El soporte de mi banco me acaba de pedir mis credenciales bancarias en línea

Suponiendo que los haya llamado a un número publicado, yo diría que esto suena como si fuera un sistema interactivo de Respuesta de Voz (IVR), que es bastante común en el mundo bancario.

El concepto es que el sistema toma su información de autenticación antes de pasarle a un agente del centro de contacto. El beneficio de esto desde una perspectiva de seguridad es que entonces el agente en el centro de llamadas no tiene que pedirle que se autentique, antes de discutir su cuenta.

Si se implementa correctamente, esto no debería ser más inseguro que escribir su contraseña en un sitio web. Hay un sistema automatizado que procesa los datos de voz y debería almacenar / registrar esto adecuadamente.

Por supuesto, como señala, existe el riesgo de escuchas telefónicas, pero si asume que su línea telefónica está conectada, cualquier forma de banca telefónica es insegura, ya que tienen que autenticarse de alguna manera para poder discutir tu cuenta contigo.

EDITAR: para agregar más detalles, en lugar de dejarlos dispersos alrededor de los comentarios que podrían aclararse.

Básicamente, los bancos tienen que autenticarlo de alguna manera, sin importar qué canal (por ejemplo, web, teléfono, sucursal) use para contactarlos, y hay que considerar compensaciones.

Por un lado, tener credenciales dedicadas por canal es útil porque reduce el riesgo de compromiso y evita el embrollo del mensaje "no le digas a las personas tu contraseña web", pero deja a los usuarios más credenciales para administrar y en es muy probable que se reinicie una gran cantidad de contraseñas si los usuarios solo usan un canal específico raramente (con todas las vulnerabilidades que atraen los restablecimientos frecuentes)

Por lo tanto, la opción que aparece, de la información proporcionada, que se usa aquí es combinar las credenciales para los canales web y telefónicos, y usar un sistema IVR automatizado en el canal telefónico para evitar que los agentes del centro de contacto proporcionen las credenciales. . La ventaja aquí es un conjunto único de credenciales, por lo que el usuario no las olvidará, y la desventaja es el escenario en el que vemos que la mensajería bancaria "no le da a las personas su contraseña" provoca problemas al usar este sistema.

En términos de seguridad del sistema IVR, esto es esencialmente como cualquier otro sistema que procesa datos. Debe asegurarse de manera adecuada para que las credenciales de los usuarios no estén expuestas, no es diferente del canal web.

Obviamente, un sistema como el hardware (no SMS) 2FA podría funcionar bien en este escenario, ya que los códigos numéricos se pasan fácilmente a los sistemas IVR, pero eso tiene sus propias ventajas y desventajas en términos de costo y experiencia de usuario.

Mensaje de advertencia obligatorio:

Nunca le des tu contraseña a nadie, y no permitas que esta respuesta influya en este tipo de comportamiento de ninguna manera.

Debido a que no es posible conocer todas las circunstancias en este caso particular, es necesario un poco de especulación al responder a esta pregunta.

Si entendí todo correctamente, el caso es el siguiente:

El OP visitó el sitio web del banco, buscó el número de soporte y luego inició una llamada. Después de dar solo su ID bancaria (?), El bot al final de la línea saludó al OP con su apellido y luego le pidió la contraseña de la banca en línea.

Sí, esto podría haber sido un intento de phishing por parte de un atacante. El sitio que visitó podría haber sido modificado y se podría haber configurado otro número de soporte. Después de hacer todo esto, el atacante tuvo que esperar hasta que el OP visitó el sitio voluntariamente ¹ y luego llamó al número. El atacante también habría tenido que configurar un robot telefónico que también sea capaz de conectar el ID bancario al apellido de OP ² .

Esto, al menos para mí, parece un esfuerzo realmente grande para obtener la contraseña de una cuenta bancaria en línea, lo cual no es tan valioso cuando se usa un sistema bancario en línea típico. Normalmente necesitas un segundo factor para realizar cualquier tipo de transacción de dinero. Sigue siendo un compromiso de la cuenta bancaria, pero nada que no se pueda arreglar.

Dudo mucho que este sea un intento de phishing. Simplemente no me parece una buena política, especialmente si no está claro para los usuarios, que su contraseña en línea también se usa para la autenticación por teléfono.

_{(1) En teoría, un atacante podría simular algún tipo de emergencia que luego llevaría a un usuario a llamar al número de soporte.}

_{(2) A menos que el OP cometiera un error y mencionara su apellido antes durante la llamada.}

Sí, debe tomar medidas, informarlo a su banco, con toda probabilidad, esto fue un intento de phishing.

Esto no debería suceder y no es una práctica normal.

Su banco nunca le pedirá su número de PIN o contraseña.

EDITAR: Después de leer sus comentarios y la aclaración (publicada después de mi solicitud) de que el contacto fue iniciado por usted, es posible / probable que esto no sea un intento de phishing y que sea una política muy mala (como identificación de voz). / biometría no debería requerir una contraseña secreta para funcionar o una solicitud de información suministrada para probar la identidad en este tipo de escenario.

