Question:
Mon support bancaire vient de me demander mes identifiants bancaires en ligne
sysfiend
2017-08-09 14:10:06 UTC
view on stackexchange narkive permalink

Comme le titre l'indique, on m'a demandé mon mot de passe bancaire en ligne lors du processus de mise en contact avec une personne réelle. C'est quelque chose que je ne ferais jamais et le fait de savoir que l'appel était en cours d'enregistrement (pour améliorer encore le bot auquel je parlais ) aggrave encore les choses.

Bien sûr, après cela, j'ai raccroché et je suis à peu près sûr que c'est une violation de la vie privée car on vous demande des détails privés et ils ne sont pas du tout cryptés.

  • Est-ce que quelqu'un a déjà été invité à le faire ?
  • Est-ce une pratique normale?
  • Après avoir indiqué mon numéro d'identification, le bot m'a appelé "M. mon_last_nom ", donc je suppose que c'est un numéro de téléphone légitime, mais pourrait-il être piraté et le numéro d'assistance détourné?
  • Dois-je prendre des mesures?
Avez-vous lancé l'appel ou l'ont-ils fait?Le numéro de téléphone est-il légitime?En règle générale, vous avez des informations d'identification différentes pour les services bancaires en ligne et par téléphone, cela ressemble donc à une tentative de phishing.
J'ai appelé un numéro de téléphone indiqué sur leur site Web
Avez-vous vérifié si vous avez appelé le bon numéro et s'il s'agissait du bon site Web?Je ne sais pas si cela se produit avec les numéros d'assistance, mais les hameçonneurs sont connus pour utiliser des URL contenant des fautes d'orthographe pour récupérer les informations de connexion.S'il s'agit de son numéro de téléphone légitime (celui de la banque), cela semble être une (très) mauvaise politique de la part de la banque et non une tentative de phishing.Un numéro de téléphone peut être compromis et utilisé par un attaquant, mais ce n'est pas quelque chose pour votre enfant de script quotidien.
@Tom oui, j'ai tout vérifié et c'était bien.Le numéro de téléphone était légitime, tout comme le site que je visitais.Je dirais que c'est une politique horrible.
C'est normal.De nombreuses banques le font.Lorsque vous appelez leur ligne d'assistance, ils doivent vous authentifier d'une manière ou d'une autre.Demander vos crédits est un moyen.Que ce soit un bon moyen est une toute autre question, mais c'est certainement un moyen populaire.
Je ne dirais pas que c'est une manière populaire.Comme je l'ai mentionné précédemment, ** SI ** vous êtes invité à fournir des informations d'identification par téléphone, cela ne devrait concerner que des informations d'identification spécifiques aux services bancaires par téléphone.Je n'ai jamais rien vécu de tel et je fais de la banque en ligne depuis 15 ans avec plusieurs banques.Peut-être que cela diffère d'un pays à l'autre, mais ce serait une nouvelle pour moi.
Je peux utiliser les services bancaires par téléphone.Pour m'authentifier, j'ai un mot de passe bancaire téléphonique - différent du mot de passe en ligne - que je dois leur indiquer.Une chance que ce soit ce qui s'est passé?
@tom bien que certaines banques aient en effet des mécanismes d'authentification bancaires par téléphone séparés, je ne vois aucune raison particulière (du point de vue de la sécurité) à cette séparation.En règle générale, d'après mon expérience, les crédits bancaires par téléphone sont limités par le mécanisme d'entrée qui tend à les rendre un peu plus faibles que les applications Web.bancaires, mais ce n’est pas une exigence absolue.
@RоryMcCune: Ma théorie personnelle était que pour les services bancaires en ligne, vous avez généralement besoin d'un deuxième facteur (par exemple, un jeton envoyé à votre téléphone) qui serait assez peu pratique lorsque vous effectuez des opérations bancaires par téléphone lui-même, alors que les services bancaires par téléphone n'en ont besoin que d'un (vos identifiants de connexion).C'est pourquoi, d'après mon expérience, les politiques de mot de passe pour les services bancaires par téléphone sont beaucoup plus strictes que pour les services bancaires en ligne.Mais c'est de la pure spéculation de mon côté.
At-il simplement demandé votre identifiant ou également votre mot de passe?Le premier est relativement inoffensif, le second est une politique terrible.
"Après avoir dit mon numéro d'identification, le bot m'a appelé" Mr. my_last_name "" Suis-je le seul à voir déjà un problème ici?Je veux dire que cela signifie que je pourrais connaître les propriétaires de comptes, simplement en mettant des numéros de compte aléatoires.Je pense qu'il y a beaucoup de mal dans les politiques de ces entreprises.
Avez-vous peut-être reçu un appel de votre banque juste avant de passer votre appel téléphonique?Il existe une arnaque connue sous le nom de "ligne ouverte" où quelqu'un se faisant passer pour votre banque appelle sur votre ligne fixe et vous encourage à rappeler via le numéro de téléphone officiel du site Web de la banque.Ils ne raccrochent pas leur fin d'appel, gardant la ligne ouverte - donc quand vous «appelez votre banque», ils continuent de faire semblant, car en fait vous n'avez jamais laissé leur appel.Voir [ce blog] (https://www.herts.police.uk/advice/crime_prevention/protect_your_money/scams_targeting_older_people/scam_police_and_bank_callers.aspx)
Dans toutes les banques que j'ai jamais utilisées, un tel mot de passe est toujours * différent * de tout mot de passe bancaire en ligne (même techniquement, les mots de passe de téléphone sont évidemment limités à des chiffres uniquement).Alors oui, cette configuration est très courante mais n'a rien à voir avec vos informations d'identification en ligne.
Dites simplement un mot au hasard pour faire échouer le bot et contactez une personne qui vous authentifiera de la manière la plus familière.
Huit réponses:
Rory McCune
2017-08-09 18:57:06 UTC
view on stackexchange narkive permalink

