Bank Millenium: metody jak z phishingu
Ktoś z banku Millenium zadzwonił wczoraj z ofertą karty kredytowej. Niby nic wielkiego, na początku tygodnia miałem ofertę z BZ WBK, taki czas. (Jest nieco zabawne, że banki zachowują się dziś względem klientów jak marcujące koty.) Wczorajszy telefon był jednak wyjątkowy i moje doświadczenie może służyć jako pewna przestroga.
Zacznę od tego, że akurat z Millenium coś mnie łączy, tzn. jestem faktycznym klientem, którego dane są w już bazie banku. Usługa, o którą chodzi, jest istotniejsza niż oferowana karta kredytowa. Wychodzę z założenia, że przyznanie tej ostatniej przez bank, który już i tak wiele o mnie wie, nie powinno w obecnych warunkach wiązać się z wieloma formalnościami. Zwłaszcza, że niezwiązany ze mną BZ WBK (a wcześniej jeszcze jakiś inny, chyba BPH) zaproponował mi od ręki, bez szczegółowej weryfikacji, kilka tysięcy złotych limitu na karcie.
Wprowadzenie zakończę, dla wygody czytelników, krótką deskrypcją phishingu - wystarczy za Wikipedią: "w branży komputerowej, oszukańcze pozyskanie poufnej informacji osobistej (...) przez udawanie osoby godnej zaufania, której te informacje są pilnie potrzebne. Jest to rodzaj ataku opartego na inżynierii społecznej".
Ad rem:
Pan z Millenium dzwoni, przedstawia się i mówi, że ma dla mnie ofertę. Zanim jednak mi ją przedstawi, musi zweryfikować, że rozmawia z Michałem Piotrem Pręgowskim i pyta o datę mojego urodzenia (!). Taka jest właśnie kolejność: pan dzwoni z "numeru prywatnego", który nawet się nie wyświetla, podaje nieweryfikowalne dla mnie dane osobowe (nie mogę sprawdzić, czy jest tym, za kogo się podaje) i oczekuje - wiedząc z kolei, kim jestem ja, bo ma numer telefonu - że prosto z mostu, na początku rozmowy, udzielę mu prywatnych informacji na swój temat. Lampka ostrzegawcza włącza się po raz pierwszy.
Pytam, o jaką ofertę chodzi, w odpowiedzi słyszę, że o kartę kredytową. Kalkuluję, że sama data urodzenia jeszcze nie jest case sensitive i zaciekawiony podaję ją, by usłyszeć, co będzie dalej.
Dalej słyszę, że bank Millenium ma dla mnie super specjalną ofertę karty kredytowej, itd. itp. Nauczony doświadczeniem z BZ WBK pytam prosto z mostu o limit na karcie. Co słyszę? Musimy wyliczyć pańską zdolność kredytową, a w tym celu potrzebuję kilku pańskich danych osobowych (!). Między innymi PESEL-u i nr dowodu osobistego... które, dodajmy, są jednym z elementów umożliwiających dostęp internetowy do posiadanego już konta... Był to tylko początek - co dalej, nie wiem, bo owych danych już oczywiście nie podałem.
Lampka świeci tutaj po raz drugi, trzeci i czwarty. Zgrzyt drugi: bank, który już dysponuje wieloma informacjami na mój temat, nie powinien potrzebować podawania ich w rozmowie telefonicznej. Nie mam powodu wnikać, czy pan konsultant - jeżeli faktycznie jest panem konsultantem - ma dostęp do tych danych, czy też go nie ma. Najważniejsze, że sam bank te dane posiada. I konsultant powinien mieć je przed sobą, skoro ma dla mnie ofertę - to na marginesie. Zgrzyt trzeci: skoro bank niezwiązany ze mną przychodzi z konkretną ofertą i nie potrzebuje do jej przedstawienia ujawnienia przeze mnie żadnych prywatnych danych, dlaczego wymaga tego instytucja, z którą już współpracuję? BZ WBK nie próbował pozyskać żadnych danych osobowych, poza uzyskaniem potwierdzenia, że ja to ja (potwierdzenie słownym "tak, to ja"). Nie było potrzeby wyliczania zdolności kredytowej drogą telefoniczną. Ta zdolność została już z góry założona w ramach strategii banku.
Zgrzyt czwarty jest oczywiście taki, że oto miałbym anonimowej osobie, której nie mogę w żaden sposób zweryfikować, udzielić informacji o swoich zarobkach. Może jeszcze podać specyfikację drzwi wejściowych do mieszkania i zamontowanych w nich zamków, a także terminy planowanych wyjazdów?
