– Dzień dobry, dzwonię z banku z propozycją kredytu. W celu weryfikacji proszę podać numer PESEL, adres do korespondencji i nazwisko panieńskie matki – usłyszała w piątek przez telefon część klientów mBanku. Choć brzmi to jak opis kolejnej, w dodatku niezbyt wyszukanej próby wyłudzenia wrażliwych danych, tym razem zagrożenia nie było. Telefony rzeczywiście wykonywali pracownicy mBanku, którzy w taki sposób usiłowali sprzedawać posiadaczom ROR produkty kredytowe.
Taki sposób postępowania bulwersuje w sytuacji, gdy klienci polskich banków coraz częściej padają ofiarą ataków phishingowych, czyli wyłudzeń ich danych personalnych oraz informacji dotyczących ich rachunków bankowych i kart. Wprawdzie ulubionym narzędziem przestępców jest e-mail, jednak wyłudzenia można dokonać też drogą telefoniczną. Banki edukują, by nie podawać wrażliwych danych w odpowiedzi na e-maile. Jednocześnie jednak mBank zachęca do ich podawania przez telefon.
– Gdy pracownik dzwoni z propozycją do klienta, musi ustalić, czy rozmawia z właściwą osobą. Na początek musi poinformować rozmówcę o tym, w jaki sposób może się upewnić, że dzwoni do niego pracownik banku. Jeżeli klient chce poznać szczegóły spersonalizowanej oferty, operator zada mu trzy – cztery losowo wybrane pytania weryfikujące. W żadnym wypadku nie będą to pytania o ID, hasła czy numery kart i rachunków – wyjaśnia rzecznik mBanku Magdalena Ossowska.
„Żaden bank nigdy nie wysyła do swoich klientów pytań dotyczących hasełlub innych poufnych danych ani próśb o ich aktualizację. [...] Listy, wiadomości e-mail lub telefony w takich sprawach należy traktować jako próbę wyłudzenia poufnych informacji”Fragment poradnika na stronie internetowej Związku Banków Polskich
Z informacji „Rz” wynika, że ta procedura nie zawsze była przestrzegana. Przynajmniej w części przypadków dzwoniący od razu przystępował do pytań o wrażliwe dane, nie wspominając o możliwości zweryfikowania, że naprawdę pracuje dla banku. – To był błąd pracownika – przyznaje Magdalena Ossowska.
