銀行のサポートから、オンラインバンキングの資格情報を求められました

Question

タイトルのとおり、実在の人物と連絡を取る過程で、オンラインバンキングのパスワードを尋ねられました。これは私が決して行うことのないことであり、通話が録音されていたことを知っていた（ボットをさらに改善するためにtalking toでした）と、通話はさらに悪化します。

確かに、その後電話を切りましたが、個人情報の入力を求められ、暗号化もされていないため、プライバシーの侵害であると確信しています。

誰かこれを以前に求められたことがありますか？
これは通常の方法ですか？
私のID番号を言った後、ボットは私を「Mr. my_last_name "と呼んだので、それは正当な電話番号だと思いますが、ハッキングされてサポート番号が乗っ取られた可能性はありますか？
何か行動を起こすべきですか？

Rory McCune · Accepted Answer

公開番号で電話をかけたと仮定すると、これは銀行の世界ではかなり一般的なインタラクティブ音声応答（IVR）システムのように聞こえます。

コンセプトは、コンタクトセンターエージェントに転送する前に、システムが認証情報を取得することです。セキュリティの観点からのこの利点は、コールセンターのエージェントがアカウントについて話し合う前に、認証を要求する必要がないことです。

正しく実装されていれば、これはWebサイトにパスワードを入力するよりも安全です。音声データを処理する自動システムがあり、これを適切に保存/記録する必要があります。

もちろん、あなたが電話を盗聴する危険性があることを指摘しますが、電話回線が盗聴されたと想定した場合、何らかの形で電話バンキングは安全ではありません。君は。

編集：クリアされる可能性のあるコメントの周りに散らばるのではなく、さらに詳細を追加するため。

基本的に銀行は、連絡に使用するチャネル（Web、電話、支店など）に関係なく、何らかの方法でユーザーを認証する必要があり、考慮すべきトレードオフがあります。

一方では、チャネルごとに専用の認証情報を設定すると、侵害のリスクを軽減し、「ウェブパスワードを知らせないでください」というメッセージを混乱させることを回避できますが、ユーザーはより多くの認証情報を管理でき、おそらくユーザーが特定のチャネルのみを使用することがまれである場合、パスワードのリセットが頻繁に行われる（リセットが頻繁に発生するすべての脆弱性を伴う）

したがって、ここで使用される情報は、提供された情報から表示されるオプションであり、Webチャネルと電話チャネルの資格情報を組み合わせ、電話チャネルで自動IVRシステムを使用して、コンタクトセンターエージェントに資格情報が与えられるのを防ぎます。ここでの利点は、1組のクレデンシャルであるため、ユーザーはそれらを忘れないでしょう。また、欠点は、銀行のメッセージで「パスワードを教えないでください」がこのシステムの使用に問題を引き起こすシナリオです。

IVRシステムのセキュリティに関しては、これは基本的に、データを処理する他のシステムと同じです。ユーザーの資格情報が公開されないように、Webチャネルと同じように適切に保護する必要があります。

ハードウェア（SMSではない）2FAのようなシステムは、数値コードがIVRシステムに簡単に渡されるため、このシナリオでうまく機能しますが、コストとユーザーエクスペリエンスの点で独自のトレードオフがあります。

Tom K. · Answer

必須の警告メッセージ：

パスワードを誰にも教えないでください。また、この答えがこの種の動作に影響を与えないようにしてください。

この特定のケースではすべての状況を知ることができない可能性があるため、この質問に答えるときは少し推測が必要です。

私がすべてを正しく理解した場合、ケースは次のようになります：

OPは銀行のWebサイトにアクセスし、サポート番号を調べた後、電話をかけました。銀行ID（？）のみを提供した後、行の最後にあるボットはOPに姓を迎え、オンラインバンキングのパスワードを要求しました。

はい、これは攻撃者によるフィッシングの試みである可能性があります。アクセスしたサイトは変更されている可能性があり、別のサポート番号が設定されている可能性があります。これをすべて実行した後、攻撃者はOPが自発的にサイトを訪問するまで待機する必要がありました。¹ その後、番号を呼び出します。攻撃者は、バンキングIDをOPの姓に接続することもできる電話ボットをセットアップする必要もありました。²。