En supposant que vous les appeliez sur un numéro publié, je dirais que cela ressemble à un système de réponse vocale (IVR) interactif, ce qui est assez courant dans le monde bancaire.

Le concept est que le système prend vos informations d'authentification avant de vous transmettre à un agent du centre de contact. L'avantage de ceci du point de vue de la sécurité est que l'agent du centre d'appels n'a pas à vous demander de vous authentifier avant de discuter de votre compte.

Si correctement mis en œuvre, cela ne devrait pas être plus dangereux que en tapant votre mot de passe sur un site Web. Il existe un système automatisé traitant les données vocales et il devrait les stocker / enregistrer correctement.

Bien sûr, comme vous le faites remarquer, il y a un risque de mise sur écoute téléphonique, mais si vous supposez que votre ligne téléphonique est sur écoute , toute forme de banque par téléphone n'est pas sécurisée car ils doivent vous authentifier d'une manière ou d'une autre pour pouvoir discuter de votre compte avec vous.

MODIFIER: Pour ajouter des détails, plutôt que de les laisser éparpillés autour de commentaires qui pourraient être effacés.

Fondamentalement, les banques doivent vous authentifier d'une manière ou d'une autre, quel que soit le canal (par exemple, Web, téléphone, succursale) que vous utilisez pour les contacter, et il y a des compromis à prendre en compte.

D'une part, avoir des identifiants dédiés par canal est utile dans la mesure où cela réduit le risque de compromission et évite de brouiller le message "ne dites pas aux gens votre mot de passe Web", mais cela laisse utilisateurs avec plus d'informations d'identification à gérer et selon toute vraisemblance, beaucoup de réinitialisations de mot de passe si les utilisateurs n'utilisent capacités que les réinitialisations fréquentes attirent)

Ainsi, l'option qui apparaît, à partir des informations fournies, qui est utilisée ici est de combiner les informations d'identification pour les canaux Web et téléphonique, et d'utiliser un système IVR automatisé sur le canal téléphonique pour éviter que les informations d'identification ne soient fournies aux agents du centre de contact. . L'avantage ici est un ensemble unique de crédits, donc l'utilisateur ne les oubliera pas, et l'inconvénient est le scénario que nous voyons où la messagerie bancaire "ne donnez pas aux gens votre mot de passe" conduit à des problèmes d'utilisation de ce système.

En termes de sécurité du système IVR, c'est essentiellement comme tout autre système qui traite des données. Il doit être sécurisé de manière appropriée afin que les informations d'identification de l'utilisateur ne soient pas exposées, pas différentes de celles du canal Web.

De toute évidence, un système comme le matériel (pas SMS) 2FA pourrait bien fonctionner dans ce scénario car les codes numériques sont facilement transmis aux systèmes IVR, mais cela a ses propres compromis en termes de coût et d'expérience utilisateur.