Na koniec, gdy odmówiłem podania ww. danych osobowych przez telefon "celem weryfikacji zdolności kredytowej", pan konsultant próbował umówić mnie na spotkanie w jednym z oddziałów Millenium w warszawskim Śródmieściu. Z tego wnoszę - z ulgą - że jednak był faktycznie pracownikiem tego banku. Co prowadzi koniec końców do konkluzji, że procedury dla konsultantów układał ktoś niezbyt roztropny. Bardzo delikatnie mówiąc.
Oczywiście jest też konkluzja ważniejsza: procedury takie, jak "milenijna", są absolutnie nie do przyjęcia! Bank jest w pewnym sensie instytucją zaufania publicznego, a osoba podająca się za jego reprezentanta łatwo może uśpić naszą czujność. Powinniśmy zachować szczególną ostrożność i nie wyrażać zgody na przechodzenie procedur, które są dla nas potencjalnie niebezpieczne. Zawsze możemy wybrać się do oddziału - i być może w przypadku ofert takich, jak opisana, należy od samego początku sprowadzać do tego rozmowę. Nie jest dopuszczalne, by człowiek dzwoniący z zastrzeżonego numeru weryfikował (i pozyskiwał) nasze dane osobowe w sytuacji, gdy my sami nie jesteśmy w stanie zweryfikować tożsamości tego człowieka.
.
Zacznę od tego, że akurat z Millenium coś mnie łączy, tzn. jestem faktycznym klientem, którego dane są w już bazie banku. Usługa, o którą chodzi, jest istotniejsza niż oferowana karta kredytowa. Wychodzę z założenia, że przyznanie tej ostatniej przez bank, który już i tak wiele o mnie wie, nie powinno w obecnych warunkach wiązać się z wieloma formalnościami. Zwłaszcza, że niezwiązany ze mną BZ WBK (a wcześniej jeszcze jakiś inny, chyba BPH) zaproponował mi od ręki, bez szczegółowej weryfikacji, kilka tysięcy złotych limitu na karcie.
Wprowadzenie zakończę, dla wygody czytelników, krótką deskrypcją phishingu - wystarczy za Wikipedią: "w branży komputerowej, oszukańcze pozyskanie poufnej informacji osobistej (...) przez udawanie osoby godnej zaufania, której te informacje są pilnie potrzebne. Jest to rodzaj ataku opartego na inżynierii społecznej".
Ad rem:
Pan z Millenium dzwoni, przedstawia się i mówi, że ma dla mnie ofertę. Zanim jednak mi ją przedstawi, musi zweryfikować, że rozmawia z Michałem Piotrem Pręgowskim i pyta o datę mojego urodzenia (!). Taka jest właśnie kolejność: pan dzwoni z "numeru prywatnego", który nawet się nie wyświetla, podaje nieweryfikowalne dla mnie dane osobowe (nie mogę sprawdzić, czy jest tym, za kogo się podaje) i oczekuje - wiedząc z kolei, kim jestem ja, bo ma numer telefonu - że prosto z mostu, na początku rozmowy, udzielę mu prywatnych informacji na swój temat. Lampka ostrzegawcza włącza się po raz pierwszy.
Pytam, o jaką ofertę chodzi, w odpowiedzi słyszę, że o kartę kredytową. Kalkuluję, że sama data urodzenia jeszcze nie jest case sensitive i zaciekawiony podaję ją, by usłyszeć, co będzie dalej.
Dalej słyszę, że bank Millenium ma dla mnie super specjalną ofertę karty kredytowej, itd. itp. Nauczony doświadczeniem z BZ WBK pytam prosto z mostu o limit na karcie. Co słyszę? Musimy wyliczyć pańską zdolność kredytową, a w tym celu potrzebuję kilku pańskich danych osobowych (!). Między innymi PESEL-u i nr dowodu osobistego... które, dodajmy, są jednym z elementów umożliwiających dostęp internetowy do posiadanego już konta... Był to tylko początek - co dalej, nie wiem, bo owych danych już oczywiście nie podałem.
Lampka świeci tutaj po raz drugi, trzeci i czwarty. Zgrzyt drugi: bank, który już dysponuje wieloma informacjami na mój temat, nie powinien potrzebować podawania ich w rozmowie telefonicznej. Nie mam powodu wnikać, czy pan konsultant - jeżeli faktycznie jest panem konsultantem - ma dostęp do tych danych, czy też go nie ma. Najważniejsze, że sam bank te dane posiada. I konsultant powinien mieć je przed sobą, skoro ma dla mnie ofertę - to na marginesie. Zgrzyt trzeci: skoro bank niezwiązany ze mną przychodzi z konkretną ofertą i nie potrzebuje do jej przedstawienia ujawnienia przeze mnie żadnych prywatnych danych, dlaczego wymaga tego instytucja, z którą już współpracuję? BZ WBK nie próbował pozyskać żadnych danych osobowych, poza uzyskaniem potwierdzenia, że ja to ja (potwierdzenie słownym "tak, to ja"). Nie było potrzeby wyliczania zdolności kredytowej drogą telefoniczną. Ta zdolność została już z góry założona w ramach strategii banku.