これは、少なくとも私にとっては、オンラインバンキングアカウントのパスワードを取得するための非常に大きな努力のように見えます。これは、典型的なオンラインバンキングシステムを使用する場合にはそれほど価値がありません。通常、あらゆる種類のお金の取引を行うには、2番目の要素が必要です。それはまだ銀行口座の侵害ですが、修正できないものはありません。

これはフィッシングの試みであると私は強く疑います。特にユーザーがはっきりしない場合は、オンラインパスワードが電話での認証にも使用されることは、私にとっては良いポリシーのように思えません。

_{（1）理論的には、攻撃者はある種の緊急事態を装ってユーザーをサポート番号に呼び出す可能性があります。}

_{（2）OPがミスをして、コール中に先に姓を言及した場合を除きます。}

TheJulyPlot · Answer

はい、あなたは行動を起こすべきです、それをあなたの銀行に報告してください、おそらくこれはフィッシングの試みでした。

これは起こらないはずであり、通常の習慣ではありません。

あなたの銀行はあなたの暗証番号やパスワードを決して尋ねません。

編集：あなたのコメントと私の連絡が完全にあなたによって開始されたという説明（私のオーナの後に投稿された）を読んだ後、これはフィッシングの試みではなく、非常に悪いポリシーである可能性があります（声のID /バイオメトリックスはこの種のシナリオで身元を証明するために提供される情報の要求や、機能するために秘密のパスワードは必要ありません。

どちらの方法でも（この電話番号以外の方法で）銀行に連絡し、懸念事項を説明して、このリクエストが正当なものであることを説明します。

Kallmanation · Answer

私はこの銀行を信用しません。この通話がシステムに対して完全に合法であったとしても、少なくとも2つの点でセキュリティへの影響を理解していないことがわかります。

Webパスワードが単純でボットが発音できるほどシンプルで、実際にパスワードであることを検証できるほど十分に理解できる場合、銀行情報ほど機密性の高いものには安全なパスワードではありません。ユーザーに自分のパスワードを発音させる（または、正直言って絶対に地獄のように聞こえるキーパッドから入力する）ように強制することで、安全でないパスワードを奨励しています。
ロリーの答えから：

正しく実装されていれば、これはWebサイトにパスワードを入力するよりも安全です。

そして

IVRシステムのセキュリティに関しては、これは基本的に、データを処理する他のシステムと同じです。ユーザーの資格情報が公開されないように、Webチャネルと同じように適切に保護する必要があります。

電話で話すことは、Webチャネルで通信することとはまったく異なります。あなたから銀行に暗号化された電話回線を使用しているのでない限り、回線を介して送信されたものはすべて盗聴される可能性があります。一方、適切に実装されたWebログインは、エンドツーエンドの暗号化を使用するため、盗聴することはできません。実際、最良の実装では、パスワードが回復可能な形式で送信されることはないため、銀行のWebサーバーが感染していても、パスワードを見つけることはできません（正しいパスワードを所持していることを確認できるだけです）パスワード）。このハッシュ手法（既に暗号化された通信チャネルに加えて）が使用される理由と使用されない理由についての議論は次のとおりです。パスワードのクライアント側のハッシュがなぜ珍しいのですか？

[T]アカウントをあなたと話し合うことができるようにするには、なんとかしてあなたを認証する必要があります。

これは本当ですが、Web資格情報を使用することはそれを行う方法ではありません。また、前述の理由により、電話によるコミュニケーションには本質的に不安があり、私がそれを手伝うことができるのであれば、電話でデリケートなビジネスを行うことはありません。

何でもそうであるように、塩の粒で私のアドバイスをしてください。オンラインパスワードの使用に興味を持つ人物や組織が電話回線を盗聴される可能性は非常に低いです。このリスクを銀行が他の通信チャネルを不適切に保護しているリスクと比較検討し、彼らがどのレベルのリスクを取るかを選択するのは読者に任せます。