De cualquier manera, me pondré en contacto con su banco (a través de un método que no sea este número de teléfono) y le explicaré sus inquietudes y le aclararé que esta solicitud era legítima.

No confiaría en este banco. Incluso si esta llamada telefónica fuera totalmente legítima para sus sistemas, solo prueba que no entienden las implicaciones de seguridad en al menos dos formas:

1. Si su contraseña web es lo suficientemente simple para ser pronunciada por un bot, podría entenderla lo suficientemente bien como para validar que es su contraseña, no es una contraseña lo suficientemente segura para algo tan confidencial como la información bancaria. Al forzar a los usuarios a pronunciar (o de alguna manera ingresarlos a través del teclado, que honestamente suena como un infierno absoluto) su contraseña, están fomentando las contraseñas inseguras.

2. De la respuesta de Rory:

  

Si se implementa correctamente, esto no debería ser más inseguro que escribir su contraseña en un sitio web.

y

  

En términos de seguridad del sistema IVR, esto es esencialmente como cualquier otro sistema que procesa datos. Debe asegurarse de manera adecuada para que las credenciales de los usuarios no estén expuestas, no es diferente del canal web.

Hablar en un teléfono es MUY diferente de comunicarse en un canal web. A menos que esté utilizando una línea telefónica encriptada de usted al banco, cualquier cosa transmitida a través de la línea puede ser escuchada. Mientras que un inicio de sesión web correctamente implementado no puede ser escuchado a escondidas, ya que utiliza el cifrado de extremo a extremo. De hecho, en las mejores implementaciones, su contraseña nunca se transmite de forma recuperable, por lo que incluso si el servidor web del banco se hubiera infectado, no podría descubrir su contraseña (solo podría verificar que está en posesión de la contraseña correcta). contraseña). Aquí hay una discusión sobre por qué esta técnica de hash (además del canal de comunicación ya cifrado) se usaría o no: ¿Por qué el hashing del lado del cliente de una contraseña es tan poco común?

  

[T] tienen que autenticarte de alguna manera para poder discutir tu cuenta contigo.

Esto es cierto, pero el uso de credenciales web no es la forma de hacerlo. Y por las razones que mencioné anteriormente, la comunicación telefónica tiene inseguridades inherentes y no hago negocios delicados por teléfono si puedo evitarlo.

Como con cualquier cosa, sigue mi consejo con un grano de sal. La probabilidad de que su línea telefónica sea utilizada por una persona u organización que esté interesada en usar su contraseña en línea en su contra es muy pequeña. Dejo que el lector evalúe este riesgo ante los riesgos de que el banco asegure incorrectamente otros canales de comunicación y elija qué nivel de riesgo está dispuesto a asumir.

Nunca estarás 100% seguro. Solo puedes mitigar los riesgos a un nivel aceptable.

Por lo general, existen credenciales diferentes para la banca telefónica y la banca en línea. Esto evita la mayoría de las tentaciones y los conflictos de intereses, ya que la banca telefónica solo puede iniciarse a través de un operador telefónico registrado y, al menos, mi banco señala claramente que sus credenciales en línea nunca se solicitarán o aceptarán por teléfono. exactamente por el phishing.

Si fuera completamente trivial distinguir el phishing de la estupidez de buena fe, el phishing sería una cosa menos. De cualquier manera, confiar en el otro lado con sus credenciales en línea parece una mala idea.

Descargo de responsabilidad: nunca comparta sus credenciales de inicio de sesión, contraseñas o números PIN en persona, por teléfono o en línea. Solo use las contraseñas bancarias en el sitio web verificado del banco, verificando la información de seguridad de su navegador (al lado de https).

No lo llamaría "violación de la privacidad", ya que, en teoría, su contraseña (o su hash) es información que ya ha compartido usted y el banco. Desde que llamaste al servicio de atención al cliente, parece que has descubierto un error o una fuga de seguridad en su sistema.

• Un empleado del servicio humano de atención al cliente me extrajo partes de mi PUK o ID de fábrica de la pieza de plástico cuando llamé por mi cuenta de teléfono móvil. Y para algunos dígitos de mi número de cuenta por parte de un empleado del banco, cuando llame al banco, nunca mi contraseña.
• No, esto no es una práctica habitual, la mayoría de los bancos le advierten que nunca escriba su contraseña, no le diga a nadie y solo la use desde su computadora cuando ingrese al servicio de banca por Internet a través de HTTPS.
• Es posible que hayan sido pirateados (a saber, el software bot utilizado en su centro de servicio) o, alternativamente, podría ser un error / error de seguridad no planificado en su software. De cualquier manera, decir que su contraseña a través del teléfono es un riesgo de seguridad en sí mismo, ya que es posible que se le escuche, la llamada se redirige (por ejemplo, si su teléfono fue hackeado) o alguien podría estar interceptando y escuchando. conversación.
• Comuníquese con su banco a través de otra vía e informe el riesgo de seguridad. Puede intentar informar el error a través del formulario de informe de contacto / error en su sitio web o ir a su sucursal local en persona. Otra cosa a hacer sería revisar el sitio web del banco para ver las páginas de ayuda asociadas con su servicio telefónico. Por lo general, estos describirán el proceso requerido para usar su línea de servicio al cliente y, si no se incluye este paso (le dice a su bota su contraseña), es probable que alguien haya comprometido su software bot o es un ataque de phishing realizado por alguien en su centro de servicio, si este paso se incluye, es muy probable que se pase por alto un riesgo de seguridad. De cualquier manera, debe informar esto, la mayoría de los servicios financieros tomarán esa queja muy en serio.
• Dependiendo del resultado de esta queja, es posible que también deba comunicarse con su compañía telefónica, ya que podría ser el resultado de un software malicioso o un riesgo de seguridad con su proveedor. Para descartar esto provisionalmente, intente contactar el servicio bancario con otro teléfono en una red diferente.

