Vodafone používá nebezpečné praktiky. Nebo je to snad phishing po telefonu?

17. 4. 2009 8:55 (aktualizováno) | Martin Hassman

Včera mi telefonoval pán z Vodafone. Tedy aspoň se představil jako pán z Vodafone. Zda z Vodafone skutečně byl, to nevím, já viděl jen mně neznámé telefonní číslo.

Nabízel mi optimalizaci mých telefonních nákladů. Obvykle takové hovory odmítám, ale měl jsem zrovna pár minut, tak jsem mu chtěl dát šanci. Jakmile mi vysvětlil, co pro mě může udělat, požádal mě o mé heslo pro spojení s operátorem.

„Jaké heslo?“ podivil jsem se. A hned mi bylo vysvětleno, že se jedná o stejné heslo, které zadávám při přihlášení do internetové samoobsluhy. To jsem se zarazil. Odmítl jsem heslo nahlásit s tím, že své heslo přeci nebudu předávat neznámé osobě (navíc, nebyl jsem si jistý, zda dotyčný člověk byl skutečně pracovník Vodafone nebo nějaký podvodník).

Člověk na druhém konci mě ovšem ujistil, že mé heslo potřebuje, protože si musí ověřit, že jsem ta osoba, které volá. Nezbylo mi, než se s ním rozloučit, a hovor jsem ukončil.

Všichni, kdo máte aspoň malý přehled o bezpečnosti v elektronickém světě, tušíte, kde byl problém. Onen pán si mě chtěl autentizovat, ovšem udělal dvě chyby:

  • nijak neprokázal svou identitu (mohl to být jak zaměstnanec Vodafone, tak podvodník)
  • k prokázání mé identity chtěl mé heslo, které mám znát jen já a navíc se používá k přístupu na internetovou samoobsluhu (takový údaj nesmíte dát z ruky)

Jistě se vám vybaví slůvko phishing.

Zkušenosti odjinud

Možná si pamatujete na opakované aféry s phishingem České spořitelny, na které se řada lidí nechala nachytat a málem přišla o své peníze. Ty začínaly podobným trikem. Uživatelé byly e-mailem vyzváni ke sdělení hesla stránce, která se tvářila jako stránka České spořitelny. (V našem případě jsou uživatelé telefonem vyzýváni ke sdělení hesla osobě, která možná je, ale možná se jen tváří jako zaměstnanec Vodafone. Scénář pro phishing jak jej známe, jen po telefonu.)

Česká spořitelna proto celkem rozumně ve svých pravidlech zákazníkům píše:

Nikdy nesdělujte Vaše klientské číslo a heslo při ústní a telefonické komunikaci a neuvádějte jej v písemné komunikaci (dopis; e-mail). Heslo je jen Vaše a v zájmu bezpečnosti jej nesmí znát nikdo jiný: ani kolegové v práci či rodinní příslušníci. Heslo nesdělujte ani operátorovi podpory služby SERVIS 24 Internetbanking.

Pokud by se všichni uživatelé chovali, jak ČS doporučuje, hned by ubylo bezpečnostních incidentů.

Špatný Vodafone nebo oběť podvodníka?

Přiznávám, že teď nevím, na čem jsem. Byl ten člověk, co mi telefonoval, opravdu z Vodafone, jak tvrdil? (Zkusím to zjistit u tiskového mluvčího, třeba odpoví.)

Buď je totiž Vodafone tak špatný, že zmíněná bezpečnostní pravidla nedodržuje (čímž ať již vědomě nebo nevědomě učí uživatele špatným – pro ně samotné velmi rizikovým – návykům) nebo tu máme novinku: Vodafone phishing, tedy podvodníka, který volá zákazníkům Vodafone, zjišťuje jejich hesla a pak je (nejspíš) zneužívá ve svůj prospěch.

Navíc v případě, že by žádný podvodník neexistoval a jednalo se čistě o problém Vodafone, bylo by jen otázkou, kdy by se takový podvodník objevil, protože chování Vodafone by k tomu přímo nahrávalo. (Pokud by se kdokoliv znenadání rozhodl volat zákazníkům Vodafonu a vyžadovat od nich jejich hesla, myslíte, že by neuspěl, pokud by Vodafone takovému chování sám své klienty učil?)

