14:23
27/10/2017

Napisał dziś do nas Czytelnik, który miał wątpliwą przyjemność rozmawiać z kimś podszywającym się pod konsultanta banku ING. Osoba ta poinformowała naszego czytelnika o tym, że ktoś wykradł jego dane, a następnie zaproponowała zabezpieczenie konta przed skutkami kradzieży. Ale na aby konto “zabezpieczyć” czytelnik musiał się uwierzytelnić fałszywemu konsultantowi, podając dane dostępowe do konta.

Jak przebiega atak?

Oszuści najpierw zadzwonili do żony naszego Czytelnika. Ta skierowała ich do męża, bo sama nie pamiętała loginu do ich konta w banku. Dzwoniący przekonywał, że w związku z jakąś tajemniczą sprawą, ktoś uzyskał nieautoryzowany dostęp do konta naszego Czytelnika i teraz powinien on konto zablokować. Opcje blokady miały być 2: albo “blokada prokuratorska” na 30 dni, albo lżejsza “zwykłą blokada bankowa”. Założenie tej drugiej, umożliwiałoby dostęp do konta — ale aby założyć którąkolwiek z blokad, trzeba się wcześniej uwierzytelnić przed konsultantem, podając m.in. login i później hasło do rachunku bankowego. Przy pytaniu o login nasz Czytelnik wykazał się bystrością umysłu i zadał takie pytanie, że oszust się rozłączył.

Poniżej zapis rozmowy. Głosy zniekształciliśmy, ale dla Waszej wygody dodaliśmy napisy:

Nasz Czytelnik loginu do konta nie podał, ale gdyby to zrobił, zapewne zostałby poproszony o więcej danych. Na tym właśnie, tego typu telefoniczny phishing (zwany vishingiem) polega.

Vishing, czyli telefoniczny phishing, czyli socjotechnika

ING ten atak zna. Rozmawialiśmy na ten temat z Piotrem Utratą, rzecznikiem banku ING. Przyznał on, że sprawa jest bankowi znana. Dodał, że obserwujemy poWrót “starego numeru” akurat w momencie, gdy większość ludzi uodporniła się na phishing w e-mailach.

– Większość ludzi wie, że nie przesyłamy żadnych linków do logowania i [że w żadne linki w e-mailu] nie powinno się klikać. Teraz musimy od nowa uczyć, że phishing może się odbyć także przez telefon — stwierdził rzecznik ING Banku.

ING już ostrzega swoich klientów przed takimi atakami wyświetlając im po zalogowaniu poniższy komunikat:

Od siebie dodamy, że dzwoniący mogą sporo wiedzieć na Wasz temat. To z jakiego banku korzystacie (da się ustalić metodą na listonosza), a niekiedy także to ile macie pieniędzy na rachunku i jakie są wasze dane teleadresowe. Skąd przestępcy mają tyle informacji na Wasz temat, ale nie login i hasło do rachunku?

Informacje te wyciekają z różnych instytucji — niekiedy są wykradane z wprost z banku (por. Dane klientów wykradzione z Plus Banku zostały opublikowane w internecie oraz Dane 18 000 dłużników Getin i Noble banku wykradzione i wystawione na sprzedaż) a niekiedy z zewnętrznych firm (por. Ktoś sprzedaje dane klientów 4 polskich banków za kilka złotych!). Mając tyle informacji, można niestety, z powodzeniem udawać konsultanta i czasem nawet odczytać klientowi poprawną wartość kilku przelewów czy dane kontrahentów jakim najczęściej płaci lub od których otrzymuje pieniądze…

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

66 komentarzy

Dodaj komentarz
  1. Tak naprawdę nie da się w 100% zweryfikować tego, czy po drugiej stronie jest konsultant, czy oszust.

    • Można w bardzo prosty sposób, rozłączyć się i zadzwonić samemu do placówki banku.

    • Eee… wystarczy oddzwonić na infolinię banku?

    • Dlatego nigdy nie rozmawiasz jak dzwonią do Ciebie tylko kończysz rozmowę i sam dzwonisz do banku :)

    • Dlatego najlepiej samemu zadzwonić do banku, a jeżeli dzwoni “konsultant” i czegoś od nas chce to nie podawać żadnych danych :)

    • Możesz, jeśli samemu zadzwonisz na numer swojego banku

    • Może i na 100% nie, ale na 99% dzwoniąc na linie obsługi klienta banku.
      Jedyny problem może być jeśli podszyją się pod operatora sieci komórkowej (zrobią przekierowanie ),było to już opisane w artykułach metodą na wnuczka.