No estaban pidiendo su contraseña de banca en línea, sino su contraseña / frase de contraseña para su sistema telefónico. Un banco (por no hablar de cualquier compañía / sistema) que use las mismas credenciales para su banca en línea y la banca telefónica simplemente no existe.

contraseña web "segura" típica:

+ o_TH3-m * 0N2017! que luego se almacena en el DB como un hash (por ejemplo, 8dd6ae487b790146f6570cb5b01f7f70224f6706). Para autenticarte, ingresaste el pase correcto, el sistema recalca tu entrada y, si se trata de una coincidencia, estás autentificado.

Para los sistemas telefónicos, las frases de contraseña se almacenarán como texto sin formato o el sistema automatizado requerirá que use solo números / letras y los indique letra por letra.

A menos que desee informarnos sobre el banco que está utilizando, es posible que obtenga más claridad llamando a su banco y pidiéndole hablar con un representante.

Por último, desde que los llamaste, no es probable que haya un intento de phishing

A primera vista parece una estafa, pero ahora tienes cosas que hacer:

1. Cuando las personas reciben llamadas como esta, generalmente se recomienda llamar al teléfono central de consultas del banco y pedirle a una persona real que reciba una confirmación si el caso es real.

   Ya que es muy probable que sea un truco de phishing, debe informarlo a ellos. Les ayuda a bloquear o encontrar a los criminales.

   • Debe proporcionar información sobre el número de teléfono o correo electrónico, de dónde proviene
   • Proporcione información sobre la hora de la llamada y cualquier otra actividad sospechosa con fechas.
   • Proporcione información sobre la información que pidieron, y si les proporcionó algo.

2. Cambie cualquier dato posible, mejor con llamar a la línea de consulta central, donde les da un correo electrónico y un número de teléfono FRESCO, donde puede comunicarse de manera segura. Mejor no leer sms de números desconocidos.

   • Cambia el nombre de usuario, contraseña, pin. Limite la cantidad de crédito extraíble. Pero honestamente, si les estuvieras dando una identificación, simplemente pediría una nueva cuenta por razones de seguridad. Depende de su banco, de cuán flexibles sean.
   • Después de registrar su nuevo correo electrónico, también debe cambiar la contraseña y las preguntas de seguridad en su cuenta. Si la cuenta parece ser segura, puede transferir ese dinero a otro, o lo mejor es que se lo paguen personalmente en efectivo en el banco o que ellos transfieran a la nueva cuenta. Diles que estabas dando información.
   • No confíe en ningún sitio que aparezca en su cuenta / correo electrónico (con compromiso). Incluso SSL (sitio seguro) puede ser falso.

3. Opcionalmente puede contactar a la policía, pero es una pérdida de tiempo sin información específica.

Algunos de estos pueden parecer excesivos e improbables, pero he visto muchos criminales inteligentes y astutos. Ttey proviene de Rusia o India a diario, donde las autoridades no se preocuparán por sus autoridades de la UE / EE. UU.

edit @ questioner comment

No parece que hayas especificado cómo sucedió. No sé si fue editado, pero tal como lo entendí parecía que se pusieron en contacto con usted. Si llamó al número del sitio oficial (no haga clic en los enlaces de correo electrónico), entonces hizo lo que dije. Pero:

1. NINGUNA de las compañías que conocí hasta ahora (bancos o TI) solicitan contraseñas por teléfono. Como usted dijo, está registrado, no encriptado y se puede utilizar sin el consentimiento del propietario. ¡Ni siquiera piden números de identificación completos!
2. Por el contrario, conozco empresas que deben informarle que la llamada está grabada, y que el empleado está PROHIBIDO de solicitar cualquier contraseña, y prohíben que el propietario le diga a cualquiera de ellas. Ni siquiera los sistemas automáticos solicitan ingresar contraseñas completas con los botones o decirlo en el teléfono. Si se tratara de una empresa real, dejaría este banco inmediatamente.
3. Esto parece exactamente una estafa. Una "persona real" es un punto clave en la ingeniería social. El estafador gana confianza al ser auténtico. Este tipo de trucos se realizan a diario. Lo que describí es una rutina oficial de empresas profesionales. Estoy de acuerdo, es una política horrible si se tratara de un banco real.