Pokud zjistím víc, dám vědět.

  • 9. 12. 2008 11:58

    Borek (neregistrovaný)

    Zaměstnanec Vodafonu by měl chít tak maximálně první a poslední číslo toho hesla (nebo něco na ten způsob). Chtít celé heslo opravdu zavání phishingem.

  • 9. 12. 2008 12:00

    Jiří Tvrdek (neregistrovaný)

    Z mého pohledu jde jednoznačně o podvodníka. Nechápu tedy přesně smysl aktivity, ale určitě by s tím něco vymyslili.

  • 9. 12. 2008 12:07

    Hellish (neregistrovaný)

    Když jsem sám volal do Vodafone operátorovi, tak po mě taky chtěl heslo. Ale protože jsem volal já jemu, tak jsem vcelku důvěřoval tomu, že je to skutečně člověk od Vodafone. I když je pravda, že ani v tomto případě to není úplně správný postup. Na druhou stranu se dá přes operátora změnit vše, co se dá v internetové samoobsluze, takže ověření je nutné. Jak to teda vyřešit líp?

  • 9. 12. 2008 12:13

    Martin Hruška (neregistrovaný)

    Byl jsi někdy na prodejně něco zařídi?

    Taky po tobě chtějí heslo. Ne ho někam naťukat, ale pěkně, před lidma, sdělit prodavačce.

    Takže ten člověk mohl být klidně pravý, Vodafone o bezpečnosti neví nic a podstata každého hesla "znám ho jen já a sděluju ho jen strojům" zde neplatí.

  • 9. 12. 2008 12:14

    JakubS (neregistrovaný)

    Mám podobnou zkoušenost. Volající svou totožnost prokázal pouze tím, že mi poděkoval za bezchybnou platební historii.

  • 9. 12. 2008 12:15

    Plaváček (neregistrovaný)

    Totéž v bleděmodrém mě potkalo včera, jenom volala jakási slečna s příjemným hláskem a z telefonního čísla 603 603 603 (což je tuším T-mobile)

    Hezky jsme si pokecali, nechal jsem jí, aby mi vylíčila všechny možné výhody a úspory, ale když jsem jí na závěr ujistil, že měsíčně provolám zhruba kolem osmi korun, ozvalo se podivné ticho a slečna se odměřeně rozloučila.

  • 9. 12. 2008 12:20

    SUNíčko (neregistrovaný)

    Řekl bych, že byl z Vodafonu, bohužel. Má dva měsíce stará zkušenost, kdy jsem si měnil u Vodafone tarif. Přišel jsem do prodejny Vodafone a slečna po mě kvůli této změně také chtěla mé heslo do samoobsluhy. Tohle by si měl Vodafone určitě pořešit, souhlasím, že to není ani trochu bezpečné a důvěryhodné.

  • 9. 12. 2008 12:53

    carnero (neregistrovaný)

    Mě vždy z Vodafone volali z jednoho, mě známého (a vygooglitelného) čísla. Navíc se představili. A heslo chtějí celé při nutnosti změnit nějaké nastavení. Někomu, kdo volá z neznámého čísla bych ho rozhodně nedával.

  • 9. 12. 2008 14:05

    bob0 (neregistrovaný)

    Stejna zkusenost. Menil jsem u vodafone zpusob platby na inkaso, pres net to neslo, tak jsem jim poslal mailem nascanovany formular. Druhy den volala pani a chtela po me heslo (na to cislo pro ktery mela byt zmena) ... ja ji rikal ze je prece nesmysl chtit po me heslo ale nakonec me ukecala.

  • 9. 12. 2008 15:26

    Michal Pelikán (neregistrovaný)

    Carnero, ty si opravdu pamatuješ číslo nějakého operátora? Já si tedy pamatuji čísla na jejich infolinky, ale neznám žádné, z kterého by volal (nebo by měl) volat operátor mě.

  • 9. 12. 2008 15:31

    8an (neregistrovaný)

    Zkuste to číslo ze kterého volal (pokud tedy nebylo skryté) zadat do Googlu, možná se najdou další podobné zápisky o podvodnících nebo naopak oficiální stránky Vodafone.

