura. Musiałem zalogować się na aplikacje bankową i autoryzować rozmowę.

    Odpowiedz
    • B

      W mBanku jest to od dawna – pamiętam potwierdzanie pusha w apce w październiku 2020 (a pewnie było wcześniej).

      Odpowiedz
  13. Krzysiek

    A na czacie z konsultantem play dalej wymaganie pesel i ukrywanie się konsultantów pod nickami czy numerami id :)

    Odpowiedz
  14. Zdam

    A nie lepiej w końcu pozwolić na logowanie za pomocą klucza u2f? Najprostszy i najbezpieczniejszy sposób logowania. Stracisz login i hasło to i tak się nie zalogują bez klucza sprzętowego.

    Odpowiedz
    • Ale przecież to są dwie różne rzeczy -> logowanie do banku vs dzwoni konsultant i o „cośtam” prosi

      Odpowiedz
  15. Piotr45y6

    Naprawdę super zabezpieczenie, A nie można zadzwonić do banku żeby dowiedzieć się ich oferty, wtedy na pewno odbierze jakiś konsultant i się przedstawi, resztę danych na pewno można „wygooglować”. ;p i można dzwonić do ofiar :)

    Odpowiedz

Odpowiedz na B