Il mio supporto bancario mi ha appena chiesto le mie credenziali di banking online

Supponendo che li hai chiamati su un numero pubblicato, direi che questo suona come se fosse un sistema interattivo Voice Response (IVR), che è piuttosto comune nel mondo bancario.

Il concetto è che il sistema acquisisca le informazioni di autenticazione prima di passare a un agente del contact center. Il vantaggio di questo dal punto di vista della sicurezza è che l'agente del call center non deve chiederti di autenticarti prima di discutere il tuo account.

Se correttamente implementato, questo non dovrebbe essere più insicuro della semplice digitazione della password in un sito web. Esiste un sistema automatico che elabora i dati vocali e dovrebbe archiviarli / registrarli in modo appropriato.

Naturalmente, come fai notare, c'è il rischio di intercettazioni telefoniche, ma se si presume che la linea telefonica sia sfruttata, qualsiasi forma di phone banking è insicura dato che devono autenticarsi in qualche modo per poter discutere il tuo account con te.

EDIT: per aggiungere ulteriori dettagli, piuttosto che lasciarli sparsi per i commenti che potrebbero essere cancellati.

Fondamentalmente le banche devono autenticarti in qualche modo, indipendentemente dal canale (ad esempio web, telefono, filiale) che utilizzi per contattarli e ci sono dei compromessi da prendere in considerazione.

Da un lato avere credenziali dedicate per canale è utile in quanto riduce il rischio di compromissione ed evita di confondere il messaggio di "non dire alla gente la tua password web" ma lascia agli utenti più credenziali da gestire e in tutte le probabilità si azzerano un sacco di password se gli utenti utilizzano raramente un canale specifico (con tutte le vulnerabilità che i reset frequenti attirano)

Quindi l'opzione che appare, dalle informazioni fornite, utilizzata qui è quella di combinare le credenziali per i canali web e telefonici e di utilizzare un sistema IVR automatico sul canale telefonico per evitare di fornire le credenziali agli agenti dei contact center . Il vantaggio qui è un singolo set di cred, quindi gli utenti non li dimenticheranno e lo svantaggio è lo scenario che vediamo dove i messaggi bancari "non danno la tua password" portano a problemi nell'utilizzo di questo sistema.

In termini di sicurezza del sistema IVR, questo è essenzialmente come qualsiasi altro sistema che elabora i dati. Deve essere protetto in modo appropriato in modo che le credenziali dell'utente non siano esposte, non diversamente dal canale web.

Ovviamente un sistema come hardware (non SMS) 2FA potrebbe funzionare bene in questo scenario poiché i codici numerici vengono facilmente passati ai sistemi IVR, ma questo ha i suoi compromessi in termini di costi e di esperienza utente.

Messaggio di avviso obbligatorio:

Non dare mai la tua password a nessuno e non lasciare che questa risposta influenzi questo tipo di comportamento in alcun modo.

Poiché in questo caso particolare non è possibile conoscere tutte le circostanze, è necessario fare un po 'di speculazioni quando si risponde a questa domanda.

Se ho capito tutto correttamente, il caso è il seguente:

L'OP ha visitato il sito web della banca, ha cercato il numero di supporto e ha iniziato una chiamata. Dopo aver dato solo il suo ID bancario (?), Il bot alla fine della riga ha salutato l'OP con il suo cognome e poi ha chiesto la password di banking online.

Sì, questo potrebbe essere stato un tentativo di phishing da parte di un utente malintenzionato. Il sito che hai visitato potrebbe essere stato alterato e un altro numero di supporto potrebbe essere stato impostato. Dopo aver fatto tutto ciò, l'attaccante ha dovuto attendere fino a quando l'OP ha visitato il sito volontariamente ¹ e quindi chiamare il numero. L'hacker avrebbe anche dovuto installare un telefono cellulare che fosse anche in grado di connettere l'ID bancario al cognome di OP ² .