  • 9. 12. 2008 15:35

    v6ak (neregistrovaný)

    Taky mám podobné zkušenosti. Já jsem v případě příchozího hovoru si ale mohl jinak ověřit, že to je z Vodafonu.
    Proč ale na SIM karty neukládají čísla jako +420800777708 a podobně? To by bylo jednoduché a uživatelovzdorné řešení. Jen by se bylo možná potřeba vypořádat s "čísly", která se skládají z písmen.

  • 9. 12. 2008 17:15

    Ses (neregistrovaný)

    To, že Vodafone chce heslo po telefonu mám několikrát ověřeno (ale vždycky jsem volal já jim). Ale to, že by Vodafone někomu volal je dost divný. Pokud vím, tak Vodafone nikdy z těchto důvodů nevolá...

  • 9. 12. 2008 18:11

    cgrim (neregistrovaný)

    Kdyby to byl clovek od Vodafonu, tak by chtel pro overeni znat treba pet nejpouzivanejsich telefonnich cisel. K takovym udajum ma snad pristup jen Vodafone (pokud nepocitam nejaky spionazni subjekty) a lze tim uzivatele jdnoznacne identifikovat. Navic, proc by chtel nekdo od Vodafonu optimalizovat zakaznikovy naklady na volani?

  • 9. 12. 2008 18:49

    corwin78 (neregistrovaný)

    Mě volali dnes. Vyfuckoval jsem je hned v úvodu, takže k heslu jsme se ani nedostali.

  • 9. 12. 2008 19:01

    hun (neregistrovaný)

    Jednou mi volali z tmobile a ta slecna mi nabidla opravdu lepsi tarif nez jsem mel a tak jsem na to kyvnul. Za par dnu mi kuryrni sluzba privezla smlouvu k podpisu a ja zjistil, ze vsechno podstatne mi do telefonu zamlceli(tzn. to proc bzch si to neobjednal). Samozrejme jsem nepodepsal, ale verim ze "slabsim povaham" by bylo blbe odmitnout kuryra, ktery se plahocil takovou dalku. Od te doby podobne telefony pokladam rovnou, protoze je jasne, ze mi to nejdulezitejsi nereknou.

  • 9. 12. 2008 22:09

    maertien (neregistrovaný)

    Nevim jak jinde, ale v ceskobudejovickem vodafone po me chteji heslo celkem bezne a niceho s nimi nedocilite, pokud jim to nereknete. Samozrejme se jedna o osobni styk na prodejne a o to je to horsi.

  • 10. 12. 2008 2:17

    vanthomas (neregistrovaný)

    Rozdíl je snad alespoň v tom, že u TMO jde o heslo k tomu určené (heslo pro komunikaci s operátorem) Pro elektronickou komunikaci se používá jiné... Optimální to není, ale lepší než nic...

  • 10. 12. 2008 7:57

    blabla (neregistrovaný)

    O2 chce taky celé heslo, když chcete nastavit něco na své telefonním čísle. Nechce ho vždycky, ale poměrně dost často. Ale je to vždycky tak, že vy voláte na infolinku.

  • 10. 12. 2008 8:16

    JVratny (neregistrovaný)

    Podobne "to na me zkousel" jednou "zamestnanec e-banky". Nejdriv ze me pacil rodne cislo (neco jako prihlasovaci jmeno do uctu - nedostalo ho),a pak mi navrhoval, abych mu sdelil kod, ktery mi prijde na mobil potom, co on to rc "nekam" zada. Ten kod bezne chodi pri prihlaseni, a funguje pak jako "heslo" do uctu. Zkratka pokud by to rodne cislo znal, a ja mu rekl kod, ktery by mi prisel, dostal by se mi na ucet. No, poslal jsem ho do haje.