Les commentaires ne sont pas destinés à une discussion approfondie;cette conversation a été [déplacée vers le chat] (http://chat.stackexchange.com/rooms/63620/discussion-on-answer-by-rry-mccune-my-bank-support-just-asked-me-for-my-online).
Comment prononcez-vous votre mot de passe dans le système automatisé?Ces choses ne peuvent même pas comprendre les mots pour commencer, et maintenant les mots de passe?LOL.
Cela ne tient pas compte du fait que l'appel était enregistré.
Vous sous-entendez que le téléphone et les canaux Web sont fondamentalement les mêmes, mais il est toujours très important de souligner qu'avec un appel vocal standard, il n'y a pas vraiment de méthode accessible pour le sécuriser de bout en bout.Sur le Web, nous avons SSL qui peut établir automatiquement un cryptage de bout en bout, où l'utilisateur voit des icônes et peut afficher les détails du certificat.Avec les services bancaires par téléphone, à peu près tout est à l'air libre et pourrait être intercepté par quelqu'un au milieu.
@BrianMcCutchon généralement les banques n'enregistrent pas la partie IVR des appels, précisément pour la raison d'éviter de consigner les informations d'identification de manière inappropriée
@Peter et sur les lignes fixes traditionnelles, nous n'avons pas de logiciels malveillants, de correctifs manquants et une variété d'autres risques.Je n'ai pas vraiment dit qu'ils étaient les mêmes mais qu'ils étaient similaires en ce qui concerne le fait que ce sont les deux canaux qui nécessitent une authentification.Dans le cas d'un client bancaire général (n'utilisant pas de smartphone), je suggérerais en fait que les risques d'interception des identifiants bancaires par téléphone sont inférieurs aux risques d'interception des creds du canal Web en raison de la prévalence des logiciels malveillants ciblant les PC accédant en ligne.sites bancaires.
"Cher M. * Souris *, veuillez saisir le code que nous venons d'envoyer par SMS à votre numéro de téléphone portable enregistré pour parler à un représentant".Facile et sécurisé.De nombreuses banques mettent en œuvre un 2FA plus fort, où un facteur plus faible est utilisé pour enquêter, plus fort pour commander des transactions
L'authentification SMS @usr-local-ΕΨΗΕΛΩΝ n'est pas vraiment sécurisée car le GSM est vulnérable aux attaques par usurpation d'identité.
@StockB J'ai oublié "jolie" avant de sécuriser.Mon erreur.L'emprunt d'identité n'est pas un problème dans notre scénario d'activation.L'écoute est.Mais vous devez contrôler à la fois gsm net et le centre d'appels public de la banque.Toujours aussi jolie?"Notez que je n'ai jamais voulu dire «fortement» sécurisé.
@StockB remplace sms par "le code dans votre application d'authentification".Là encore, l'usurpation d'identité n'est pas un problème dans ce cas d'utilisation, car si vous recevez un sms usurpé, le pire des cas est que vous dites à haute voix le code de ce message usurpé.Le vrai problème est de savoir si quelqu'un est capable d'intercepter les SMS et d'utiliser ce jeton unique avant vous, ce qui, en fonction du temps nécessaire pour configurer cet appel, varie de peu probable à pratiquement impossible.Dans tous les cas, il est probablement 100 fois plus sûr que de laisser quelqu'un dire son mot de passe à voix haute, où les gens pourraient éventuellement l'entendre.
Bons points.Le SMS est peut-être plus sécurisé que le statu quo, mais si vous implémentiez un nouveau système d'authentification à deux facteurs moderne, je viserais une mise en œuvre plus sécurisée, par exemple.RSA ou Authy.
@BrianMcCutchon, que signifie "enregistré", cependant?Cela signifie-t-il nécessairement que l'appel est stocké pendant un certain temps?Parce que certains diront que tout type de capture micro est un enregistrement, ce qui pourrait inclure des robots.Sans compter qu'il n'est pas clair si les portions de bot auraient été enregistrées (d'ailleurs, on se demande si "cet appel est en cours d'enregistrement" est enregistré).
Tom K.
2017-08-09 18:41:35 UTC
view on stackexchange narkive permalink

Message d'avertissement obligatoire:

Ne donnez jamais votre mot de passe à personne et ne laissez pas cette réponse influencer ce type de comportement de quelque manière que ce soit.

Comme on ne peut pas connaître toutes les circonstances dans ce cas particulier, un peu de spéculation est nécessaire pour répondre à cette question.

Si j'ai tout compris correctement, le cas est le suivant:

L'OP a visité le site Web de la banque, a recherché le numéro d'assistance, puis il a lancé un appel. Après avoir donné uniquement son identifiant bancaire (?), Le bot à la fin de la ligne a accueilli l'OP avec son nom de famille, puis a demandé le mot de passe de la banque en ligne.

