新しいジロカードが届きませんでした。私は銀行に電話して古いものをブロックし、新しいものを手に入れたかったのです。オンラインバンキングを確認したところ、電話番号が見つかりました(「ブロックカード:ジロカードまたはビザカードを紛失した場合は、04106 -...に電話してください)。人は何かをする前に、電話を介して私のオンラインバンキングPINを望んでいました。
これは正常で安全な操作ですか、それとも会話を丁寧に終了するように修正しましたか?
明日以降にカードが誤用された場合はどうなりますか?ブロックするためにホットラインに電話をかけましたが、私のオンラインバンキングPINなしでは何もしたくありませんでした。
私の意見では、あなたは正しいことをしました。電話または対面でPINをあきらめる必要があるという状況はありません。ただし、(HTTPS)銀行のWebサイトに入力して、アカウントまたはATMなどの物理的な銀行端末。
個人識別番号(PIN)の全体的な目的は、自分だけが知っている一意の番号にして、自分を認証できるようにすることです。
直接行くことができる実際の銀行の場所を見つけることをお勧めします。あなたの経験と、あなたがその電話をかけることにつながっていた問題について、人に話すことができます。
電話番号が実際の銀行機関のものであり、電話オペレーターが新規または経験の浅い大規模なミスを犯した可能性は十分にありますが、PIN=別の人に。
それが役に立てば幸い!
それは米国ではかなり一般的になりつつあります。多くの銀行やその他の金融機関では、アカウントの承認されたユーザーと実際に通信していることを確認するために、発信者が事前に設定された識別番号を提供する必要があります。
彼らは以前、個人情報-社会保障番号、古い住所、セキュリティの質問などを尋ねていました。それらは支持を失い始めています。
「電話PIN」またはユーザーPINは、デビットカードやクレジットカード、オンラインアカウントのパスワードとは異なりPINです。また、オンラインでログインするとき、またはオンラインパスワードを取得またはリセットするときの二次検証方法としても使用できます。
したがって、いいえ、それは必ずしもフィッシングの兆候ではなく、誰かに暗証番号を暗示的に与えるのではなく、疑わしくて会話を終了したのは良いことです。
ここで混乱があったため、飛び交っているすべての情報を統合するために、別の(できれば最後に)回答を追加したいと思いました。
まず、今日の銀行業界にはどのような PIN がありますか?
カード所有者PIN:
これは、デビットカードまたはクレジットカードに属するPINです。当然のことながら、このようにPINを管理する方法について ISO規範 があります。これはかなりルーチンになるでしょう。ほぼすべての銀行へ。カード所有者にPIN=をマシンに渡す必要がある場合があります。それは、何かを支払うか、お金を引き出すときです。
深刻な銀行がその数を尋ねることはありません。誰かがそうした場合、それはおそらく詐欺です。
電話バンキングのPIN:
ほとんどの銀行(少なくとも私が遭遇したもの)には、別のPINフォンバンキングがあります。これはPINで、電話で自分を認証することができます。エージェントまたは自動化システム(同様の質問 ここ 、 ここ 、特に ここ を参照)を参照してください。あなたが持っているかもしれない周囲の質問。
オンラインバンキングのPIN:
これはPINです。これはすべてのオンラインバンキングのニーズに使用します。正直に言うと、オンラインバンキングのPINはログインに使用するパスワードです。オンラインバンキングアカウント。一部の銀行はオンラインバンキングPINを使用して 不思議なこと を実行しますが、ほとんどの銀行はそうではありません。銀行が行うことはかなり日常的であり、機密パスワードの管理に関する通常の動作に期待されることとまったく同じです。ほとんどの銀行はこれを使用しますPINオンラインバンキングでのみ使用します。[〜#〜]しかし[〜#〜]一部の銀行これを使用してくださいPINテレフォンバンキングにも使用します(最初は私にとってもニュースでした)。
ここの大きな違いは何ですか?
カード所有者PINは、(カードを所持しているときに)資金に直接アクセスするために使用されます。これにより、他の2つよりもはるかに貴重になります。なぜですか?オンラインおよび電話バンキングのPINを使用すると、システムにアクセスして、資金を管理します。これらのシステムが適切に設計されている場合は、行われた変更を承認するための2番目の要素が必要になります。送金、銀行業務の確立理論的には、攻撃者は後者のPINの1つを盗んだときに銀行口座の制御を獲得するために大きな一歩を踏み出しましたが、実際に多くのことを行うことはできません。第二の要素。
んで、どうする?