Questo - almeno per me - sembra davvero un grosso sforzo per ottenere la password su un conto bancario online, che non è nemmeno così prezioso quando si utilizza un tipico sistema bancario online. In genere è necessario un secondo fattore per fare qualsiasi tipo di transazione di denaro. È ancora un compromesso del conto bancario, ma nulla che non possa essere corretto.

Dubito strongmente che si tratti di un tentativo di phishing. Non mi sembra una buona politica, soprattutto se non è chiaro per gli utenti che la loro password online viene utilizzata anche per l'autenticazione al telefono.

_{(1) In teoria un utente malintenzionato potrebbe simulare un tipo di emergenza che indurrebbe un utente a chiamare il numero di supporto.}

_{(2) A meno che l'OP abbia commesso un errore e abbia menzionato il suo cognome prima durante la chiamata.}

Sì, dovresti agire, segnalarlo alla tua banca, con tutta probabilità si è trattato di un tentativo di phishing.

Questo non dovrebbe accadere e non è una pratica normale.

La tua banca non ti chiederà mai il numero pin o la password.

EDIT: dopo aver letto i tuoi commenti e il chiarimento (pubblicato dopo il mio proprietario) che il contatto è stato interamente avviato da te è possibile / probabile che questo non sia un tentativo di phishing ed è una politica molto cattiva (come id vocale / biometrics non dovrebbe richiedere una password segreta per funzionare) o una richiesta di informazioni fornite per dimostrare l'identità in questo tipo di scenario.

In ogni caso, vorrei contattare la tua banca (tramite un metodo diverso da questo numero di telefono) e spiegare le tue preoccupazioni e ottenere chiarimenti da loro che questa richiesta era legittima.

Non mi fiderei di questa banca. Anche se questa telefonata era totalmente legale per i loro sistemi, dimostra semplicemente che non capiscono le implicazioni sulla sicurezza in almeno due modi:

1. Se la tua password web è abbastanza semplice da essere pronunciabile da un bot che potrebbe capirlo abbastanza bene da confermare che è davvero la tua password, non è una password abbastanza sicura per qualcosa di così delicato come le informazioni bancarie. Forzando gli utenti a pronunciare (o in qualche modo inserirli attraverso la tastiera, che onestamente suona come un inferno assoluto) la loro password sono incoraggianti password insicure.

2. Dalla risposta di Rory:

If correctly implemented this should be no more insecure than typing your password into a website.

e

In terms of the IVR system security, this is essentially like any other system that processes data. It needs to be secured appropriately so that user credentials are not exposed, no different than the web channel.

Parlare su un telefono è MOLTO diverso dalla comunicazione su un canale web. A meno che tu non stia utilizzando una linea telefonica crittografata da te alla banca, qualsiasi cosa trasmessa sulla linea può essere orecchiata. Mentre un accesso Web correttamente implementato non può essere intercettato mentre utilizza la crittografia end-to-end. Infatti, nelle migliori implementazioni, la tua password non viene mai trasmessa in forma recuperabile, quindi anche se il server web della banca fosse stato infetto, non sarebbe stato in grado di scoprire la tua password (potrebbe solo verificare che tu sia in possesso della corretta parola d'ordine). Ecco una discussione sul perché questa tecnica di hashing (in aggiunta al canale di comunicazione già crittografato) sarebbe o non sarebbe stata utilizzata: Perché l'hashing sul lato client di una password è così raro?

[T]hey've got to authenticate you somehow to be able to discuss your account with you.

Questo è vero, ma l'utilizzo delle credenziali web è non il modo per farlo. E per i motivi che ho menzionato sopra, la comunicazione telefonica ha insicurezze intrinseche e non faccio affari sensibili al telefono se posso aiutarlo.

Come per qualsiasi cosa, prendi il mio consiglio con un pizzico di sale. La probabilità che la tua linea telefonica venga sfruttata da una persona o un'organizzazione che sarebbe interessata a utilizzare la tua password online contro di te è molto sottile. Lascio al lettore la possibilità di soppesare questo rischio per i rischi della banca che protegge in modo improprio altri canali di comunicazione e sceglie quale livello di rischio sono disposti a prendere.