Oui, cela aurait pu être une tentative de phishing par un attaquant. Le site que vous avez visité aurait pu être modifié et un autre numéro d'assistance aurait pu être configuré. Après avoir fait tout cela, l'attaquant a dû attendre que l'OP visite volontairement le site 1 puis appeler le numéro. L'attaquant aurait également dû mettre en place un robot téléphonique qui est également capable de connecter l'identifiant bancaire au nom de famille de OP 2 .

Ceci - pour moi du moins - Cela ressemble à un très gros effort pour obtenir simplement le mot de passe d'un compte bancaire en ligne, ce qui n'est même pas si précieux lorsque vous utilisez un système bancaire en ligne typique. Vous avez généralement besoin d'un deuxième facteur pour effectuer tout type de transaction d'argent. Il s'agit toujours d'une compromission du compte bancaire, mais rien qui ne puisse être corrigé.

Je doute fortement qu'il s'agisse d'une tentative de phishing. Cela ne me semble tout simplement pas une bonne politique, surtout si ce n'est pas clair pour les utilisateurs, que leur mot de passe en ligne soit également utilisé pour l'authentification par téléphone.

(1) En théorie, un l'attaquant pourrait simuler une sorte d'urgence qui conduirait alors un utilisateur à appeler le numéro d'assistance.

(2) À moins que l'OP ne fasse une erreur et n'ait mentionné son nom de famille plus tôt pendant l'appel.

Voulez-vous expliquer le vote défavorable?
Sans vote défavorable, car en relisant, je suis généralement d'accord avec votre conclusion.Le conseil de "ne jamais partager votre mot de passe" est presque toujours vrai, mais n'est pas à 100%, et étant donné les détails de la situation exposés par l'OP, le scénario de phishing est un non-starter.
Donc, votre conseil est de ne jamais utiliser quoi que ce soit qui nécessite un mot de passe, y compris le site Web de la banque?
Je ne sais pas où vous avez lu cela.
@Tom Alors, comment effectuez-vous des opérations bancaires par téléphone si vous ne leur donnez pas votre mot de passe?
Je ne comprends vraiment pas pourquoi je dois clarifier cela, mais comme cela revient une deuxième fois maintenant, je le ferai.Je suppose que vous faites référence à l'une des deux affirmations de ma réponse: 1.) "Ne donnez votre mot de passe à ** personne ** ..." Veuillez noter qu'il s'agit d'une ** personne ** et non deun système automatisé.En général, je suis d'accord avec la déclaration de Rory: "Si correctement mis en œuvre, cela ne devrait pas être plus dangereux que de saisir votre mot de passe sur un site Web."Mais pour moi, cette affirmation n'est vraie que si elle est divulguée aux utilisateurs, que leur mot de passe pour les services bancaires en ligne est également utilisé pour les services bancaires par téléphone.
Donc, si vous faites référence à cette déclaration: 2.) "Cela ne me semble tout simplement pas une bonne politique ..".Je pense que pour des systèmes séparés, vous devriez avoir des mots de passe différents ou - si ce n'est pas possible pour une raison quelconque - il devrait au moins être évident pour les utilisateurs qu'ils utilisent le même mot de passe pour deux services différents.Je pourrais entrer plus en détail sur mon état d'esprit concernant cette question particulière, mais je pense que cela dépasse largement le cadre de cette question.
TheJulyPlot
2017-08-09 14:27:14 UTC
view on stackexchange narkive permalink

Oui, vous devez prendre des mesures, signalez-le à votre banque, il s'agissait probablement d'une tentative de phishing.

Cela ne devrait pas arriver et ce n'est pas une pratique normale.

Votre banque ne vous demandera jamais votre code PIN ou votre mot de passe.

EDIT: Après avoir lu vos commentaires et la clarification (postée après mon awnser) que le contact a été entièrement initié par vous, il est possible / probable que ce ne soit pas une tentative de phishing et soit une très mauvaise politique (car l'identifiant vocal / la biométrie ne devrait pas nécessiter de mot de passe secret pour fonctionner) ou une demande d'informations fournies pour prouver l'identité dans ce type de scénario.

Dans tous les cas, je contacterais votre banque (via une méthode autre ce numéro de téléphone) et expliquez vos préoccupations et demandez-leur de préciser que cette demande était légitime.

