Infolinia mBanku ukazała lukę bezpieczeństwa w telemarketingu

18-04-2014, 11:58

Kilka dni temu na Wykopie pojawiło się ostrzeżenie o fałszywej infolinii mBanku. Ta infolinia najwyraźniej nie jest fałszywa, ale zamieszanie wokół całej sprawy i tak ujawnia lukę bezpieczeństwa tkwiącą w telemarketingu.

5 dni temu na Wykopie ukazał się wpis ostrzegający przed fałszywą infolinią mBanku. Autor wpisu był zaniepokojony telefonem jaki otrzymał od osoby podającej się za przedstawiciela "firmy z sektora finansowego". Rozmowa, według relacji internauty, zaczęła się tak.

- (konsultant) Dzień dobry. Nazywam się Łukasz W. Czy rozmawiam z Panem Piotrem W.?
- (internauta) Witam. A skąd Pan dzwoni?
- Łukasz W. Rozmawiam z Panem Piotrem W.?
- Proszę Pana. Nie potwierdzę Panu kim jestem, dopóki nie poda Pan nazwy firmy.
- Bez weryfikacji Pana danych nie powiem, skąd dzwonię.

Rozmowa była dłuższa, ale nie zaprowadziła obu Panów do porozumienia. Ostatecznie internauta nie przedstawił się konsultantowi. Zaczął się zastanawiać, czy nie była to jakaś próba oszustwa. Postanowił sprawdzić numer, z którego dzwonił rzekomy konsultant. Dowiedział się z internetu, że osoby dzwoniące z tego numeru podawały się za przedstawicieli mBanku. Kiedy jednak internauta zadzwonił do mBanku dowiedział się, że numeru tej infolinii nie ma w bazie podmiotów współpracujących z mBankiem.

mBank wyjaśnia sprawę

W taki sposób powstał wpis na Wykopie, który miał ostrzegać ludzi przed "fałszywą infolinią". Ostrzeżenie było całkiem słuszne. Internauta miał pełne prawo sądzić, że wykrył próbę oszustwa. Potem jednak sprawę na Wykopie zaczął wyjaśniać sam mBank. W komentarzach zaczął on informować, że tajemnicza infolinia faktycznie należała do firmy współpracującej z mBankiem.

Sprawa się wyjaśniła? I tak i nie. Przede wszystkim trudno zrozumieć, dlaczego konsultant nie chciał od razu się przedstawić jak należy. Trudno też zrozumieć, dlaczego mBank potrzebował dłuższego czasu na ustalenie, że numer rzekomo fałszywej infolinii jest naprawdę numerem firmy związanej z bankiem.

Zastanawiające jest również to, że Bank nie wyjaśnił tej informacji na swojej stronie np. w dziale informacje dla klientów. Nie wyjaśnił jej też na blogu, a szkoda. Informacja o "fałszywej infolinii" została wykopana na Wykopie 617 razy. Stała się sprawą publiczną. Z pewnością widziało ją wiele osób i sądząc po komentarzach, nie wszyscy widzieli późniejsze wyjaśniające komentarze mBanku.

Dziennik Internautów zadał jeszcze mBankowi kilka dodatkowych pytań w tej sprawie i obiecano nam bardziej obszerne odpowiedzi. Przedstawiciel banku Krzysztof Olszewski zapewnił, że komentarze mBanku na Wykopie są rzeczywiście stanowiskiem instytucji. Wyjaśnił też, dlaczego konsultanci mogą unikać przedstawiania się od razu.

- Konsultanci telefonujący z mBanku przedstawiają cel rozmowy oraz informacje o tym, w imieniu kogo telefonują, po potwierdzeniu, że rozmawiają z właściwą osobą. Proszę wyobrazić sobie sytuację, w której telefon przypisany do klienta banku, odbiera inna osoba. W sytuacji, gdyby rozmowa rozpoczęła się od ujawnienia celu rozmowy, mogłoby dojść do złamania tajemnicy bankowej.

Krzysztof Olszewski wyjaśnił również, że co do zasady, numery telecentrów można zweryfikować przez całą dobę pod numerem mLinii.

- Sprawdzamy, dlaczego w tym konkretnym wypadku pracownik nie był w stanie zweryfikować podanego nazwiska. Obecnie wypracowujemy komunikaty, które usłyszą klienci oddzwaniający na prezentowane numery telefonów tak, aby były one jednolite u wszystkich Partnerów. Powinno to rozwiązać sprawę - mówił Olszewski.

Luka bezpieczeństwa w telemarketingu

Sytuacja opisana na Wykopie ukazała pewną lukę bezpieczeństwa w telemarketingu. Wszyscy znamy te sytuacje, gdy dzwoni do nas konsultant i pyta, czy rozmawia z panem Janem Kowalskim lub Krzysztofem Nowakiem. Często potwierdzamy swoją tożsamość nie myśląc o tym, że dzwoniący faktycznie może być oszustem. W tym przypadku tak nie było, ale nie zawsze można mieć pewność.

Oszust teoretycznie mógłby poprowadzić rozmowę tak, aby "zawrzeć z nami umowę" i skłonić nas do podania większej liczby danych w celu weryfikacji. "W celu potwierdzenia tożsamości, proszę podać nazwisko panieńskie matki".

Właściwie już słyszeliśmy o wykorzystywaniu tej luki. W lutym Dziennik Internautów pisał o oszustach, którzy wyłudzali pożyczki na dane klientów sieci GSM. Ci oszuści próbowali dzwonić do niektórych klientów sieci komórkowych właśnie celem potwierdzenia ich tożsamości.

Sonda
Czy potwierdziłeś kiedyś swoje dane osobie dzwoniącej, nie licząc się z ryzykiem?
  • tak
  • nie
  • nie jestem pewien
wyniki  komentarze

Jeśli telemarketing ma taką lukę bezpieczeństwa, należałoby się zastanowić nad jej załataniem. Oczywiście możemy sobie wmawiać, że "to nie jest wielki problem", ale czy bezpieczeństwo powinno się opierać na takim optymizmie?

Dziś uznaje się za standard, że instytucje takie jak banki nigdy nie proszą w e-mailach o logowanie się. Jest to element obrony przed phishingiem. Czy te same instytucje powinny prosić klientów o potwierdzanie swoich danych osobowych nieznanej osobie dzwoniącej, która nie chce się nawet przedstawić? Czy to nie jest luka? Jak załatać tę lukę? To są niezłe pytania.

Uwaga: Zdajemy sobie sprawę, że ten sam problem może dotyczyć innych banków. Niestety mBank miał pecha i stał się przykładem z Wykopu.

Uwaga II: Ten tekst był edytowany. Dodano w nim wypowiedzi Krzysztofa Olszewskiego.

Czytaj: Wyłudzali pożyczki na dane klientów sieci GSM. Problem dotyczy 2 tys. osób


  
znajdź w serwisie

RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Listopad 2019»
PoWtŚrCzwPtSbNd
 123
45678910
11121314151617
18192021222324
252627282930