Muchos de los bancos con los que he tratado requieren que el cliente ingrese su número de cliente, la contraseña de la banca por Internet (o contraseña del teléfono) y la fecha de nacimiento, todo a través del teclado del teléfono, antes de conectarse a un miembro del personal. Cada uno de estos detalles individuales va seguido del símbolo #.
Después de ingresar estos detalles, el cliente puede realizar la mayoría de las acciones (por ejemplo, transferir dinero o cambiar datos personales) sin ningún otro procedimiento de verificación. Según el teléfono que utilice, estos números permanecerán en la pantalla durante el resto de la llamada telefónica.
Además, al transferir dinero a través de este método, el banco ya no requiere autenticación de 2 pasos, a diferencia de transferir dinero a través de la aplicación bancaria o el sitio web. Esto es lo mismo independientemente de si llama desde el número vinculado a la cuenta o un número completamente diferente.
Esto parece mucho menos seguro que usar la aplicación bancaria o el sitio web. ¿Pero qué tanto de una amenaza a la seguridad está presente?
En el contexto de un teléfono inteligente: ¿Qué tan fácil sería para el malware / spyware / keyloggers extraer los números separados por el # y, por lo tanto, obtener acceso a la cuenta bancaria asociada a través de la banca telefónica?