Le phishing est généralement initié par l'auteur, pas lorsque vous appelez le service client du site.
Il ne s'agit pas de hameçonnage et il est normal d'authentifier un appelant.
OP a appelé la banque sur son numéro de contact publié, qu'est-ce qui vous fait penser que c'était du phishing?
Comme l'OP a appelé la banque sur son numéro de contact publié, il semble très peu probable qu'il s'agisse de phishing (à moins bien sûr que nous supposions que son PC a été infecté par un malware, mais c'est un peu un moyen détourné de hameçonner quelqu'un ...)
Ce n'était pas tout à fait clair (du moins je l'ai manqué), avant d'être clarifié dans les commentaires, après avoir répondu.Après un examen plus approfondi, il est possible qu'il ne s'agisse pas d'une tentative de phishing et qu'il s'agisse d'une très mauvaise politique ou d'une demande d'informations fournies pour prouver l'identité dans ce type de scénario.
@TheJulyPlot par curiosité comment recommanderiez-vous à une banque d'authentifier un client qui appelle son centre d'appels?
Le rapporteriez-vous à la banque si son site Web exigeait un mot de passe pour l'authentification?C'est fondamentalement la même chose.
@Rory McCune Je n'ai jamais vraiment eu à y penser ou à l'analyser dans une large mesure, mais je suppose du haut de ma tête je dirais via quelques informations fournies pour ce scénario.Un type et un ensemble de secrets partagés.Je ne suis pas à 100% sur la solution pour être honnête, mais je ne dirais toujours pas via le passage d'un secret légitime que seul l'utilisateur devrait savoir, même s'il s'agit d'un bot.(Le système d'identification vocale n'a pas besoin de cela pour fonctionner non plus (à ma connaissance)) Cela ressemble à une mauvaise pratique et entraîne également les utilisateurs à accepter qu'ils doivent peut-être abandonner leurs mots de passe légitimement.Que recommanderais-tu?
@TheJulyPlot Eh bien, j'avais l'habitude de travailler dans le secteur bancaire en tant qu'analyste de la sécurité informatique, c'est donc un problème auquel j'ai été confronté, même si c'était à la veille de la biométrie vocale et du 2FA étaient des options faciles.Vous avez le choix, soit utiliser les mêmes crédits.comme pour le canal Web (ce qui est le cas ici), ou utilisez un ensemble distinct de crédits (par exemple, un mot de passe bancaire spécifique "téléphone").L'utilisation de deux ensembles de crédits n'est pas idéal car les utilisateurs oublieront probablement l'ensemble qu'ils utilisent moins souvent.Idéalement, je recommanderais que les deux canaux utilisent le matériel 2FA afin que vous saisissiez un jeton numérique à usage unique en plus d'un mot de passe.
@9ilsdx 9rvj 0lo Je ne dirais pas que c'est la même chose.Même s'il est mis en œuvre correctement, il est plus complexe et comporte donc plus de risques que de simplement fournir votre mot de passe.
@Rory Mcune Oui, j'étais sur le point de dire un deuxième facteur avec d'autres informations.Cela semble moins risqué, mais comme je le dis, je n'ai jamais eu à l'examiner en profondeur.
Kallmanation
2017-08-10 01:39:51 UTC
view on stackexchange narkive permalink

Je ne ferais pas confiance à cette banque. Même si cet appel téléphonique était totalement légitime pour leurs systèmes, cela prouve simplement qu'ils ne comprennent pas les implications de sécurité d'au moins deux façons:

  1. Si votre mot de passe Web est assez simple pour être prononçable à un bot qu'il pourrait le comprendre assez bien pour valider qu'il s'agit bien de votre mot de passe, ce n'est pas un mot de passe suffisamment sécurisé pour quelque chose d'aussi sensible que les informations bancaires. En forçant les utilisateurs à prononcer (ou à l'entrer d'une manière ou d'une autre via le clavier, ce qui ressemble honnêtement à l'enfer absolu) leur mot de passe, ils encouragent les mots de passe non sécurisés.

  2. D'après la réponse de Rory:

Si correctement implémenté, cela ne devrait pas être plus dangereux que de saisir votre mot de passe sur un site Web.

et

En termes de sécurité du système IVR, c'est essentiellement comme tout autre système qui traite des données. Il doit être sécurisé de manière appropriée afin que les informations d'identification de l'utilisateur ne soient pas exposées, pas différentes de celles du canal Web.

Parler sur un téléphone est TRÈS différent de communiquer sur un canal Web. À moins que vous n'utilisiez une ligne téléphonique cryptée entre vous et la banque, tout ce qui est transmis sur cette ligne peut être écouté. Alors qu'une connexion Web correctement implémentée ne peut pas être écoutée car elle utilise un cryptage de bout en bout. En fait dans les meilleures implémentations, votre mot de passe n'est jamais transmis sous une forme récupérable, donc même si le serveur Web de la banque avait été infecté, il ne pourrait pas découvrir votre mot de passe (il ne pourrait que vérifier que vous êtes en possession du bon mot de passe). Voici une discussion sur les raisons pour lesquelles cette technique de hachage (en plus du canal de communication déjà crypté) serait ou ne serait pas utilisée: Pourquoi le hachage côté client d'un mot de passe est-il si rare?

