web-dev-qa-db-fra.com

Comment faire la distinction entre une arnaque et un véritable appel?

Ma banque m'a appelé l'autre jour et la personne qui m'a parlé n'a pas donné la moindre preuve qu'il appelait de ma banque.

  • Le numéro de banque est caché comme de nombreuses autres entreprises, peut-être parce qu'elles utilisent la VoIP pour passer des appels ou qu'elles ne veulent pas que vous les rappeliez au numéro auquel elles vous appellent.

  • La personne à qui j'ai parlé a refusé ma proposition de vérification mutuelle de nos identités lorsque je lui ai demandé de me dire mon numéro de compte car toutes les informations qu'il a révélées connaître à mon sujet étaient mon nom et mon numéro de téléphone qui sont disponibles au public.

phishingsocial-engineering
87
Ulkoma

Si vous vous inquiétez de l'authenticité d'un appel à froid, n'essayez pas l'authentification par téléphone dans les deux sens. Demandez simplement quelques informations de base que vous pouvez utiliser pour faire référence au problème lors du suivi:

  1. Nom de la société/du service auquel le compte est destiné.
  2. Quelle est la nature du problème/de l'offre que l'appelant souhaite discuter?
  3. Existe-t-il un identifiant de référence (par exemple: ticket #) pour l'appel?
  4. Nom et/ou ID d'agent de l'appelant.

Important: Tout au long de ce processus, vous ne devriez plus jamais donner à l'appelant vos informations. Le point principal ici est de supposer que quelqu'un qui vous appelle comme ça est un attaquant, pendant toute la durée de l'appel initial.

L'appelant doit répondre à la question n ° 1 avant même que vous ayez à demander. Faites particulièrement attention si ce n'est pas le cas. Une fois, ma femme s'est disputée pendant quelques minutes avec quelqu'un qui appelait du "Département des services de compte", avant de finalement me remettre le téléphone. Lorsque j'ai interrompu l'appelant pour lui demander "Département des services de compte pour qui?" l'appelant a soudainement raccroché.

Une fois que vous avez obtenu tout ce que vous pouvez de l'appelant, raccrochez. Ensuite, obtenez des informations de contact légitimes pour l'entreprise à partir d'une source fiable (n'utilisez pas les informations de contact fournies par l'appelant, sans les vérifier au préalable).

Une fois que vous avez obtenu de bonnes informations de contact, appelez l'entreprise vous-même et renseignez-vous sur le statut de votre compte. Utilisez les informations obtenues de l'appelant au besoin pour référencer l'incident.

118
Iszi

Demandez leur extension, puis rappelez la banque avec un numéro de confiance. La plupart des systèmes téléphoniques de bureau vous permettent de contacter directement n'importe quel employé si vous connaissez son poste, donc raccrocher et rappeler la banque ne prendra pas plus de quelques secondes. Si vous avez été appelé sur une ligne fixe à l'ancienne, vous devez rappeler sur une ligne téléphonique ou un téléphone mobile différent, car l'appelant aurait pu garder la ligne téléphonique ouverte et donner une fausse tonalité ou utiliser une autre personne/voix. Cela garantira que vous avez bien atteint la banque, et une fois que vous avez atteint l'employé, vous devriez pouvoir dire en quelques secondes s'il s'agit de la même personne.

Certes, cela ne protège pas contre la possibilité d'une menace d'initié à la banque. Mais si la banque a un initié devenu voyou, vous (et la banque) avez de plus gros problèmes.

30
The Spooniest

J'ai travaillé dans un centre d'appels qui s'occupait des services de plusieurs banques. La personne appelante suivait probablement la procédure lorsqu'elle ne vous avait pas indiqué votre numéro de compte. Étant donné que les escroqueries par phishing sont courantes contre les banques, il était illégal de donner un numéro de compte sans que le client vérifie qui il était et même s'il vous a appelé, il n'est toujours pas autorisé à supposer que la personne qui répond est celle qu'il tente d'atteindre. Habituellement, et ironiquement, l'une des questions de vérification que nous avons posées au client était pour lui de vérifier son numéro de compte.