    • no ale jeśli poda Ci np dokładną kwotę na rachunku, miejsce ostatniej transakcji i do tego jeszcze np kiedy brałeś ostatni kredyt gotówkowy, to masz dość dużą pewność że jednak ma przed oczami Twoje dane…

    • W 100% nie, ale jakimś rozwiązaniem jest “hasło zwrotnego kontaktu telefonicznego”, czy jakoś tak, które można ustawić w niektórych bankach. Działa to tak, że ustawiasz konsultant, który do Ciebie zadzwoni i chce, żebyś mu się zweryfikował, najpierw musi sam udowodnić, że jest z banku poprzez powiedzenie hasła, jakie wcześniej ustaliłeś.

      Szkoda jednak, że banki przyzwyczajają ludzi do tego, że dzwonią do nich (jeszcze z zablokowanych numerów!) jacyś ludzi i klient powinien mu szereg danych przekazać (weryfikacja) zanim powiedzą mu o co chodzi.

    • Dlatego zlewam wszystkie telefony z banków, ubezpieczalni, telekomów. Jak będę miał do nich biznes, wtedy sam zadzwonię. A jak bank/ubezpieczalnia/telekom będzie miał ważną sprawę, to w tym celu podałem adres do korespondencji.

    • Brzmi to jak zachęcanie do braku ostrożności…

    • @berserker Bardziej do zachowania czujności. Dla większości zniknięcie wszystkich pieniędzy z konta było by katastrofą, więc trzeba być bardzo ostrożnym w tych kwestiach.

    • A fałszywy BTS w okolicy ataku? W końcu po wykradnięciu bazy danych mają też dokładny adres, gdzie przebywa najczęściej ofiara, albo gdzie przebywa w szczególnych godzinach, np. po 19-ej.

    • Można podać fałszywe dane. Jak załapią, że ściemniasz, to powiedzą i można przypuszczać, że są z banku. Jak nie załapią i łykną, to wiadomo, że robią wała.

    • @bighard ma przed oczami twoje dane właśnie kupione w darknecie… ;->

      @ff a co jeśli złodziej ma otwartą stronę logowania banku i od razu sprawdza?

  2. Dlatego jak do mnie dzwoni bank z wspaniałą ofertą i chcą mnie sprawdzić poprzez podanie moich wszystkich danych, pytam najpierw jak ich mam zweryfikować.
    Z reguły szybko się rozłączają

  3. Mówisz, że nie możesz zweryfikować jego numeru telefonu i że się rozłączysz, żeby oddzwonić na infolinię w tej sprawie.

    • I jeżeli w okolicy wystawiony jest fałszywy BTS wpadasz. Dzwonisz na infolinię i inny oszust przechwytujący połączenia rozmawia z Tobą. Inny tylko po to aby był inny głos, a jeżeli dane wyciekły od pracodawcy (a ciekną szerokimi strumieniami), mają twój ADRES ZAMIESZKANIA, numer telefonu i numer konta bankowego, na który dostajesz pensję. Najlepiej w takiej sytuacji UDAĆ SIĘ FIZYCZNIE DO BANKU, zaś rozmowy nagrywać.

    • Zawsze można użyć starą poczciwą telefonię PTSN/ISDN (jak się posiada) tudzież VOIP- najlepiej korzystając z usług internetowych lokalnego dostawcy :)

  4. Jeśli nawet będzie to konsultant to i tak nie podaje się loginu itp danych :)
    Mam taką zasadę że w ogóle nie podaję niczego i nikomu kto dzwoni do mnie. W przypadkach szczególnych dziękuję konsultantowi lub “konsultantowi” za troskę i oddzwaniam na oficjalne numery telefonów.