100％安全になることは決してありません。リスクを軽減できるのは、許容レベルまでです。

user156500 · Answer

通常、電話バンキングとオンラインバンキングには異なる資格情報があります。これにより、ほとんどの誘惑や利益相反が回避されます。テレフォンバンキングは、ログインしている電話オペレーターを介してのみ開始できるため、少なくとも私の銀行は、オンライン資格情報がnever電話で尋ねられたり受け入れられたりすることを明確に指摘しています。まさにフィッシングのためです。

フィッシングと本物の愚かさを区別するのが完全に取るに足らないことであれば、フィッシングはそれほど重要ではありません。どちらの方法でも、オンライン資格情報で相手を信頼することは悪い考えのようです。

8DX · Answer

免責事項：ログイン資格情報、パスワード、またはPIN番号を直接、電話またはオンラインで共有しないでください。銀行の確認済みWebサイトでのみ銀行のパスワードを使用し、ブラウザのセキュリティを確認してください。情報（httpsの隣）

理論的にはあなたのパスワード（またはそのハッシュ）はすでにあなたと銀行の間で共有されている情報なので、私はそれを「プライバシーの侵害」とは呼びません。カスタマーサービスを呼び出すのはあなただったので、システムのバグまたはセキュリティリークを発見したようです。

携帯電話のアカウントについて問い合わせるときに、カスタマーサービス担当者からSIMカードが取り出されたプラスチックの部分から、PUKまたは工場IDの一部を要求されました。そして、銀行員が私の口座番号から数桁、銀行に電話するときは、私のパスワードは絶対に使用しないでください。
いいえ、これは通常の習慣ではありません。ほとんどの銀行では、パスワードを書き留める必要はなく、誰にも教えず、HTTPS経由でインターネットバンキングサービスにログインするときにコンピューターからのみ使用するように警告しています。
ハッキングされている可能性（つまり、サービスセンターで使用されているボットソフトウェア）である可能性があります。または、ソフトウェアの計画外のセキュリティリスク/バグである可能性もあります。いずれにしても、電話でパスワードを言うこと自体がセキュリティリスクです。聞こえたり、電話がリダイレクトされたり（たとえば、電話がハッキングされた場合）、誰かが傍受して傍受したりする可能性があります。会話。
別の方法で銀行に連絡し、セキュリティリスクを報告します。あなたは彼らのウェブサイトの連絡/エラー報告フォームを通してバグを報告することを試みるか、直接あなたの地元の支店に行くことができます。銀行のWebサイトで電話サービスに関連するヘルプページを確認することもできます。これらは通常、カスタマーサービスラインを使用するために必要なプロセスを説明します。このステップ（ボットにパスワードを伝える）が含まれていない場合、誰かがボットソフトウェアを侵害したか、サービスセンターの誰かによるフィッシング攻撃である可能性があります。この手順が含まれているため、見落とされているセキュリティリスクである可能性が高いです。どちらにしてもこれを報告する必要がありますが、ほとんどの金融サービスはそのような苦情を非常に深刻に受け止めます。
この申し立ての結果によっては、悪意のあるソフトウェアまたはプロバイダーのセキュリティリスクが原因である可能性があるため、電話会社に連絡する必要がある場合もあります。これを暫定的に除外するには、別のネットワーク上の別の電話で銀行サービスに連絡してみてください。

skrewler · Answer

彼らはあなたのオンラインバンキングのパスワードを求めていませんでしたが、電話システムのパスワード/パスフレーズを求めていました。オンラインバンキングと電話バンキングに同じ資格情報を使用している銀行（会社/システムは言うまでもなく）は存在しません。

-典型的な「安全な」ウェブパスワード：

+ o_TH3-m * 0N2017！次にハッシュとしてDBに保存されます（例：8dd6ae487b790146f6570cb5b01f7f70224f6706）。正しいパスを入力したことを認証するために、システムは入力を再ハッシュし、一致した場合は認証されます。

電話システムの場合、パスフレーズはプレーンテキストとして保存されます。自動化されたシステムでは、数字/文字のみを使用し、文字ごとにそれらを述べる必要があります。

使用している銀行に記入したくない場合を除き、銀行に電話をかけ、担当者と話すように依頼すると、より明確になりますか？

最後に、あなたが彼らに電話をかけたので、フィッシングの試みはおそらくありません