Konsultanci mBanku dzwonią i proszą o dane osobowe. Ekspert od bezpieczeństwa IT załamuje ręce

Na problem telefonów z mBanku zwrócił uwagę w poniedziałek na Twitterze Patryk Słowik, dziennikarz Wirtualnej Polski. Hej, mBank, od kilku tygodni dzwonią do mnie (rzekomo) wasi konsultanci. I proszą o podawanie przez telefon danych osobowych. Twierdzą, że nie mają możliwości weryfikacji przez apkę. To naprawdę ludzie od Was? Faktycznie oczekujecie, że ktoś będzie podawał dane przez telefon? – zapytał, wyraźnie nie dowierzając, że tak naprawdę może działać duży bank.

Scam czy pracownik call-center, który naruszył regulamin? Nic z tych rzeczy. Tak, ze wskazanego numeru telefonu, kontaktował się z Tobą pracownik w imieniu naszego banku – odpowiedział „Łukasz” w imieniu mBanku na Twitterze. Pracownik może poprosić o pewne dane w celu potwierdzenia, że rozmawia z właściwą osobą. To, o jakie dane zapyta, zależy od charakteru połączenia, jakie realizuje – odpowiedział z kolei „Michał”.

Sprawa jest zdumiewająca, bo w czasach zmasowanych ataków cybernetycznych, w których łupem oszustów padają wszystkie oszczędności klientów banków, instytucje finansowe prowadzą intensywne kampanie przestrzegające przed odbieraniem połączeń od osób podających się za pracowników banku, bo jest bardzo duże ryzyko, że są to oszuści. Bezpieczne nie są nawet połączenia z numerem banku, bo przestępcy potrafią podszyć się pod dowolny numer w ramach głośnego ostatnio spoofingu.

Uważaj na oszustów, którzy mogą do Ciebie zadzwonić i podawać się za pracownika banku lub pracownika działu bezpieczeństwa! – pisze sam mBank do klientów, uczulając ich na podejrzane telefony. Bank tłumaczy, że oszuści będą chcieli nakłonić Cię do podania danych niezbędnych do logowania na Twoje konto, danych karty płatniczej lub Twoich danych osobowych. 

Wystarczy zresztą wpisać frazę typu „bank nie zadzwoni”, by dostać całą listę artykułów i komunikatów ostrzegających przed oszustwami na „telefon z banku”. Oczywiście są sytuacje, gdy banki dzwonią do klientów, bo tego wymagają procedury, na przykład potwierdzenie zleconej przez nas operacji, a ale w przypadku wspomnianych telefonów mBanku chodzi po prostu o zwykłe namawianie na usługi bankowe.

Postanowiłem zapytać biuro prasowe mBanku, czy takie praktyki nie są sprzeczne z takimi komunikatami, jakie mBank kieruje do swoich klientów w kwestii bezpieczeństwa. Zapytałem, w jaki sposób zwykły klient ma odróżnić pracowników mBanku od oszustów.

Telefonujemy do klientów w ramach kampanii wspierających różne procesy (np. dokończenie rozpoczętych wniosków), akcji retencyjnych lub sprzedażowych. Pytamy o dane klientów w ramach identyfikacji – taka obowiązuje nas procedura – czytamy w mailu od mBanku. Kiedy telefonujemy do klienta, musimy potwierdzić jego tożsamość, zanim ujawnimy informacje stanowiące tajemnicę bankową lub przedstawimy ofertę. Upewniamy się tym samym, że informacje, które chcemy przekazać, trafią do właściwej osoby – naszego klienta – wyjaśnia bank.

Bank przyznaje, że zadaje pytania o datę urodzenia oraz imię matki lub ojca, lub miejsce urodzenia, lub adres zamieszkania. Jak wyjaśnia biuro prasowe mBanku, klient może potwierdzić tożsamość pracownika telefonując na mLinię. Jeśli klient chce to zrobić nie kontynuujemy rozmowy, a umawiamy się na inny termin kontaktu – kończy swój mail mBank.

W komentarzu dla Bizblog.pl zwraca uwagę, że większość polskich banków od lat przyzwyczajała klientów, że dzwoni do nich z mniej lub bardziej przypadkowych numerów i wypytuje o ich dane osobowe, by na przykład przedstawić ofertę. Gdy zaczęli tej samej metody używać przestępcy, by klientów okradać, banki znienacka obudziły się z ręką w nocniku, próbując wytłumaczyć klientom, które pytania dzwoniącego konsultanta są dobre, a które złe – mówi nam ekspert.