  • 10. 12. 2008 9:21

    kvr (neregistrovaný)

    JVratny: To sice jo, ale v té zprávě vidíš, jaká akce ten kód poslala - v tomto případě vyžádáno bankovním operátorem.
    To nemění nic na tom, že poslání do háje bývá zpravidla nejlepším řešením, neboť v 90% případů nabízí nepotřebný produkt ;)

  • 10. 12. 2008 10:38

    mrts (neregistrovaný)

    Vcera mi take volali. (Z cisla ktere vypada jako to, ktere Vodafone pouziva pro operatorky, techniky apod..) Kdyz jsem jim heslo nechtel dat, tak jsme se rozloucili. Zenska se divila ze ji neverim, ze mi da cislo k ni do kancelare at tam zavolam zpatky atd... Divny. Nicmene jsem zadal dotaz (proc chteji heslo apod..) na http://www.vodafone.cz/osobni/napoveda/ptejte__se/, uvidime jestli odpovi.

  • 10. 12. 2008 10:45

    Zviratko (neregistrovaný)

    Vodafone? Jde o prd, o telefon. Ale me takhle volali z eBanky!!! Chteli po me klientsky cislo - no co, je to moje telefonni cislo tak jsem jim ho klidne rek. Pak mi pipnul telefon a slecna ze ji mam nadiktovat autentizacni kod co mi prisel.

    Snazil jsem se ji vysvetlit ze takhle to opravdu nefunguje a jak mam vedet ze je z ebanky, nebyla mi schopna na to odpovedet... Na muj navrh, ze mi rekne svoje klientsky cislo a ja ji taky poslu autentizacni zpravu se mod nadsene netvarila, tak jsme se rozloucili...

  • 10. 12. 2008 11:11

    JVratny (neregistrovaný)

    kvr: tehda to bylo jeste nerozlisitelne, chodilo tam i v takovem pripade "z internetu".
    Zviratko: zjevne podobny pripad..

  • 10. 12. 2008 13:43

    Radek (neregistrovaný)

    Tak me se pred casem stalo neco podobneho, akorat se nejednalo o operatora tel. spolecnosti, ale o udajnu operatorku z eBanky. Pry ma pro mne nejakou informaci a kdyz jsem se ji zeptal jakou, tak po me chtela, abych ji nadiktoval svoje prihlasovaci udaje k elektronickemu bankovnictvi, jinak mi pry vubec nemuze sdelit, o co se jedna :-) ...

  • 10. 12. 2008 14:53

    Johnnie (neregistrovaný)

    Tohle je u Vodafonu realita: když se po velkém boji proklikáte k živému operátorovi, naťukáte své telefonní číslo, tak po vás chce heslo do samoobsluhy: CELÉ!... u Vodafonu to takhle prostě funguje, je to amatérismus, ale jinak to asi neumí...

  • 11. 12. 2008 7:45

    fellow (neregistrovaný)

    >26. Pokud volám já na Vodafone, tak se přece nemusím bát celé heslo říct, stejně ho ten operátor vidí celé na monitoru. Trošku blbé to je, když potřebuju něco zařídit a nemůžu být v daný okamžik sám. A všichni kolem mně slyší heslo. Navíc znají moje číslo, takže tajná akce v Samoobsluze se jim přímo nabízí.

  • 11. 12. 2008 12:31

    taylor (neregistrovaný)

    Mám stejnou zkušenost: volá kdosi údajně z Vodafone a nabízí mi kdovíco, žádá mě však o sdělení hesla. Když dotyčného upozorňuji, že přeci nebudu své heslo jen tak prozrazovat do telefonu, evidentně podrážděně reaguje ve stylu: "a co bych s ním tak mohl udělat? leda vám vypnout roaming". S tím jsme se pochopitelně rozloučili, ale osobně považuju přístup firmy (jedná-li se skutečně o jejich zaměstnance) za neuvěřitelný...

  • 11. 12. 2008 12:35

    kajencik (neregistrovaný)

    Jojo, to heslo v prodejně mě taky trochu překvapuje, zejména když, podle mě už docela dlouho, mají na každém stanovišti prodavače směrem k zákazníkovi monitor s klávesnicí, kam by se heslo dalo bez problémů zadat.