La meilleure façon de les vérifier est d'obtenir une sorte de numéro de réclamation, de commande ou de support pour référence. Obtenez le numéro de téléphone sur le site Web de votre banque et rappelez-les avec les détails qu'ils ont fournis.S'ils n'ont pas un tel numéro de référence disponible, ils ont probablement une note liée à votre compte. Vous pouvez également appeler ou visiter une agence bancaire locale pour voir s'ils savent quelque chose sur le problème, mais il était courant qu'ils ne le fassent pas et vous demander de toute façon d'appeler la ligne d'assistance.

8
Bacon Brad

Cela ressemble à une arnaque. Étant donné la quantité de violations de données volumineuses des fraudeurs récents, ils disposent d'énormes ensembles de données qu'ils peuvent analyser et créer une attaque ciblée.

Cela étant dit, l'authentification mutuelle est une bonne action à effectuer car ils auront toujours les données dans leur système. De plus, je n'ai jamais connu de système VoIP de grande organisation qui ne soit pas acheminé vers de vrais numéros de téléphone.

En général, il est préférable de toujours initier le contact entre vous et votre institution financière.

7
Karmic

Tout d'abord, ne leur donnez jamais d'informations qui ne sont pas accessibles au public tant que vous n'êtes pas sûr qu'elles sont réelles. En fait, s'ils vous appelaient, je ne leur donnerais probablement jamais aucune information, car ils ne devraient pas appeler pour recueillir ce genre d'informations. La plupart des banques légitimes vous enverront une lettre et vous demanderont ensuite de vous présenter à l'agence pour mettre à jour vos informations.

Si vous avez absolument besoin de mettre à jour les informations par téléphone, ce que vous pouvez faire, c'est découvrir ce qu'ils veulent savoir, puis leur dire que vous les rappellerez. Rappelez-les ensuite en utilisant le numéro de téléphone que vous trouvez sur leur site Web et donnez-leur les informations dont ils ont besoin.

Aucune banque ne vous demandera jamais votre numéro de compte bancaire ou quelque chose comme ça. Cependant, s'ils disent quelque chose comme "Je veux m'assurer que c'est bien toi. Pourrais-tu me dire ta date de naissance?" Donnez-leur la mauvaise réponse et voyez ce qu'ils disent. S'ils continuent de demander des choses différentes, continuez à leur donner de mauvaises réponses. S'ils ne mentionnent jamais que c'est mal, vous savez qu'ils mentent. Avant de les croire, assurez-vous de leur donner une mauvaise réponse à quelque chose que seuls vous et la banque sauriez, et ils vous diront que c'est faux. Anniversaire, adresse, NAS/SSN, etc. peuvent tous être recherchés; il est beaucoup plus difficile de trouver la date de votre dernière transaction ou le nombre de transactions que vous avez effectuées au cours du dernier mois. NOTE : c'est un système imparfait. Quelqu'un pourrait encore avoir potentiellement volé ce genre d'informations, cependant, s'ils l'ont, ils savent probablement déjà tout sur vous dont ils ont besoin pour ...

tl; dr: Ne répondez pas aux questions des appels à froid, rappelez-les ou entrez les voir face à face.

6
Peter Maidens

Comme ci-dessus, les meilleures méthodes de vérification incluent les numéros de référence/informations de compte. Cependant, je pense qu'il serait hautement improbable dans la plupart des cas que votre banque sonne directement vous, peut-être uniquement en cas de fraude par carte. Dans ce cas, je mettais fin à l'appel et composais la banque à partir d'un autre numéro ou du moins je vérifiais que l'appel avait bien été interrompu.

Une arnaque courante au Royaume-Uni consiste à appeler une personne à l'aide d'un téléphone fixe et à l'informer d'appeler sa banque car son compte est compromis/fraude par carte. Lorsque la personne raccroche et compose sa banque, le fraudeur ne met jamais fin à l'appel et émet une fausse tonalité à la victime pour lui faire croire que son sortant appel est authentique. La victime est ensuite soumise à l'ingénierie sociale et donne sans le savoir les informations de son compte bancaire au fraudeur se faisant passer pour sa banque.