Non sarai mai sicuro al 100%. Puoi solo mitigare i rischi a un livello accettabile.

Di solito ci sono diverse credenziali per il phone banking e l'online banking. Ciò evita la maggior parte delle tentazioni e dei conflitti di interesse poiché il servizio di banca telefonica può essere avviato solo tramite un operatore telefonico registrato, e almeno la mia banca sottolinea chiaramente che le sue credenziali online saranno mai richieste o accettate via telefono, esattamente a causa del phishing.

Se fosse completamente banale distinguere il phishing dalla stupidità in buona fede, il phishing sarebbe meno di una cosa. In ogni caso, fidarsi dell'altra parte con le tue credenziali online sembra una cattiva idea.

Dichiarazione di non responsabilità: non condividere mai le tue credenziali di accesso, password o numeri PIN di persona, per telefono o online. Utilizza solo le password bancarie sul sito Web verificato della banca, controllando le informazioni di sicurezza del tuo browser (accanto a https).

Non lo chiamerei "violazione della privacy" in quanto in teoria la tua password (o il suo hash) sono informazioni già condivise tra te e la banca. Dato che eri il servizio clienti che chiamava one, sembra che tu abbia scoperto un bug o una perdita di sicurezza nel loro sistema.

• Mi è stato chiesto parti del mio PUK o ID di fabbrica dal pezzo di plastica che la mia scheda SIM è stata rimossa da un dipendente del servizio clienti umano quando ha chiamato il mio account di telefonia mobile. E per alcune cifre del mio numero di conto di un impiegato della banca, quando chiami la banca, mai la mia password.
• No, non è una pratica normale, la maggior parte delle banche ti avvisa di non scrivere mai la tua password, di non dirlo a nessuno e di usarlo solo dal tuo computer quando accedi al servizio di internet banking su HTTPS.
• È possibile che siano stati hackerati (ovvero il software bot utilizzato presso il loro centro di assistenza) o, in alternativa, potrebbe essere un rischio / errore di sicurezza non pianificato nel loro software. In ogni caso, dire la tua password al telefono è un rischio per la sicurezza di per sé, in quanto è possibile che tu possa essere ascoltato, la telefonata venga reindirizzata (ad esempio se il tuo telefono è stato violato) o qualcuno potrebbe intercettare e ascoltare conversazione.
• Contatta la tua banca attraverso un'altra strada e segnala il rischio per la sicurezza. Puoi provare a segnalare il bug attraverso il modulo di segnalazione / segnalazione degli errori sul loro sito web o andare di persona alla tua filiale locale. Un'altra cosa da fare sarebbe quella di controllare il sito Web della banca per le pagine di aiuto associate al loro servizio telefonico. Questi descrivono solitamente il processo necessario per utilizzare la loro linea di assistenza clienti e se questo passaggio (indicando la password del bot) non è incluso, qualcuno ha probabilmente compromesso il loro software bot o è un attacco di phishing da parte di qualcuno nel loro centro di assistenza, se questo passaggio è incluso è molto probabilmente un rischio per la sicurezza trascurato. In entrambi i casi dovresti segnalare questo, la maggior parte dei servizi finanziari prenderà molto seriamente tale denuncia.
• A seconda del risultato di questo reclamo, potrebbe essere necessario contattare anche la compagnia telefonica, poiché ciò potrebbe essere il risultato di un software dannoso o di un rischio per la sicurezza del fornitore. Per escludere provvisoriamente questo problema, prova a contattare il servizio bancario con un altro telefono su una rete diversa.

Non stavano chiedendo la tua password di banking online, ma la tua password / passphrase per il loro sistema telefonico. Una banca (per non parlare di qualsiasi azienda / sistema) che utilizza le stesse credenziali per il tuo banking online e il tuo phone banking non esiste.