  • 11. 12. 2008 15:15

    bas (neregistrovaný)

    Také jsem měl podobný telefonát(z neznámého čísla), ale potom co jsme slečně na druhem konci "drátu" popsal podle mě optimální služby, tak se se mnou rozloučila :)

  • 11. 12. 2008 16:27

    HKou (neregistrovaný)

    Je to téměř učebnicový příklad. Doporučuju kapitolu 9, strana 135 knihy Kevina Mitnicka:
    http://books.google.com/books?id=JUTZMvZcQgUC&printsec=frontcover&dq=mitnick#PRA1-PA34,M1

  • 11. 12. 2008 17:39

    trsek (neregistrovaný)

    Mal si povedat neake vymyslene cislo a potom sa bavit nad tym ze to nejde.
    Skusat niekolko krat a vzdy si spomenut na ine.
    Po dlhsom case zacat uvazovat preco to nejde.
    A nakoniec dojst k poznaniu ze "asi mi niekto ukradol identiktu lebo vcera som mal rovnaky telefonat ;o)"

    PS: Odskusane, drzal som tu holku na telefone 15 minut a kolegovia sa uz nevladali smiat.

  • 11. 12. 2008 17:42

    Rado1 (neregistrovaný)

    [20]
    K eBanke.
    Toto je predsa standardny sposob overenia. Kto iny ako zamestnanec eBanky ti moze poslat overovaci kod na tvoje telefonne cislo? Sluzi to na overenie, ze im vola naozaj spravny clovek.
    Keby ta chcel niekto osrat, dostane sa len k tvojim vypisom z uctu. Akakolvek operacia vyzaduje dalsie overenie a to uz zamestnanec eBanky nepotrebuje, ma plne prava...

  • 11. 12. 2008 17:45

    mrts (neregistrovaný)

    Toto mi odpovědeli z "Oddělení péče o zákazníky online":


    V případě, že některý z pracovníků Vodafonu kontaktuje zákazníka s nabídkou na aktivaci služeb, optimalizaci tarifu apodobně, vždy požaduje po zákazníkovi heslo. Je to proto, aby nedošlo například k nevyžádané aktivaci, nebo aby nabídka nebyla učiněna neoprávněné osobě.

    Čísla, která se zákazníkům zobrazí v případě kontaktu pracovníkem Vodafonu, jsou následující: 800 777 708, 776 970 000, 776 970 0xx nebo 776 977 xxx.


    První odstavec se dal čekat, druhý je reakce na mojí otázku jak mám poznat (např. podle tlf. čísla) zda je pracovník opravdu z Vodafone. To nic nemění na tom, že diktovat volajícímu heslo prostě nebudu.

  • 12. 12. 2008 9:18

    vim (neregistrovaný)

    Z této diskuse jednoznačně vyplývá, že jsou zde otevřené dveře
    pro praktikování sociálního inženýringu. Měli byste upozornit
    své blízké, kteří si většinou nebezpečí neuvědumují nebo si je
    nepřipouštějí, aby si na podobné situace dávali pozor.
    Odkaz na Mitnicka přesně definuje, o co tu běží.

  • 13. 12. 2008 22:24

    Tommy (neregistrovaný)

    [33] To je hovadina na n-tou. To nemůže fungovat, protože on ten kód pošle na handset který ale ty držíš v ruce - tudíž se tím neověří vůbec nic, protože ten kód přijde i zloději. U e-banky to mají řešené přes další informaci - tzv. i-pin a t-pin které jsou tajné, a slouží právě k tomu aby k přístupu na účet nestačilo ukrást handset a znát identifikátor zákazníka (rodné číslo, tj. ze své podstaty relativně jednoduše zjistitelná věc).

    Chápu že když voláte na zákaznickou linku a chcete změnit nějakou službu tak to heslo tomu operátorovi říct můžete - on ho skutečně vidí na obrazovce, takže je to vážně jenom ověření totožnosti.

    Každopádně člověk který někomu volajícímu z neznámého čísla sděluje jakékoliv heslo, je v podstatě blázen. A pokud ještě diktuje ověřovací kódy pro přístup do e-bankinku tak je retardovaný úplně. Pokud vám takhle někdo neznámý zavolá a bude chtít heslo / kód tak nejjednodušší co v takové situaci můžete udělat je hovor ukončit a zavolat "zpět" na oficiální linku.

    Nevím k čemu se to heslo u VF dá použít, ale například u T-Mobile je možné dobíjet kredit z paušálu ...

