Comme le titre l'indique, on m'a demandé mon mot de passe pour les services bancaires en ligne lors du processus de prise de contact avec une personne réelle. C'est quelque chose que je ne ferais jamais et sachant que l'appel était en cours d'enregistrement (pour une amélioration supplémentaire du bot que j'étais en train de parler à), il est encore pire.
Bien sûr, après cela, j'ai raccroché et je suis presque sûr que c'est une violation de la vie privée car on vous demande des détails privés et aussi ce n'est pas crypté.
En supposant que vous les ayez appelés sur un numéro publié, je dirais que cela ressemble à un système interactif de réponse vocale (IVR), ce qui est assez courant dans le monde bancaire.
Le concept est que le système prend vos informations d'authentification avant de vous transmettre à un agent du centre de contact. L'avantage de cela du point de vue de la sécurité est que l'agent du centre d'appels n'a pas à vous demander de vous authentifier avant de discuter de votre compte.
S'il est correctement mis en œuvre, cela ne devrait pas être plus dangereux que de taper votre mot de passe sur un site Web. Il existe un système automatisé traitant les données vocales et il doit les stocker/enregistrer de manière appropriée.
Bien sûr, comme vous le faites remarquer, il existe un risque d'écoute téléphonique, mais si vous supposez que votre ligne téléphonique est activée, toute forme d'opérations bancaires par téléphone n'est pas sécurisée car elles doivent vous authentifier d'une manière ou d'une autre pour pouvoir discuter de votre compte avec vous.
EDIT: Pour ajouter plus de détails, plutôt que de les laisser éparpillés autour de commentaires qui pourraient être effacés.
Fondamentalement, les banques doivent vous authentifier d'une manière ou d'une autre, quel que soit le canal (par exemple, Web, téléphone, succursale) que vous utilisez pour les contacter, et il y a des compromis à considérer.
D'une part, avoir des informations d'identification dédiées par canal est utile en ce sens qu'il réduit le risque de compromis et évite de brouiller le message "ne dites pas aux gens votre mot de passe Web", mais cela laisse aux utilisateurs plus d'informations d'identification à gérer et, selon toute vraisemblance, un beaucoup de réinitialisations de mot de passe si les utilisateurs n'utilisent que rarement un canal spécifique (avec toutes les vulnérabilités que les réinitialisations fréquentes attirent)
Ainsi, l'option qui apparaît, à partir des informations fournies, qui est utilisée ici est de combiner les informations d'identification pour les canaux Web et téléphoniques et d'utiliser un système IVR automatisé sur le canal téléphonique pour éviter que les informations d'identification ne soient transmises aux agents du centre de contact. L'avantage ici est un ensemble unique de crédits, donc l'utilisateur ne les oubliera pas, et l'inconvénient est le scénario où nous voyons où la messagerie bancaire "ne donnez pas votre mot de passe aux gens" conduit à des problèmes dans l'utilisation de ce système.
En termes de sécurité du système IVR, c'est essentiellement comme tout autre système qui traite les données. Il doit être sécurisé de manière appropriée afin que les informations d'identification de l'utilisateur ne soient pas exposées, pas différent du canal Web.
De toute évidence, un système comme le matériel (pas SMS) 2FA pourrait bien fonctionner dans ce scénario car les codes numériques sont facilement transmis aux systèmes IVR, mais qui a ses propres compromis en termes de coût et d'expérience utilisateur.
Message d'avertissement obligatoire:
Ne donnez jamais votre mot de passe à qui que ce soit et ne laissez pas cette réponse influencer ce type de comportement.
Parce que l'on ne peut pas connaître toutes les circonstances dans ce cas particulier, un peu de spéculation est nécessaire pour répondre à cette question.
Si j'ai tout compris correctement, le cas est le suivant:
Le PO a visité le site Web de la banque, recherché le numéro d'assistance et ensuite il/elle a lancé un appel. Après avoir donné seulement son identifiant bancaire (?), Le bot à la fin de la ligne a salué l'OP avec son nom de famille et a ensuite demandé le mot de passe bancaire en ligne.