[L] hé doit vous authentifier d'une manière ou d'une autre pour pouvoir discuter de votre compte avec vous.

C'est vrai, mais utiliser des identifiants Web n'est pas le moyen de le faire. Et pour les raisons que j'ai mentionnées ci-dessus, la communication téléphonique a des insécurités inhérentes et je ne fais pas d'affaires sensibles par téléphone si je peux l'aider.

Comme pour tout, suivez mes conseils avec un grain de sel. La probabilité que votre ligne téléphonique soit mise sur écoute par une personne ou une organisation qui serait intéressée à utiliser votre mot de passe en ligne contre vous est très mince. Je laisse au lecteur le soin d'évaluer ce risque par rapport aux risques que la banque ne sécurise pas correctement d'autres canaux de communication et de choisir le niveau de risque qu'il est prêt à prendre.

Vous ne serez jamais en sécurité à 100%. Vous ne pouvez atténuer les risques qu'à un niveau acceptable.

* "En fait dans les meilleures implémentations, votre mot de passe n'est jamais transmis sous une forme récupérable, donc même si le serveur Web de la banque avait été infecté, il ne pourrait pas découvrir votre mot de passe (il ne pourrait que vérifier que vous êtes en possession demot de passe correct). "* Cela ne semble pas correct.Citation / explication nécessaire.(Je ne suis pas un expert en crypto, donc il est * possible * que vous ayez raison, mais d'après la crypto que j'ai * étudiée, je ne vois pas comment vous pouvez l'être.)
Source originale: j'ai personnellement écrit plusieurs applications Web qui utilisent cette technique.Mais, je rechercherai une référence externe à citer pour cette section.Merci pour les commentaires!
Cela semble fondamentalement impossible.Et il semble que vous rouliez votre propre crypto.Réjouissez-vous de vos citations.
Certainement pas impossible.Juste une utilisation très intelligente de mathématiques simples.Et comme dans la question que j'ai mentionnée, nous pouvons être en désaccord sur sa nécessité et son compromis coût / avantage.
"En d'autres termes, bien qu'il offre quelques protections mineures, du point de vue du serveur, le hachage côté client doit être traité comme s'il s'agissait du mot de passe direct de l'utilisateur. Il n'offre ni plus ni moins de sécurité * sur le serveur.* que si l'utilisateur avait donné directement son mot de passe et devrait être protégé comme tel. "Oui, nous pouvons également être en désaccord sur son intelligence.:)
Je ne pense pas que je conviens que pour les utilisateurs ordinaires, le risque de communication sur une ligne téléphonique standard présente un risque beaucoup plus élevé que l'utilisation d'un canal Web.En fait, étant donné le grand nombre de risques spécifiques au canal Web (par exemple, les logiciels malveillants sur PC, les exploits contre les serveurs Web accessibles sur Internet), je suggérerais que les risques * pour un client bancaire standard * sont probablement moindres en utilisant une configuration correctecanal téléphonique qu'en utilisant le canal Web.
Rory, le côté pratique de mon cerveau devrait être d'accord avec toi.D'où les deux dernières phrases de mon avant-dernier paragraphe.J'ai juste pensé qu'il était important de mentionner les différences de risque entre une ligne téléphonique et une communication Internet.
@Wildcard Voir [techniques d'authentification par défi-réponse] (https://en.wikipedia.org/wiki/Challenge–response_authentication#Cryptographic_techniques).Fondamentalement, le serveur stocke uniquement le hachage de votre mot de passe, mais plutôt que de vous demander directement d'envoyer un hachage de votre mot de passe tenté pour l'authentification, il utilise une méthode de «défi et réponse» où le hachage de mot de passe est utilisé comme clé de cryptage pour une sortede nonce.
user156500
2017-08-11 00:03:44 UTC
view on stackexchange narkive permalink

Il existe généralement des informations d'identification différentes pour les services bancaires par téléphone et les services bancaires en ligne. Cela évite la plupart des tentations et des conflits d'intérêts, car les opérations bancaires par téléphone ne peuvent être initiées que par l'intermédiaire d'un opérateur téléphonique connecté, et au moins ma banque indique clairement que ses informations d'identification en ligne ne seront jamais demandées ou acceptées par téléphone, exactement à cause du phishing.