  5. A to bank w przypadku powzięcia informacji o włamie do systemu NIE BLOKUJE PŁATNOŚCI, przynajmniej nowych i bezgotówkowych? To klient powinien kontaktować się z bankiem, że coś nie działa ! Bank jedynie mógłby tylko zadzwonić do klienta i poprosić o kontakt zwrotny do konsultanta lub opiekuna finansowego! Klient banku numer telefonu do swojego banku zna i zadzwoni! A weryfikacja w banku to prawidłowo polega na tym, że pytają o dane nie związane bezpośrednio z loginami i hasłami do konta, a opisujące klienta w profilu konta! Przynajmniej tak powinno być! Jak dla mnie, to “konsultant” mógłby jedynie powiadomić klienta o włamie do systemu bankowego i założeniu blokady płatności bezgotówkowych i nowych zleceń! Procedura wymiany loginów, kart i innych niezbędnych, umówić z klientem na najbliższy termin w placówce bankowej! Inne postępowanie to śmiało można założyć, ŻE TO USIŁOWANIE WYŁUDZENIA! A banki tak jak informują, że nie wysyłają e-mail’i z pytaniami o loginy i hasła, tak samo powinny w umowie mieć tekst, że “Żaden pracownik banku, NIGDY nie ma prawa pytać właściciela konta o login i hasło do konta”! Zaistnienie takiego faktu należy zgłosić niezwłocznie do placówki bankowej!

    • Bank blokuje od razu i to w momencie gdy klient nie ma żadnej świadomości, że coś jest nie tak. Procedura jest z tego co wiem dokładnie taka jak opisałeś.

  6. Bystre pytanie, gratuluję przytomności umysłu.

  7. Dlatego można trzymać się zasady, że żadnej sprawy bankowej nie załatwia się przez telefoniczną rozmowę przychodzącą. Jak ktoś dzwoni “z banku” to można co najwyżej oferty wysłuchać.

  8. można spróbować potwierdzić tożsamość umawiając się na telefon na infolinię lub na konkretny oddział banku – numer powszechnie dostępny na stronach banku np.

  9. Zazwyczaj banki ostrzegają ,że nigdy nie kontaktuja się z klientem telefonicznie a to klient musi dzwonić do banku.

    • Nie no, nie żartuj MacGyver. Banki często dzwonią do Klientów, zwłaszcza w przypadku, gdy zadziałała reguła antyfraudowa celem zweryfikowania czy to Klient dokonywał operacji. Polecam odbierać telefony od Banku, bo z doświadczenia wiem, że np. Klientowi została zerwana lokata na setki tysięcy na poczet egzekucji kilkudziesięciu złotych z US, bo nie chciał się poddać weryfikacji.

  10. @Jonasz – da się. Konsultant nigdy nie poprosi o login, ani o hasło.

  11. konsultanci sa b.czesto ludzmi z przypadku,zatrudnionymi na tymczasowkach w callcentrach. wiec nie ma problemu ze taki pojdzie po rozum do glowy, wyniesie numery i takie tam.Ciecie kosztow na czymkolwiek przez outsource obniza wiarygodnosc instytucji.

  12. Jeśli masz jakiekolwiek wątpliwości czy rozmawiasz z pracownikiem banku przez telefon, przerwij rozmowę, nie podawaj żadnych danych. Idź do oddziału.

  13. A jak taką rozmowę można nagrać? Jakaś apka? Pytam bo czasem mam dziwne telefony jakichś konsulatów z dziwnymi usługami np. telekom a chciałbym sprawdzić czy takowe usługi w ogóle istnieją.

    • No każdą, która do tego służy ze sklepu Play.

    • Na szczescie podczas rozmowym mam taka opcje w xiaomi. Z tego co wiem jest program o nazwie sekretarka czy jakos tak i w niej z automatu mozna nagrywac kazda rozmowe.

  14. Mowimy o swobodnym dysponowaniu danymi? No to prosze – przyklad z tego tygodnia. T-mobile, operator telefoniczny ale takze uslugi parabankowe. Numer zastrzezony a operator byl wielokrotnie uprzedzony o tym aby nie puszczal moich danych i nie spamowal. Ostatnio zadzwonil ktos przedstawiajacy sie jako pracownik “Reinforce group”. Ten ktos w oparciu o dane T-mobile (w tym takie ktore ma tylko t-mobile – polecam technike ‘minting’ – znaczenia danych) sprzedaje ubezpieczenia. Operator poinformowany i co? Brak reakcji. Maja poczucie ze w koloniach moga wszystko.
    Dziwie sie tylko ze ktokolwiek zostawia u nich pieniadze traktujac ich jako bank…

