Molte banche con cui mi sono occupato richiedono che il cliente inserisca il proprio numero cliente, la password di internet banking (o password del telefono) e la data di nascita tramite la tastiera del telefono, prima di essere connessi a un membro dello staff. Ciascuno di questi dettagli individuali è seguito dal simbolo #.
Dopo aver inserito questi dettagli, il cliente può eseguire la maggior parte delle azioni (ad esempio trasferire denaro o modificare i dettagli personali) senza ulteriori procedure di verifica. A seconda del telefono che utilizzi, questi numeri rimangono sullo schermo per il resto della telefonata.
Inoltre, quando si trasferiscono soldi tramite questo metodo, la banca non richiede più l'autenticazione in due passaggi, diversamente dal trasferimento di denaro tramite l'app o il sito web bancario. Questo è lo stesso indipendentemente dal fatto che chiami dal numero collegato all'account o da un numero completamente diverso.
Questo sembra molto meno sicuro rispetto all'utilizzo della banca o del sito web. Ma quanto di una minaccia alla sicurezza fa questo presente?
Nel contesto di uno smartphone: quanto sarebbe facile per malware / spyware / keylogger estrarre i numeri separati dal numero # e quindi ottenere l'accesso al conto bancario associato via banca telefonica?