S'il était complètement banal de distinguer le phishing de la véritable stupidité, le phishing serait moins une chose. Dans tous les cas, faire confiance à l'autre partie avec vos informations d'identification en ligne semble être une mauvaise idée.

8DX
2017-08-09 19:12:05 UTC
view on stackexchange narkive permalink

Clause de non-responsabilité: ne partagez jamais vos identifiants de connexion, mots de passe ou codes PIN en personne, par téléphone ou en ligne. Utilisez uniquement les mots de passe bancaires sur le site Web vérifié de la banque, en vérifiant les informations de sécurité de votre navigateur (à côté du https).

Je n'appellerais pas cela une «violation de la vie privée» puisque théoriquement votre mot de passe (ou son hachage) est une information déjà partagée entre vous et la banque. Depuis que vous êtes celui qui a appelé le service client, il semble que vous ayez découvert un bogue ou une fuite de sécurité dans leur système.

  • On m'a demandé des parties de mon PUK ou de mon identifiant d'usine de la pièce de plastique dont ma carte SIM a été retirée par un employé du service client lors d'un appel à propos de mon compte de téléphone portable. Et pour quelques chiffres de mon numéro de compte par un employé de la banque, lorsque j'appelle la banque, jamais mon mot de passe.
  • Non ce n'est pas une pratique normale, la plupart des banques vous avertissent de ne jamais écrire votre mot de passe, non de le dire à qui que ce soit et de ne l'utiliser qu'à partir de votre ordinateur lors de la connexion au service bancaire en ligne via HTTPS.
  • Il est possible qu'ils aient été piratés (à savoir le logiciel bot utilisé dans leur centre de service) ou alternativement pourrait être un risque / bogue de sécurité imprévu dans leur logiciel. Quoi qu'il en soit, dire votre mot de passe au téléphone est un risque de sécurité en soi, car il est possible que vous soyez entendu, que l'appel téléphonique soit redirigé (par exemple si votre téléphone a été piraté) ou que quelqu'un intercepte et écoute sur le conversation.
  • Contactez votre banque par une autre voie et signalez le risque de sécurité. Vous pouvez soit essayer de signaler le bogue via le formulaire de contact / rapport d'erreur sur leur site Web, soit vous rendre en personne à votre succursale locale. Une autre chose à faire serait de consulter le site Web de la banque pour les pages d'aide associées à leur service téléphonique. Ceux-ci décriront généralement le processus requis pour utiliser leur ligne de service client et si cette étape (indiquer au bot votre mot de passe) n'est pas incluse, quelqu'un a très probablement compromis son logiciel de bot ou il s'agit d'une attaque de phishing par quelqu'un de son centre de service, si cette étape est incluse, il s'agit probablement d'un risque de sécurité négligé. Dans tous les cas, vous devez le signaler, la plupart des services financiers prendront une telle plainte très au sérieux.
  • En fonction du résultat de cette plainte, vous devrez peut-être également contacter votre opérateur téléphonique, car cela pourrait être le résultat de logiciel ou un risque de sécurité avec votre fournisseur. Pour exclure provisoirement cette possibilité, essayez de contacter le service bancaire avec un autre téléphone sur un autre réseau.
skrewler
2017-08-13 01:31:17 UTC
view on stackexchange narkive permalink

Ils ne vous ont pas demandé votre mot de passe bancaire en ligne, mais votre mot de passe / phrase de passe pour leur système téléphonique. Une banque (sans parler de toute entreprise / système) utilisant les mêmes informations d'identification pour vos services bancaires en ligne et par téléphone n'existe tout simplement pas.

- mot de passe Web "sécurisé" typique:

+ o_TH3 -m * 0N2017! qui est ensuite stocké dans la base de données sous forme de hachage (par exemple 8dd6ae487b790146f6570cb5b01f7f70224f6706). Pour authentifier que vous avez entré la bonne passe, le système répète votre entrée et si c'est une correspondance, vous êtes authentifié.

Pour les systèmes téléphoniques, les phrases de passe seraient stockées sous forme de texte brut ou le système automatisé vous obligerait à utiliser uniquement chiffres / lettres et indiquez-les lettre par lettre.

À moins que vous ne souhaitiez nous indiquer la banque que vous utilisez, vous pourriez obtenir plus de clarté en rappelant votre banque et en demandant à parler à un représentant?

Enfin - depuis que vous les avez appelés, une tentative de phishing est peu probable

TriloByte
2017-08-09 14:39:16 UTC
view on stackexchange narkive permalink

À première vue, cela ressemble à une arnaque, mais vous avez des choses à faire maintenant:

  1. Lorsque des gens reçoivent des appels comme celui-ci, il est généralement recommandé d'appeler la banque centrale d'enquête téléphonez et demandez à une personne réelle de recevoir une confirmation si le cas est réel.