5
Rob

Lorsque je reçois un appel de ma banque (probablement) et qu'ils disent qu'il y a un problème et qu'ils doivent d'abord vérifier mon identité avant de poursuivre l'appel, je leur dis que je ne me sens pas à l'aise de fournir ces informations car je ne le fais pas connaître leur identité. Cela dit, ils comprennent et je dois appeler le numéro au dos de ma carte de crédit et raccrocher. Il n'y a pas de marchandage sur l'identité de l'une ou l'autre des parties, c'est simple et efficace.

4
Cano64

Idem beaucoup de ce que les autres ont dit.

J'ai été stupide dans le passé et j'ai donné des informations à des gens qui m'appelaient et prétendaient être de la banque ou d'un organisme de bienfaisance ou autre. Pas plus.

Ces jours-ci, si quelqu'un appelle en prétendant être d'un organisme de bienfaisance et demande de faire un don sur ma carte de crédit, je dis non, envoyez-moi quelque chose par la poste. Ensuite, je peux vérifier que toute adresse donnée est bien l'adresse de l'organisme de bienfaisance. Etc.

Si quelqu'un appelle en prétendant être de la banque ou d'une société de carte de crédit ou autre, je m'assure qu'il me donne des informations qu'un escroc est peu susceptible de connaître. S'ils ne le font pas, je dis que je les rappellerai, puis je recherche le numéro de téléphone sur le site Web de la banque. Les entreprises ne vous donneront normalement pas votre numéro de compte pour vérification, mais au minimum elles devraient vous donner le nom de l'entreprise, et pas seulement "la banque" ou "VISA". S'il y a un problème avec une transaction particulière, ils devraient tout savoir sur cette transaction, comme quand elle a été effectuée et le montant.

D'après mon expérience, la plupart des escrocs ne font pas beaucoup de travail pour rechercher votre vie. Ils appellent et disent "c'est la banque" parce qu'ils ne savent pas quelle banque vous fréquentez, etc.

La plupart des escrocs sont assez boiteux. Je reçois beaucoup d'e-mails frauduleux que je connais comme des escroqueries car ils sont remplis d'erreurs d'orthographe et de grammaire. Je pouvais croire que Microsoft enverrait un e-mail avec une erreur de grammaire. Mais Microsoft ne va pas m'envoyer d'e-mail avec 20 erreurs de grammaire. C'est une arnaque. Etc.

Je suis sûr que certains escrocs prennent le temps de faire des recherches sur vous. Il existe de nombreuses façons aujourd'hui de découvrir votre anniversaire. Ils pourraient voler votre courrier pour connaître le nom de votre banque et votre numéro de compte. Etc. Au meilleur de ma connaissance, je n'ai jamais rencontré un escroc qui a fait autant de travail. Je ne suis probablement pas assez riche pour mériter un effort spécial. Il est plus facile pour l'escroc de simplement composer un tas de numéros ou d'envoyer un e-mail en masse et d'essayer de duper les personnes les plus crédules. Ou des gens qui sont généralement intelligents mais qui ont juste un moment d'insouciance.

Mais mon point est que s'ils peuvent vous dire une ou deux choses à votre sujet, ils sont PROBABLEMENT légitimes. Je ne battrais pas la vérification à mort. Mais obtenez une vérification.

3
Jay

Je refuserais de donner des détails personnels à quiconque m'a appelé car vous ne pouvez pas vérifier qui ils sont.
S'ils ont besoin de vous parler, dites que vous pouvez rappeler. Vous pouvez ensuite appeler le numéro direct qui, s'il s'agit d'une grande banque, sera bien connu et sur son site Web. Vous pouvez alors demander un numéro de poste pour diriger votre appel une fois que vous savez que vous êtes en communication avec votre banque.

1
ChrisM