Oui, cela aurait pu être une tentative de phishing d'un attaquant. Le site que vous avez visité aurait pu être modifié et un autre numéro d'assistance aurait pu être configuré. Après avoir fait tout cela, l'attaquant a ensuite dû attendre que le PO se soit rendu volontairement sur le site1 puis composez le numéro. L'attaquant aurait également dû mettre en place un bot téléphonique qui est également capable de connecter l'ID bancaire au nom de famille de OP2.
Cela - du moins pour moi - ressemble à un très gros effort pour simplement obtenir le mot de passe d'un compte bancaire en ligne, ce qui n'est même pas très utile lorsque vous utilisez un système bancaire en ligne typique. Vous avez généralement besoin d'un deuxième facteur pour effectuer tout type de transaction d'argent. C'est toujours un compromis sur le compte bancaire, mais rien qui ne peut pas être corrigé.
Je doute fortement qu'il s'agisse d'une tentative de phishing. Cela ne me semble pas être une bonne politique, surtout si ce n'est pas clair pour les utilisateurs, que leur mot de passe en ligne est également utilisé pour l'authentification par téléphone.
(1) En théorie, un attaquant pourrait simuler une sorte d'urgence qui conduirait alors un utilisateur à appeler le numéro d'assistance.
(2) Sauf si le PO a fait une erreur et a mentionné son nom de famille plus tôt pendant l'appel.
Oui, vous devez prendre des mesures, le signaler à votre banque, selon toute probabilité, il s'agit d'une tentative de phishing.
Cela ne devrait pas arriver et ce n'est pas une pratique normale.
Votre banque ne vous demandera jamais votre code PIN ou votre mot de passe.
EDIT: Après avoir lu vos commentaires et la clarification (postée après mon avertissement) que le contact a été entièrement initié par vous, il est possible/probable que ce ne soit pas une tentative de phishing et soit soit une très mauvaise politique (comme l'ID vocal/la biométrie devrait pas besoin d'un mot de passe secret pour fonctionner) ou une demande d'informations fournies pour prouver l'identité dans ce type de scénario.
Dans tous les cas, je contacterais votre banque (via une autre méthode que ce numéro de téléphone) et expliquerais vos préoccupations et obtenir des éclaircissements de leur part que cette demande était légitime.
Je ne ferais pas confiance à cette banque. Même si cet appel téléphonique était totalement légitime pour leurs systèmes, cela prouve simplement qu'ils ne comprennent pas les implications en matière de sécurité d'au moins deux façons:
Si votre mot de passe Web est suffisamment simple pour être prononcé par un bot qu'il pourrait le comprendre suffisamment pour valider qu'il s'agit bien de votre mot de passe, ce n'est pas un mot de passe suffisamment sécurisé pour quelque chose d'aussi sensible que les informations bancaires. En forçant les utilisateurs à prononcer (ou en quelque sorte à le saisir via le clavier, qui sonne honnêtement comme un enfer absolu) leur mot de passe, ils encouragent les mots de passe non sécurisés.
De la réponse de Rory:
S'il est correctement mis en œuvre, cela ne devrait pas être plus dangereux que de taper votre mot de passe sur un site Web.
et
En termes de sécurité du système IVR, c'est essentiellement comme tout autre système qui traite les données. Il doit être sécurisé de manière appropriée afin que les informations d'identification de l'utilisateur ne soient pas exposées, pas différent du canal Web.