  15. takie dane może mieć każdy obecnie 240 tys górników zmusza się do wypisania wniosku łącznie z numerem telefonu i numerem konta plus pełne dane pesel itp. http://srk.com.pl/wp-content/uploads/2017/10/Wzor_wniosku.pdf tych punktów przyjmowania tych wniosków jest dużo a ludzi obsługujących jeszcze więcej …..praktycznie na tym wniosku złodziej ma wszystkie dane ..bank,numer kont,numer telefonu ……..porażka i to wypłodziło ministerstwo pozdr jan

  16. Dla mnie z miejsca podejrzana to już jest dbałość Banku o nasze sprawy i interesy …

  17. Rzeczywiscie warto mieć na przyszłość jakieś umyślone pytanie dotyczące swojego rachunku na podstawie ktorego można zweryfikować dzwoniącego “konsultanta”.

  18. Cała rozmowa to lekkie podejście psychologiczne. Jeśli ktoś Ci mówi że masz włamanie na konto i pieniądze mogą zniknąć, a dzwoniący nie daje Ci czasu na zastanowienie się tylko musisz podjąć decyzję już to wtedy człowiek podejmuje decyzję od razu. Ja się nie dałem i zacząłem nagrywać rozmowę gdy zaczęło mi śmierdzieć podstępem. Wiadomo, że każdy po przeczytaniu tej informacji powie że tylko głupi podaj login i haslo. Ja byłem rozsądny i podeszłem konsultanta. Jestem ciekawy ile osób zostało tak oszukanych.

  19. Nie jestem oszustem i nigdy nie byłem, ale gdybym miał się czymś tak ohydnym zajmować, to troszeczke bym “ubogacił” taką rozmowe telefoniczną… Tłem.
    Poszedłbym do jakiegoś biura, gdzieś, gdzie dużo osób pracuje, w tle słychać telefony, ludzi… Nagrałbym smartfonem jakieś 2-3 minuty takiego “biurowego szumu” – dzisiaj smartfony rejestrują dźwięk w wystarczająco dobrej jakości… Później w domu, dzwoniąc do ofiary puszczałbym na głośnikach te nagrane przeze mnie tło, ofiara po drugiej stronie słyszałaby oszusta – i zapętlone biurowe szumy w formacie *.mp3 – Moim zdaniem od razu podniosłoby to wiarygodność.. Hah.

  20. Ja to bym im podał jakiś wymyślony login i hasło niech chłopaki troszeczkę się nacieszą że im się udało ;)

    • Na pewno od razu bys im podał, gdyby Ci ktos mowil ze wlamano Ci sie na konto. Jakbys sie dowiedzial ze wlamali do mieszkania powiedzialbys ze pod inna szafka trzymasz pieniadze… tak tak kazdy madry.

    • Nie podał nie podał wszystko zależy od człowieka czy jest podatny na socjotechnikę oraz edukacji. Edukacja najważniejsza to tak jak kradną portfel na dworcu najpierw jeden gościu krzyczy że mu ukradli portfel, więc wszyscy łapią się za miejsce gdzie mają pieniądze, a to już jest młyn dla złodzieja bo wie w którym miejscu ma kasę. Śledzi ją a potem przystępuje do akcji bo ma zlokalizowane miejsce portfela. Pewnie wszystkiego nie przewidzisz, ale nieraz widzę jak ludzie nie przywiązują wagi do ochrony swoich danych osobowych, a potem płaczą że ktoś na nich pobrał kredyt w banku.

  21. A do mnie dzwonił ostatnio operator sieci komórkowej, nazwę pominę, z promocją i ofertą przygotowaną dla mnie i też, w “celu potwierdzenia tożsamości” pytał o hasło dostępowe. Problem w tym, że to nie był oszust tylko rzeczywiście dzwonili z firmy. Poza tym “moją tożsamość może pan sprawdzić dzwoniąc na infolinię” – niby jak, z drugiego telefonu? I mam się zapytać czy pani X.X. w tej chwili dzwoni do mnie? To usłyszę, że nie mają takich informacji i tyle.

  22. Można nie odbierać połączeń z numerów zastrzeżonych, można ustawic (zazwyczaj kod wpisany na klawiaturze) usługę ACR odrzucającą połączenia anonimowe, znać numer stacjonarny banku i zwaracać uwagę, czy numer dzwoniący pasuje do tego schematu (póki co, sfałszowanie numeru stacjonarnego nie jest takie proste) . Można też oddzwonić. Takie mamy możliwości obrony.