    Puisqu'il s'agit très probablement d'une astuce de phishing, vous devriez le signaler. Cela les aide à bloquer ou à trouver les criminels.

    • Vous devez fournir des informations sur le numéro de téléphone ou l'adresse e-mail d'où il provient
    • Fournir des informations sur le l'heure de l'appel et toute autre activité suspecte avec des dates.
    • Fournissez des informations sur les informations demandées et si vous leur avez fourni quelque chose.

  2. Modifiez toutes les données possibles, le mieux est d'appeler la ligne de demande centrale, où vous leur donnez un nouvel email et un nouveau numéro de téléphone FRAIS, où vous pouvez communiquer en toute sécurité. Mieux vaut ne pas lire les sms de numéros inconnus.

    • Changer le nom d'utilisateur, le mot de passe, le code PIN. Limitez le montant du crédit retirable, mais honnêtement, si vous leur donniez une pièce d'identité, je demanderais simplement un nouveau compte pour des raisons de sécurité. Cela dépend de votre banque, de sa flexibilité.
    • Une fois votre nouvelle adresse e-mail enregistrée, vous devez également modifier le mot de passe et les questions de sécurité dans votre compte. Si le compte semble être sécurisé, vous pouvez transférer cet argent vers un autre, ou mieux pour le faire payer personnellement en espèces à la banque ou transféré sur le nouveau compte par eux. Dites-leur que vous donniez des informations.
    • Ne faites confiance à aucun site apparaissant dans votre e-mail / compte (compromis). Même SSL (site sécurisé) peut être faux.

  3. En option, vous pouvez contacter la police, mais c'est une perte de temps sans aucune information spécifique.

Certains d'entre eux peuvent sembler exagérés et improbables, mais j'ai vu de nombreux criminels intelligents et rusés. Ils viennent quotidiennement de Russie ou d'Inde, où les forces de l'ordre ne se soucient pas de vos autorités européennes / américaines.

modifier @ commentaire de l'interrogateur

Vous n'avez pas semblé préciser comment cela s'est passé. Je ne sais pas s'il a été édité, mais d'après ce que j'ai compris, il semble qu'ils vous ont contacté. Si vous avez appelé le numéro du site officiel (pas de clic sur les liens e-mail), vous avez fait ce que j'ai dit. Mais:

  1. AUCUNE des entreprises que je connaissais jusqu'à présent (banques ou informatique) ne demande de mot de passe par téléphone. Comme vous l'avez dit, il est enregistré, non chiffré et utilisable sans l'accord du propriétaire. Ils ne demandent même pas les numéros d'identification complets!
  2. Au contraire, je connais des entreprises, qui doivent vous informer que l'appel est enregistré, et l'employé est INTERDIT de demander un mot de passe, et ils interdisent le propriétaire de dire à l'un de ceux-ci. Même un système automatisé ne demande pas d'entrer les mots de passe complets par des boutons ou de le dire dans le téléphone.Si c'était une vraie entreprise, je quitterais cette banque immédiatement.
  3. Cela ressemble exactement à une arnaque. Une «vraie personne» est un point clé de l'ingénierie sociale. L'escroc gagne la confiance en étant authentique. Ce genre de trucs est réalisé quotidiennement. Ce que j'ai décrit est une routine officielle des entreprises professionnelles. Je suis d'accord, c'est une politique horrible si c'était une vraie banque.
rien de tout cela ne devrait être nécessaire car j'ai passé l'appel téléphonique à un numéro qu'ils fournissent à leurs clients.
@sysfired Il existe un certain nombre de raisons pour lesquelles un certain nombre sur leur site n'aurait pas pu être légitime.Toute personne ayant accès à votre PC ou à votre réseau peut rediriger le domaine vers un faux site et le modifier sur n'importe quoi.Il pourrait même y avoir eu un piratage quelque part entre vous et votre FAI et quelqu'un vous a redirigé vers un faux site Web.À moins que les certificats Web SSL ne soient légitimes, etc., cela aurait pu être un faux site Web.Dans tous les cas, votre banque ne devrait pas vous demander de mot de passe puisqu'elle n'en a finalement pas besoin pour faire quoi que ce soit.Il en va de même pour tout support en ligne.
S'ils ont dérivé le nom de famille d'OP uniquement à partir de son identifiant, cela semble être un travail énorme pour simplement obtenir un mot de passe bancaire en ligne.


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...