Parler sur un téléphone est TRÈS différent de communiquer sur un canal Web. À moins que vous n'utilisiez une ligne téléphonique cryptée de vous à la banque, tout ce qui est transmis sur la ligne peut être écouté. Alors qu'une connexion Web correctement implémentée ne peut pas être espionnée car elle utilise un chiffrement de bout en bout. En fait, dans les meilleures implémentations, votre mot de passe n'est jamais transmis sous une forme récupérable, donc même si le serveur Web de la banque avait été infecté, il ne serait pas en mesure de découvrir votre mot de passe (il pourrait seulement vérifier que vous êtes en possession du bon mot de passe). Voici une explication sur la raison pour laquelle cette technique de hachage (en plus du canal de communication déjà chiffré) serait ou ne serait pas utilisée: Pourquoi le hachage côté client d'un mot de passe est-il si rare?
[T] ils doivent vous authentifier d'une manière ou d'une autre pour pouvoir discuter de votre compte avec vous.
C'est vrai, mais l'utilisation des informations d'identification Web n'est pas pas la façon de procéder. Et pour les raisons que j'ai mentionnées ci-dessus, la communication téléphonique a des insécurités inhérentes et je ne fais pas d'affaires sensibles par téléphone si je peux l'aider.
Comme pour tout, suivez mes conseils avec un grain de sel. La probabilité que votre ligne téléphonique soit exploitée par une personne ou une organisation qui serait intéressée à utiliser votre mot de passe en ligne contre vous est très faible. Je laisse au lecteur le soin d'évaluer ce risque par rapport aux risques que la banque sécurise de manière inappropriée d'autres canaux de communication et de choisir le niveau de risque qu'elle est prête à prendre.
Vous ne serez jamais sûr à 100%. Vous ne pouvez atténuer les risques qu'à un niveau acceptable.
Il existe généralement des informations d'identification différentes pour les services bancaires par téléphone et les services bancaires en ligne. Cela évite la plupart des tentations et des conflits d'intérêts, car les opérations bancaires par téléphone ne peuvent être lancées que par le biais d'un opérateur téléphonique connecté, et au moins ma banque souligne très clairement que ses informations d'identification en ligne jamais seront demandées ou acceptées par téléphone, exactement à cause du phishing.
S'il était tout à fait banal de distinguer le phishing de la stupidité authentique, le phishing serait moins une chose. Quoi qu'il en soit, faire confiance à l'autre côté avec vos informations d'identification en ligne semble être une mauvaise idée.
Avertissement: ne partagez jamais vos identifiants de connexion, mots de passe ou PIN numéros en personne, par téléphone ou en ligne. Utilisez uniquement des mots de passe bancaires sur le site Web vérifié de la banque, en vérifiant la sécurité de votre navigateur) informations (à côté de https).
Je ne dirais pas que c'est une "violation de la vie privée" puisque théoriquement votre mot de passe (ou son hachage) est une information déjà partagée entre vous et la banque. Étant donné que vous êtes le seul à appeler le service client, il semble que vous ayez découvert un bogue ou une fuite de sécurité dans leur système.
Ils ne demandaient pas votre mot de passe bancaire en ligne, mais votre mot de passe/phrase de passe pour leur système téléphonique. Une banque (sans parler de n'importe quelle entreprise/système) utilisant les mêmes informations d'identification pour vos opérations bancaires en ligne et vos opérations bancaires par téléphone n'existe tout simplement pas.
-mot de passe Web "sécurisé" typique:
+ o_TH3-m * 0N2017! qui est ensuite stocké dans la base de données sous forme de hachage (par exemple 8dd6ae487b790146f6570cb5b01f7f70224f6706). Pour vous authentifier, vous avez entré la bonne passe, le système retouche votre entrée et si c'est une correspondance, vous êtes authentifié.
Pour les systèmes téléphoniques, les mots de passe seraient stockés en texte brut ou un système automatisé vous obligerait à utiliser uniquement des chiffres/lettres et à les énoncer lettre par lettre.
À moins que vous ne vouliez nous renseigner sur la banque que vous utilisez, vous pourriez obtenir plus de clarté en rappelant votre banque et en demandant à parler à un représentant?
Enfin - puisque vous les avez appelés, une tentative de phishing est peu probable