  23. Skąd mają numery telefonów do klientów danego banku?

  24. Ludzie to jednak mają tupet…

  25. Uwaga! Również dla redakcji! Dosłownie przez 10 minutami otrzymałem taki telefon rzekomo z placówki Idea Banku. Połączenie z numeru zastrzeżonego – z reguły blokuję, ale bakapowałem telefon i wyłączyłem zbędne apki.

    Dzwoni Pani przemiłym głosem informuje, że Idea bank i czy wyrażam zgodę na rozmowę. Do zaoferowania mają kredyt na preferencyjnych warunkach ble ble ble. Czy wyrażam zgodę na ofertę? A wyrażam – pomyślałem. Chciałem porównać oferty. W takim razie informuję że ble ble ble (ustawowy bełkot) muszę Pana zweryfikować. Imię i nazwisko już znali. Następnie podali adres firmy (aktualny a zmieniany 3m temu), NIP itd. Kolejne pytanie dotyczyło nazwińska panieńskiego matki, numeru PESEL oraz posiadania w banku lokaty/konta w innej walucie niż Euro. Do pytania z Euro nie dotarłem (a kto nie ma w Pl banku złotówek?). Poinformowałem Panią, że pełnego numeru PESEL nie podam, mogą być 3 ostatnie cyfry i tak też zrobiłem. Co ciekawe przeszło, a więc byłem już prawie pewny, że to fake. Podałem im jeszcze nazwisko panieńskie matki (oczywiście fałszywe jak wszystkie inne dane) od tej chwili. Przeciągałem rozmowę ile się dało (może 8-9 minut całości) aby nagrać choć fragment ale w tym czasie niestety apka nie złapała dzwięku.

    Uważajcie!

  26. Update – co ciekawe Idea Bank faktycznie prowadzi teraz akcję marketingową oferując finansowanie dla firm, ale procedura rozmowy i ewentualnej weryfikacji przebiega zupełnie inaczej.

    Może uda Wam się coś ustalić.

    PS. Dla uwiarygodnienia w tle było słychać innych konsultantów, więc albo to było nagranie, albo mają ręce pełne roboty.

  27. Jak słyszę/widzę kolejny raz, że dla bezpieczeństwa i wspaniałomyślnie “bank natychmiast zablokuje konto”, to utwierdzam się w przekonaniu, że świat bez gotówki – lub czegoś co ją tak samo użytecznie zastąpi – będzie straszny.

  28. Ja nie rozumiem dlaczego banki jeszcze do mnie w ogóle próbuje wydzwaniać “z ofertami”. Ta dziewiętnastowieczna metoda (rozmowa głosowa z nieznanym człowiekiem) powinna odejść w zapomnienie na rzecz logowania się do interfejsu online… Wot macie coś ważnego, wyślijcie mi pusha, ja się zaloguję w miarę bezpieczny sposób i sprawdzę co chcecie albo to ja oddzwonię do was.

    • Skoro coś działa, to po co to zmieniać?

  29. Stary numer – ponizej jest moj mail przeslany do rzecznika PKO SA (katarzyna.karpiuk@pekao.com.pl), w ktorym wyluszczam jak dziurawy jest ich system autoryzacji. W PKO BP nie ma mozliwosci oddzwonienia do doradcy – doradca musi dzwonic do nas… Milego czytania :-)

    aaaa – mail zostal bez odpowiedzi ze strony PKO SA

    Dzien dobry

    Zgodnie z rozmowa telefoniczna przesylam informacje, ktore wplywaja na obnizenie poziomu bezpieczenstwa transakcji dokonywanych przez bank.

    Jestem od paru tygodni klientem banku. Zaczalem uzywac bankowosci internetowej. Od jakiegos czasu nie moge wykonac zadnego przelewu – dostaje informacje, ze w celu dodatkowej weryfikacji oddzwoni do mnie konsultant miedzy 7:00 a 22:00. Nie mam z tym problemu. Problem zaczyna sie z chwila, gdy zadzwoni telefon i konsultant zaczyna wypytywac mnie o dane osobowe.

    Tutaj jako osoba zajmujaca sie bezpieczenstwem systemow komputerowych zapala mi sie czerwona lampka i uprzejmie informuje, ze nie podaje moich danych osobowych przez telefon, gdy ktos do mnie dzwoni (rozmowa przychodzaca).
    Konsultant mowi, ze prosze sobie sprawdzic, z jakiego numeru dzwoni i ze to jest numer telefonu z baku Pekao SA, ze nazywa sie X Y i ze moge zadzwonic do banku na infolinie i spytac sie czy taka osoba w nim pracuje.