さまざまなPINは通常、さまざまなシステムに対して認証されます。銀行が2つの異なるシステムに対して同じPINを使用している場合、それは最善の方法ではないかもしれませんが、それは物事を行う方法です。これに不快な場合は、別の形式の認証です。電話での銀行の一般的な認証形式を確認してください。interwebzに情報がない場合は、もう一度電話して、別のエージェントを待って、どのような種類の資格情報が必要かを確認してください。人間のエージェントを信頼せず、自動システムに対する認証を要求します。誰かが聞いているかもしれません
結論:
これは世界で最悪のことではありません。それは(私の経験から)ベストプラクティスではありません。とても心強いものではありません。しかし、これはあなたのすべての資金が明日無くなるという意味ではありません。
これが脅威モデルに適合しない場合は、ポリシーを変更しない限り、いつでも脅威で銀行を離れて別の会社に任せることができます。理由を教えてください。おそらく何かします。そうでない場合は、そのままにしておきます。これは、システム内に2FAの形式がない場合に特に当てはまります。
他の人間が関与しているため、電話バンキングは常に少し安全ではありません。そして人間は間違いを犯す傾向があり、場合によっては犯罪者になることもあります。
そのための簡単な解決策があります。電話バンキングの使用をやめることです。
重要:コメントに記載されているソリューションのほとんどは、この問題を解決しません。自動化されたシステムがハッキングまたは悪用される可能性があり、セキュリティの質問が記録される可能性があります。テレフォンバンキングを処理するコールセンターで働いているエージェントがあなたを詐欺したい場合、おそらく彼/彼女は-適所にセキュリティ制御がない場合。
良い点は、ほとんどの銀行がそれを起こさないことです。多くの賢い人々がそこで働いているため、これらのことについて頭を悩ませています。
あなたが理由を知っている?私たちは詐欺に遭うことを心配する最初の男や女ではありません。
特定の状況についてはわかりません。しかし、私の銀行(チェコ共和国)から特別な10桁のコードが提供されています。このコードは、検証の手段として使用されるため、テレバンキングPINと呼ばれます。
テレバンキングホットラインに電話すると、オペレーターはこの秘密コードを最大6ポジション要求します。つまり、アカウントの正しい所有者だけがこのアクセスコードを取得するということです。
これは私のカードのピンではなく、テレバンキングにのみ適用される特別なコードです。
多くの人々がここで問題の核心に触れたと思いますが、私は呼びかけます。最近の多くの銀行は、電話でビジネスを行うときに何らかの二次認証を求めています。これは、電話PIN(デビットカードのピンとは別))または単語またはフレーズ-最初の車のメーカーとモデル(この情報を共有した場合)などです。 。
あなたが経験したことは不思議な印象ではありませんが、不快な点や不安な点がある場合は会話を終えるのが賢明だったと思います。私がお勧めするのは、銀行の顧客サービスラインに連絡して、電話でIDを検証する方法を尋ねることです。電話を求める場合PINはその一部です(または含まれていない場合)ので、質問にすぐに回答するはずです。
私は電話をセットアップしたインスタンスにも遭遇しましたPINまたはフレーズをすぐに忘れたので、確信がない場合は常に、身元を検証する別の方法があるかどうか尋ねることができます-それ通常、より多くの質問に答える必要がありますが、少なくともPIN up。
銀行が電話のPINを使用している場合、1か所の自宅を運転するには、デビットカードのPINとは異なることを確認する必要があります。 PIN=を再利用することを選択した場合は、侵害のリスクが高まります。
彼らが私に電話をかけてきたなら、私は断固として自分のPIN=をあきらめることを拒否し、銀行との関係を打ち切りました。
PINとは(いいえ、「PIN番号」ではありません)を見てみましょう。これは個人識別番号です。これにより、あなただけが特定の個人取引に使用できます。理由はありません。銀行がそれを望んでいるため。
監督者に電話で話したかったのですが。多分彼らはあなたの身元を確立したかったので、彼らは誰かが偽のカードキャンセルを求めないようにしました。ただし、その場合は、アカウントで利用できる他の多くの情報を利用できます。どちらの場合も、PINを取得する必要はありません。
カードを誤用するとどうなりますか?あなたは米国にいないようですので、米国の法律は適用されません。これに関するあなたの地域の法律を調べることをお勧めします-一部の法域では、他の地域よりも詐欺に対する責任が少なくなります。
これは実際、多くの銀行にとって通常の手続きです。
ただし、次のことに注意してください。
それは非常に銀行固有ですが、たとえばフィンランドでは前代未聞です!銀行は実際に、具体的にNO CONDITIONSでPINコードを要求することを警告します。それを配ったり、カードと一緒に保管したりしないでください。
確認は、銀行から受け取ったチャレンジ番号リストの使い捨て番号、またはより一般的には同じ原理を持つ銀行提供のモバイルアプリを介して行われます。また、そのアプリは、銀行で(オンラインまたは直接)個人的に承認した電話番号に関連付けられています。同様に、番号を取り消すこともできます。これにより、アプリPIN=コードを知っていて、物理的な電話を盗んだ場合でも、すぐにアプリが使用されなくなります。
PINを人に提供する必要がある場合は奇妙に聞こえますが、もちろん、彼らがあなたを特定したかっただけの可能性もあります。私が住んでいる場所(フィンランド)、テレフォンバンキングの場合は入力する必要がありますユーザーコード(8桁)とワンタイムコード(4桁)、またはワンタイムコードの代わりに私の携帯電話の認証アプリを使用します。これはフィンランドでは一般的です。ユーザーコードとワンタイムコードを誰にでも、電話で自動コンピューターシステムに入力します。
PINを提供するのが不安な場合は、電話でサービスを使用する代わりに、銀行に実際に行くこともできます。
彼らはまた、電話で私の社会保障番号を頻繁に尋ねます。これはタイプしないで、電話で他の人に伝えます。
電話での会話がひそかに聞かれる可能性はほとんどありません。理論的には、誰かが妨害装置で3G周波数をブロックし、2Gを使用するように電話を強制し、IMSIキャッチャーを使用して暗号化キーを解読することができます(これは、妥当な時間内に貧弱なGSM暗号で実行できるはずです)。このようなことが起こる可能性は非常に低いので、心配する必要はありません。