Je reçois souvent des appels téléphoniques de ma banque personnelle, de mon fournisseur de prêts hypothécaires ou de sociétés de services publics.
Dans la plupart des cas, ils commencent par me demander de vérifier mon identité par le nom/l'adresse/la date de naissance habituelle ou, dans le cas de la banque, par des questions de sécurité avec lesquelles je suis d'accord auparavant. La banque demandera deux chiffres de mes quatre chiffres PIN et un mot mémorable.
Ma préoccupation est que je fasse tout cela sans aucun moyen de vérifier leur identité. Je pourrais donner ces détails et toute discussion ultérieure de mon compte à un tiers anonyme.
Je comprends que l'identification de l'appelant n'est pas un moyen fiable de le faire et dans tous les cas, ces sociétés utilisent souvent un numéro masqué.
Je pourrais demander des détails sur une transaction récente, mais je peux imaginer que la protection des données les empêcherait de partager cela avec un tiers non vérifié.
Dois-je refuser de répondre même partiellement à mes questions de sécurité dans cette situation?
Qu'est-ce qu'une alternative sensée?
Ma préoccupation est que je fasse tout cela sans aucun moyen de vérifier leur identité. Je pourrais donner ces détails et toute discussion ultérieure de mon compte à un tiers anonyme.
Les deux extrémités décidant que l'autre est qui elles prétendent être ne sont pas un problème trivial. Comme vous le dites, l'ID de l'appelant peut être usurpé ; dans tous les cas, tout le monde n'a pas d'identification de l'appelant.
Dois-je refuser de répondre même partiellement à mes questions de sécurité dans cette situation?
J'ai refusé de donner des détails ou de discuter de quoi que ce soit sans d'abord vérifier la source de l'appel. Si les informations demandées peuvent être utilisées pour vous vérifier, elles pourraient être utilisées par une tierce partie malveillante pour usurper votre identité si elles les obtenaient.
Qu'est-ce qu'une alternative sensée?
Demandez le nom de la personne qui appelle et le but général, en indiquant que vous souhaitez la rappeler à ce sujet.
Si vous avez le numéro de téléphone de votre fournisseur, appelez-le à ce sujet; ne rappelez pas un numéro qui vous est fourni pendant l'appel sans le vérifier ailleurs en utilisant d'abord une source de confiance (annuaire téléphonique, site Web du fournisseur).
J'ai également entendu des rapports¹ de tentatives de phishing/escroquerie qui disent que "ceci est votre appel bancaire, veuillez nous rappeler sur notre numéro pour discuter d'un sujet important <click>". Apparemment, ils ont raccroché, mais la ligne est toujours active .
Ceci est discuté plus loin n autre QA ici .
Si vous essayez de rappeler à ce moment-là, vous parlez toujours au phishing. C'est un problème avec les lignes fixes par opposition aux téléphones portables; un appel en cours sur un appareil cellulaire sera indiqué. Si vous avez été appelé sur une ligne fixe, cela vaut la peine de rappeler sur une autre ligne.
Donc, en bref:
¹ Par exemple, un article sur The Register de 2009 affirmant que c'est le cas:
Des escrocs se faisant passer pour des représentants de fournisseurs de services téléphoniques, tels que BT, appellent des abonnés britanniques pour tenter de tromper les marques potentielles en leur remettant une carte de crédit ou des coordonnées bancaires sous la menace d'une déconnexion.
La plausibilité est ajoutée à l'arnaque par une astuce conçue pour tromper les gens en leur faisant croire que leur ligne a été temporairement coupée, apparemment sous le contrôle de la personne qui les appelle.
Cela se produit après que les fraudeurs ont été mis au défi d'établir leur identité en tant que représentant d'un opérateur de télécommunications. En réponse, les escrocs disent à leurs victimes potentielles de raccrocher et d'essayer de téléphoner à quelqu'un, affirmant que la ligne sera déconnectée pour éviter cela. Cela établit prétendument que les escrocs font appel aux affaires officielles.
En réalité, le fraudeur reste en ligne avec le bouton muet activé. Étant donné que la personne qui initie un appel est celle qui doit y mettre fin, une marque potentielle ne peut pas passer un appel téléphonique, ni même obtenir une tonalité.
Ceci est basé sur un "BT et Ofcom warn (ing)" mais je ne l'ai pas encore trouvé.
Le Money Advice Service le mentionne également:
Connue sous le nom d’escroquerie sans raccrochage, c’est là que le fraudeur garde la ligne ouverte, usurpe une tonalité et que le complice du fraudeur répond et usurpe l’identité de la personne qui pense essayer d’appeler.
Je refuserais de donner des détails personnels à quiconque m'a appelé car vous ne pouvez pas vérifier qui ils sont.
S'ils ont besoin de vous parler, dites que vous pouvez rappeler. Vous pouvez ensuite appeler le numéro direct qui, s'il s'agit d'une grande banque, sera bien connu et sur son site Web. Vous pouvez alors demander un numéro de poste pour diriger votre appel une fois que vous savez que vous êtes en communication avec votre banque.
Dois-je refuser de répondre même partiellement à mes questions de sécurité dans cette situation?
Vous devriez. L'authentification mutuelle par téléphone n'est vraiment pas anodine mais importante. L'une des façons les plus courantes est de toujours vous faire appeler par la même personne. De nombreuses banques vous affectent un comptable spécifique qui est responsable de vous en tant que client. En lui parlant en personne auparavant, il est raisonnablement sûr de lui parler au téléphone en reconnaissant sa voix ou en organisant un mot-clé ou quelque chose avant.
Une approche plus simple: appelez votre banque et faites-lui part de vos préoccupations. Demandez-leur une solution; vous n'êtes peut-être pas le premier client à penser à ces problèmes.
Je pourrais demander des détails sur une transaction récente, mais je peux imaginer que la protection des données les empêcherait de partager cela avec un tiers non vérifié.
C'est exactement ce que vous devez faire et ce que je fais normalement. La banque me communiquera normalement les montants des paiements récurrents courants, etc. Puisqu'il ne s'agit que de chiffres monétaires et non de données personnelles, je ne vois pas de problème de protection des données. S'ils peuvent vous dire les derniers crédits/débits du compte et le montant de votre hypothèque/salaire, vous pouvez être sûr qu'ils sont authentiques.