-typical "secure" password web:

+ o_TH3-m * 0N2017! che viene quindi memorizzato nel DB come hash (ad es. 8dd6ae487b790146f6570cb5b01f7f70224f6706). Per autenticare hai inserito il passaggio corretto, il sistema rehashing il tuo input e se è una corrispondenza sei autenticato.

Per i sistemi telefonici, le passphrase dovrebbero essere memorizzate come testo normale o il sistema automatico richiederebbe l'uso di numeri / lettere e li dichiarerà lettera per lettera.

A meno che tu non voglia riempirci sulla banca che stai utilizzando, potresti ottenere maggiore chiarezza richiamando la tua banca e chiedendo di parlare con un rappresentante?

Infine, dal momento che li hai chiamati, è improbabile un tentativo di phishing

A prima vista sembra una truffa, ma ora hai delle cose da fare:

1. Quando le persone ricevono chiamate come questa, di solito si consiglia di chiamare la banca centrale di richiesta telefonica nuber e chiedere a una persona reale di ricevere conferma se il caso è reale.

   Poiché molto probabilmente è un trucco di phishing, dovresti segnalarlo a loro. Li aiuta a bloccare o trovare i criminali.

   • Devi fornire informazioni sul numero di telefono o sull'e-mail, da dove proviene
   • Fornisci informazioni sull'ora della chiamata e su eventuali altre attività sospette con date.
   • Fornisci informazioni sulle informazioni che hanno chiesto e se hai fornito loro qualcosa.

2. Cambia qualsiasi dato possibile, meglio chiamando la linea di richiesta centrale, dove gli dai una nuova e-mail e un numero di telefono FRESCO, dove puoi comunicare in modo sicuro. Meglio non leggere sms da numeri sconosciuti.

   • Cambia nome utente, password, pin. Limitare l'importo del credito estraibile. Ma onestamente, se tu avessi dato loro un ID, vorrei semplicemente chiedere un nuovo account basato su ragioni di sicurezza. Dipende dalla tua banca, quanto sono flessibili.
   • Dopo che la tua nuova e-mail è stata registrata, devi modificare anche la password e le domande di sicurezza nel tuo account. Se l'account sembra essere sicuro, puoi trasferire quei soldi a un altro, o meglio per ottenerlo personalmente pagato in contanti in banca o trasferito al nuovo account da loro. Di 'loro che stavi dando informazioni.
   • Non fidarti di eventuali siti che spuntano nel tuo account / email (con il pagamento). Anche SSL (sito sicuro) può essere falso.

3. Opzionalmente puoi contattare la polizia, ma è una perdita di tempo senza alcuna informazione specifica.

Alcuni di questi potrebbero sembrare eccessivi e improbabili, ma ho visto molti criminali intelligenti e ingannevoli. Ttey proviene ogni giorno dalla Russia o dall'India, dove le forze dell'ordine non si preoccupano delle vostre autorità UE / USA.

modifica commento @ questioner

Non sembravi specificare come è successo. Non so se è stato modificato, ma come ho capito sembrava che ti contattassero. Se hai chiamato il numero del sito ufficiale (nessun clic sui link email), hai fatto quello che ho detto. Ma:

1. NESSUNA delle aziende che conoscevo finora (banche o IT) chiedono password al telefono. Come hai detto, è registrato, non criptato e utilizzabile senza l'accordo del proprietario. Non chiedono nemmeno numeri di identificazione completi!
2. Al contrario, conosco le aziende, che devono informarti che la chiamata è registrata e il dipendente è VIETATO di chiedere una password e vietano al proprietario di dirne una. Neanche un sistema automatizzato chiede di inserire password complete con i pulsanti o di dirlo nel telefono. Se questa fosse una vera compagnia, lascerei immediatamente questa banca.
3. Questo sembra esattamente una truffa. Una "persona reale" è un punto chiave nell'ingegneria sociale. Il truffatore acquisisce fiducia essendo autentici. Questo tipo di trucchetti si svolge ogni giorno. Quello che ho descritto è una routine ufficiale di società professionali. Sono d'accordo, è una politica orribile se questa fosse una vera banca.