Zgrzyt czwarty jest oczywiście taki, że oto miałbym anonimowej osobie, której nie mogę w żaden sposób zweryfikować, udzielić informacji o swoich zarobkach. Może jeszcze podać specyfikację drzwi wejściowych do mieszkania i zamontowanych w nich zamków, a także terminy planowanych wyjazdów?
Na koniec, gdy odmówiłem podania ww. danych osobowych przez telefon "celem weryfikacji zdolności kredytowej", pan konsultant próbował umówić mnie na spotkanie w jednym z oddziałów Millenium w warszawskim Śródmieściu. Z tego wnoszę - z ulgą - że jednak był faktycznie pracownikiem tego banku. Co prowadzi koniec końców do konkluzji, że procedury dla konsultantów układał ktoś niezbyt roztropny. Bardzo delikatnie mówiąc.
Oczywiście jest też konkluzja ważniejsza: procedury takie, jak "milenijna", są absolutnie nie do przyjęcia! Bank jest w pewnym sensie instytucją zaufania publicznego, a osoba podająca się za jego reprezentanta łatwo może uśpić naszą czujność. Powinniśmy zachować szczególną ostrożność i nie wyrażać zgody na przechodzenie procedur, które są dla nas potencjalnie niebezpieczne. Zawsze możemy wybrać się do oddziału - i być może w przypadku ofert takich, jak opisana, należy od samego początku sprowadzać do tego rozmowę. Nie jest dopuszczalne, by człowiek dzwoniący z zastrzeżonego numeru weryfikował (i pozyskiwał) nasze dane osobowe w sytuacji, gdy my sami nie jesteśmy w stanie zweryfikować tożsamości tego człowieka.
.
napisał Michał Piotr Pręgowski o
09:39
4 Comments:
Nie wiem czy dobrze zrobiłeś umieszczając ten post. Niby trzeba ludzi ostrzegać, ale jednocześnie podałeś dość dokładny opis jak kogoś oszukać :) Coś za coś. Miejmy nadzieję, że Twojego bloga czytają uczciwi ludzie. Swoją drogą, to nigdy nie słyszałem o wyciąganiu danych osobowych pod pretekstem wydania karty kredytowej. Może nieświadomie opisałeś coś co jeszce nie ma miejsca. Pozdro.
By
Konrad, at 13/12/07 15:34
Witaj i dzięki za komentarz. To, czy ten konkretny sposób phishingu miał miejsce w rzeczywistości, nie ma większego znaczenia - chodzi o zasadę, o pewien typ kontaktu i reakcję/czujność, jaką należy zachować. Co do opisu "how to" - zapewniam Cię, że jest wiele lepszych (hmm) i łatwiej dostępnych, tym niemniej przyznaję Ci rację: coś za coś...
By
Michał Piotr Pręgowski, at 13/12/07 15:46
Do mnie ciągle wydzwaniają jakieś banki (skąd mają mój telefon?) i proponują łatwe kredyty lub karty kredytowe. Gdy pytam o procent, okazuje się, że jest bliski lichwiarskiego, a gdy żachnę się na jego wysokość, miłe osoby po drugiej stronie sa niesłychanie zdumione, że nie chcę skorzystać. Czasem bywam nawet, celowo, trochę niegrzeczny i używam bezpośrednich określeń, choćby takich, jak "barbarzyński procent".
Ja mam ciut oleju w głowie i wyższe wykształcenie ekonomiczne, ale mnóstwo osób załapuje się bezmyślnie na te "frukta", a potem płacze.
By
Pawel Wimmer, at 20/12/07 22:31
Ostatnio miałem jeszcze bardziej pocieszny telefon. Panienka zadzwoniła z instytucji X i nie przedstawiając się powiedziała, że ma specjalnie dla mnie doskonałą ofertę. Spytałem, jaką - w odpowiedzi usłyszałem pytanie o status mojego ubezpieczenia ;) Zapytałem znowuż zwrotnie - to chyba taka nowa gra, kto komu zada więcej pytań - jakaż to specjalna oferta i czy faktycznie specjalnie dla *mnie*. Czyli, czy panienka z call center faktycznie wie, z kim rozmawia. Usłyszałem szczere: "no, z Panem". Powtórzyłem pytanie. Dzwoniąca nie naruszyła reguł gry i powtórzyła (nieco obrażona!) wszystko mówiącą odpowiedź.\
Jakoś tak wyszło, że się nie dogadalismy ;)
By
Michał Piotr Pręgowski, at 24/12/07 12:50
Prześlij komentarz
Links to this post:
Utwórz link
<< Home