    Popelniacie tutaj Panstwo cztery bledy:
    1. zakladacie, ze numer, ktory wyswietla sie na ekranie telefonu jest prawdziwy. Jest to falsz. Wystarczy sobie wygooglowac (http://lmgtfy.com/?q=how+to+call+with+different+caller+id ), ze jest to problem. Sa setki jak nie tysiace serwisow dostepne przez internet, w ktorych moge zadzwonic do dowolnej osoby falszujac numer jaki wyswietli sie na telefonie (np. https://www.spoofcard.com, http://calleridfaker.com/, https://www.spooftel.com/freecall/ ).
    2. To, ze moge zadzwonic do banku i spytac sie czy osba X Y w nim pracuje, nie weryfikuje osoby, z ktora rozmawiam. Juz mowie jasniej: Jesli dzwoni do mnie osoba, ktora chce wyciagnac ode mnie dane osobowe i mowi, ze nazywa sie Jan Kowalski i ze dzwoni z Pekao nie swiadczy, ze rozmawiam z Janem Kowalskim. Oczywiscie moge oddzwonic na infolinie Pekao i spytac sie czy taka osoba tam pracuje, ale to nie swiadczy o tym, ze rozmawiam z Janem Kowalskim. Bede bardziej obrazowy: Jesli do Pani zadzwonie i powiem, ze nazywam sie Barack Obama i ze dzwonie z Bialego Domu, to czy przyjmie Pani zaproszenie dzisiaj na lunch na pokladzie samolotu w drodze do Francji? Na pewno Pani powie, ze nie jestem Barakiem Obama a ja odpowiem, ze prosze zadzwonic do Bialego Domu i spytac sie czy tam pracuje :-) To jest taka sama pokretna logika, jaka stosuja konsultanci. Prosze zadzwonic do banku i spytac sie czy X Y tam pracuje. Moze i pracuje, ale to nie swiadczy, ze rozmawiam z ta osoba.
    3. Nie pozwalacie, by klient oddzwonil do Panstwa – “procedury bezpieczenstwa nakazuja nam dzwonienie do klienta”. Procedura jest ZLA a osoba odpowiedzialna za jest akceptacje powinna po prostu wyleciec z Banku. Prosze mi DOBRZE uzasadnic dlaczego tak sie dzieje? Panstwo macie wszystkie metody, by zweryfikowac moja osobe (pesel, adres zamieszkania, nazwisko panienskie mamy, n-ry kont, a nawet autoryzacje po tolenie przez telefon). Ja jako klient nie moge zweryfikowac tozsamosci osoby dzwoniacej. Moim JEDYNYM zabezpieczeniem jest oddzwonienie na nr infolinii i prosba o rozmowe z konsultantem. Mam wtedy wieksza pewnosc, ze rozmowa jest nagrywana, i ze dzwonie do Pekao.
    4. Nie ma pewnosci, ze rozmowa jest nagrywana. Moze sie okazac, ze ktos oddzwania do mnie z telefonu, ktory jest nienagrywany, jest to np. komorka lub przez internet (patrz pkt. 1). Tu potencjalnie widze problem z reklamacjami. Moze sie okazac, ze chcialbym zareklamowac transakcje, a Panstwo powiecie, ze taka rozmowa z konsultantem sie nie odbyla.

    W tej chwili jestem posiadaczem konta internetowego, z ktorego nie moge zrobic zadnego przelewu, bo ZAWSZE oddzwania do mnie konsultant a na to sie nie zgadzam. Oczywiscie moge zmienic bank, natomiast potrwa to chwile, bo na konto wplywa emerytura mojego tescia, ktory jest inwalida, nie chodzi wiec zmiana konta troche potrwa i bedzie bardzo uciazliwa (transport do taty do banku, zamkniecie tego w Pekao, zalozenie nowego konta, wyslanie informacji do zakladu emerytalnego).
    Z faktu, ze procedury nie spelniaja standardow musze przelewy robic w oddziale banku za jedyne 6 PLN / sztuke – brzmi jak okazja….