    Něco podobného bylo pár let zpět ohledně pevných linek - přišel pán, prohlásil "jsem z Telecomu, ukažte mi účet" a začal mlet cosi o výhodnosti jiného tarifu. Když jsem chtěl vidět průkaz zaměstnance, začal cosi blekotat a ukázalo se že je z Tele2 - málem jsem ho shodil ze schodů, blbečka.

  • 14. 12. 2008 2:29

    Michael Le (neregistrovaný)

    Dle mého názoru, řešením by bylo zavést speciální heslo pro komunitaci s danou společností, které by nebylo použitelné pro žádné uživatelsky přístupné rozhraní. Resp. zavést ještě párový klíč, kterým by se identifikovala volající osoba :)

  • 18. 12. 2008 10:45

    Matěj Černý (neregistrovaný)

    Jak už tady někdo zmiňoval, stačilo by, kdyby se zeptali na např. první a poslední znak... Takhle to řeší KB. Problém je v tom, že do KB má heslo okolo deseti znaků a do VF samoobsluhy tuším jen čtyři...

  • 21. 12. 2008 14:02

    Láďa (neregistrovaný)

    eBanka kdysi dělala to samé a slečna se hrozně divila, že jí nechci říct autentizační kód říci. Její argumentace "ale my přece jediní známě Vaše klientské číslo" mi v situaci kdy klientským číslem je RČ přišla dost komická. Od určité chvíle ale posílali tyhle zprávy jinak označené, aby bylo poznat, že jsou od operátora a ne z internetu.

Přidávat nové názory je zakázáno.

Měšec.cz: Platíme NFC mobilem. Konečně to funguje!

Platíme NFC mobilem. Konečně to funguje!

Vitalia.cz: Za její cukrovkou stojí rodiče

Za její cukrovkou stojí rodiče

Měšec.cz: Kurzy platebních karet: vyplatí se platit? (TEST)

Kurzy platebních karet: vyplatí se platit? (TEST)

Vitalia.cz: Očkování je nutné, říká homeopatka

Očkování je nutné, říká homeopatka

Měšec.cz: Ceny PHM v Evropě. Finty na úspory

Ceny PHM v Evropě. Finty na úspory

Vitalia.cz: Musí moudrák opravdu ven?

Musí moudrák opravdu ven?

Lupa.cz: Samořídicí taxíky jsou tu. Začíná s nimi Uber

Samořídicí taxíky jsou tu. Začíná s nimi Uber

Lupa.cz: Hackujete? Můžete mít problém sehnat práci

Hackujete? Můžete mít problém sehnat práci

Vitalia.cz: Vakcína Cervarix je oficiálně i pro chlapce

Vakcína Cervarix je oficiálně i pro chlapce

Lupa.cz: Měřičům síly hesla se nedá věřit. Víte proč?

Měřičům síly hesla se nedá věřit. Víte proč?

Měšec.cz: Udali ho na nelegální software a přišla Policie

Udali ho na nelegální software a přišla Policie

Lupa.cz: Kdo vykrádá LinkedIn? Zjistit to má soud

Kdo vykrádá LinkedIn? Zjistit to má soud

Podnikatel.cz: Pozor na vykuky, imitují služby České pošty

Pozor na vykuky, imitují služby České pošty

Podnikatel.cz: Kauza z Vinohrad pokračuje. Policie se omlouvá

Kauza z Vinohrad pokračuje. Policie se omlouvá

Vitalia.cz: Ženy, které milují příliš, jsou neštěstí

Ženy, které milují příliš, jsou neštěstí

DigiZone.cz: AXN u FreeSatu měsíc zdarma

AXN u FreeSatu měsíc zdarma

Podnikatel.cz: Česká pošta vycouvala ze služby ČP Cloud

Česká pošta vycouvala ze služby ČP Cloud

Lupa.cz: Co najdete uvnitř kosmické sondy?

Co najdete uvnitř kosmické sondy?

DigiZone.cz: Jetelín končí. Prima ho vyřadila

Jetelín končí. Prima ho vyřadila

120na80.cz: Lepší poporodní sexuální život? Žádný problém

Lepší poporodní sexuální život? Žádný problém