    Prosze sobie sprawdzic jak dzialaja procedury bezpieczenstwa w innych bankach (VW Bank, Citibank etc). Moze ten ostatni nie jest najlepszym przykladem, ale tak trywalny fakt, jak konsultant dzwoni to zawsze mozna do niego oddzwonic i dokonac weryfikacji rozmowcy jest zrobiony poprawnie. Inni umieja to robic…

    Oczywiscie rozumiem, ze jestem uciazliwym klientem, bo szukam dziury w calym. Moze i tak, ale bezpieczenstwo moich danych osobowych jest dla mnie bezcenne a reputacja banku dla Panstwa chyba tez. (mowia, ze utrata danych osobowych to jest jak utrata dziewictwa – jak raz sie je straci to nic tego nie wroci….). Prosze sobie pomyslec o opinii o banku, w przypadku, gdy ktos wykorzysta opisana przeze mnie luke w bezpieczenstwie transakcji.

    Zajmuje sie bezpieczenstwem systemow komputerowych (dokladniej baz danych) wiec jesli potrzeba Panstwu doradzwa w tym zakresie to jestem do uslug ;-)

    • Święte słowa. Niestety zastępują ludzi takich jak TY, skończoną liczbą studentów. Efekt jak widać.

      Swoją drogą po takim mailu dziale IT powiesił się ostatni admin wraz z działem PR.

    • sprostowanie do drugiego zdania:
      nie w PKO BP a w PKO SA

    • jeszcze jedno – mail byl wyslany dokladnie w dniu, gdy Barack Obama przylecial do Polski i tego samego dnia mial leciec do Francji – dlatego o tym wspomnialem w wyzej przytoczonym mailu ;-)

  30. Problem jest w PKO SA, gdzie NIE mozna oddzwonic na infolinie – zobaczcie sobie moj (moze troche przydlugi) komentarz ponizej :-)

    • Jak Ci się chciało tak szczegółowo opisać problem to polecam maila słać do Administratora Bezpieczeństwa Informacji ABI w tym banku. ABI jest ta jednostka która powinna zareagować choćby dla swojego bezpieczeństwa.

    • dzieki za info o ABI. Nie wiem tylko jaki to adres – na stronie www znalazlem adres rzecznika prasowego i do niego skierowalem moje pytanie. niestety mnie zignorowala…. not nice

  31. Panowie czy to ładnie wydobywać dane HTML5 Canavas?
    Mówicie o prywatności a szpiegujecie swoich użytkowników.
    Złośliwie uniemożliwiacie zrobienie screena. To jak zdjajecie sobie sprawę jest do obejścia, bo niezbyt rozgarnięty ten skrypt pisał. Szkoda, że nie ma możliwości dodawaina załączników.
    Użytkownicy tej strony by zobaczyli jak brzydko postępujecie.
    FE!!

    Pozdrawiam

    • Doczytaj jak działa torbrowser, wróć i przepros.

  32. […] Tutaj podobny przypadek wyłudzania danych – czytaj w „Niebezpieczniku” […]

  33. wydzwaniają do mnie z Euro Banku mimo ,że nie mam tam konta.. zawsze proszą o podanie daty urodzin w celu weryfikacji bo mają dla mnie jakąś wiadomość .. oczywiście nie podaję ..bo nie zakładałam tam konta i nie obchodzi mnie co mają dla mnie.. uwaga to pewnie wyłudzanie danych .. jedno słowo TAK może znaczyć założenie konta a potem jakieś koszty… nie dałam się nabrać i ostrzegam również ..blokuję takie numery

  34. […] danych do logowania. Bank nie powinien również prosić o hasło do Twojego konta w rozmowie telefonicznej. Tego typu dane nie są potrzebne do identyfikacji […]

  35. […] Rozmowa naszego Czytelnika ze Zbyszkiem przypomniała nam rozmowę innego naszego Czytelnika, z kimś kto podawał się za pracownika banku. publikowaliśmy ją 3 lata temu. […]

  36. […] podobieństwa niektórych z wypowiadanych przez niego zdań do tych, jakie padały w przypadku oszustw opisywanych przez nas 5 lat temu. To sprawdzone w boju, działające socjotechniki: wymuszenie pośpiechu, wzbudzenie zagrożenia, […]

  37. Po co zniekształcaliście jego głoś? Takich ludzi to powinni od ich dane udostępniać żeby ludzie wiedzieli :)

Odpowiadasz na komentarz Wredny

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: