Včera mi telefonoval pán z Vodafone. Tedy aspoň se představil jako pán z Vodafone. Zda z Vodafone skutečně byl, to nevím, já viděl jen mně neznámé telefonní číslo.
Nabízel mi optimalizaci mých telefonních nákladů. Obvykle takové hovory odmítám, ale měl jsem zrovna pár minut, tak jsem mu chtěl dát šanci. Jakmile mi vysvětlil, co pro mě může udělat, požádal mě o mé heslo pro spojení s operátorem.
„Jaké heslo?“ podivil jsem se. A hned mi bylo vysvětleno, že se jedná o stejné heslo, které zadávám při přihlášení do internetové samoobsluhy. To jsem se zarazil. Odmítl jsem heslo nahlásit s tím, že své heslo přeci nebudu předávat neznámé osobě (navíc, nebyl jsem si jistý, zda dotyčný člověk byl skutečně pracovník Vodafone nebo nějaký podvodník).
Člověk na druhém konci mě ovšem ujistil, že mé heslo potřebuje, protože si musí ověřit, že jsem ta osoba, které volá. Nezbylo mi, než se s ním rozloučit, a hovor jsem ukončil.
Všichni, kdo máte aspoň malý přehled o bezpečnosti v elektronickém světě, tušíte, kde byl problém. Onen pán si mě chtěl autentizovat, ovšem udělal dvě chyby:
Jistě se vám vybaví slůvko phishing.
Možná si pamatujete na opakované aféry s phishingem České spořitelny, na které se řada lidí nechala nachytat a málem přišla o své peníze. Ty začínaly podobným trikem. Uživatelé byly e-mailem vyzváni ke sdělení hesla stránce, která se tvářila jako stránka České spořitelny. (V našem případě jsou uživatelé telefonem vyzýváni ke sdělení hesla osobě, která možná je, ale možná se jen tváří jako zaměstnanec Vodafone. Scénář pro phishing jak jej známe, jen po telefonu.)
Česká spořitelna proto celkem rozumně ve svých pravidlech zákazníkům píše:
Nikdy nesdělujte Vaše klientské číslo a heslo při ústní a telefonické komunikaci a neuvádějte jej v písemné komunikaci (dopis; e-mail). Heslo je jen Vaše a v zájmu bezpečnosti jej nesmí znát nikdo jiný: ani kolegové v práci či rodinní příslušníci. Heslo nesdělujte ani operátorovi podpory služby SERVIS 24 Internetbanking.
Pokud by se všichni uživatelé chovali, jak ČS doporučuje, hned by ubylo bezpečnostních incidentů.
Přiznávám, že teď nevím, na čem jsem. Byl ten člověk, co mi telefonoval, opravdu z Vodafone, jak tvrdil? (Zkusím to zjistit u tiskového mluvčího, třeba odpoví.)
Buď je totiž Vodafone tak špatný, že zmíněná bezpečnostní pravidla nedodržuje (čímž ať již vědomě nebo nevědomě učí uživatele špatným – pro ně samotné velmi rizikovým – návykům) nebo tu máme novinku: Vodafone phishing, tedy podvodníka, který volá zákazníkům Vodafone, zjišťuje jejich hesla a pak je (nejspíš) zneužívá ve svůj prospěch.
Navíc v případě, že by žádný podvodník neexistoval a jednalo se čistě o problém Vodafone, bylo by jen otázkou, kdy by se takový podvodník objevil, protože chování Vodafone by k tomu přímo nahrávalo. (Pokud by se kdokoliv znenadání rozhodl volat zákazníkům Vodafonu a vyžadovat od nich jejich hesla, myslíte, že by neuspěl, pokud by Vodafone takovému chování sám své klienty učil?)
Pokud zjistím víc, dám vědět.
Když jsem sám volal do Vodafone operátorovi, tak po mě taky chtěl heslo. Ale protože jsem volal já jemu, tak jsem vcelku důvěřoval tomu, že je to skutečně člověk od Vodafone. I když je pravda, že ani v tomto případě to není úplně správný postup. Na druhou stranu se dá přes operátora změnit vše, co se dá v internetové samoobsluze, takže ověření je nutné. Jak to teda vyřešit líp?
Byl jsi někdy na prodejně něco zařídi?
Taky po tobě chtějí heslo. Ne ho někam naťukat, ale pěkně, před lidma, sdělit prodavačce.
Takže ten člověk mohl být klidně pravý, Vodafone o bezpečnosti neví nic a podstata každého hesla "znám ho jen já a sděluju ho jen strojům" zde neplatí.
Totéž v bleděmodrém mě potkalo včera, jenom volala jakási slečna s příjemným hláskem a z telefonního čísla 603 603 603 (což je tuším T-mobile)
Hezky jsme si pokecali, nechal jsem jí, aby mi vylíčila všechny možné výhody a úspory, ale když jsem jí na závěr ujistil, že měsíčně provolám zhruba kolem osmi korun, ozvalo se podivné ticho a slečna se odměřeně rozloučila.
Řekl bych, že byl z Vodafonu, bohužel. Má dva měsíce stará zkušenost, kdy jsem si měnil u Vodafone tarif. Přišel jsem do prodejny Vodafone a slečna po mě kvůli této změně také chtěla mé heslo do samoobsluhy. Tohle by si měl Vodafone určitě pořešit, souhlasím, že to není ani trochu bezpečné a důvěryhodné.
Stejna zkusenost. Menil jsem u vodafone zpusob platby na inkaso, pres net to neslo, tak jsem jim poslal mailem nascanovany formular. Druhy den volala pani a chtela po me heslo (na to cislo pro ktery mela byt zmena) ... ja ji rikal ze je prece nesmysl chtit po me heslo ale nakonec me ukecala.
Taky mám podobné zkušenosti. Já jsem v případě příchozího hovoru si ale mohl jinak ověřit, že to je z Vodafonu.
Proč ale na SIM karty neukládají čísla jako +420800777708 a podobně? To by bylo jednoduché a uživatelovzdorné řešení. Jen by se bylo možná potřeba vypořádat s "čísly", která se skládají z písmen.
Kdyby to byl clovek od Vodafonu, tak by chtel pro overeni znat treba pet nejpouzivanejsich telefonnich cisel. K takovym udajum ma snad pristup jen Vodafone (pokud nepocitam nejaky spionazni subjekty) a lze tim uzivatele jdnoznacne identifikovat. Navic, proc by chtel nekdo od Vodafonu optimalizovat zakaznikovy naklady na volani?
Jednou mi volali z tmobile a ta slecna mi nabidla opravdu lepsi tarif nez jsem mel a tak jsem na to kyvnul. Za par dnu mi kuryrni sluzba privezla smlouvu k podpisu a ja zjistil, ze vsechno podstatne mi do telefonu zamlceli(tzn. to proc bzch si to neobjednal). Samozrejme jsem nepodepsal, ale verim ze "slabsim povaham" by bylo blbe odmitnout kuryra, ktery se plahocil takovou dalku. Od te doby podobne telefony pokladam rovnou, protoze je jasne, ze mi to nejdulezitejsi nereknou.
Podobne "to na me zkousel" jednou "zamestnanec e-banky". Nejdriv ze me pacil rodne cislo (neco jako prihlasovaci jmeno do uctu - nedostalo ho),a pak mi navrhoval, abych mu sdelil kod, ktery mi prijde na mobil potom, co on to rc "nekam" zada. Ten kod bezne chodi pri prihlaseni, a funguje pak jako "heslo" do uctu. Zkratka pokud by to rodne cislo znal, a ja mu rekl kod, ktery by mi prisel, dostal by se mi na ucet. No, poslal jsem ho do haje.
Vcera mi take volali. (Z cisla ktere vypada jako to, ktere Vodafone pouziva pro operatorky, techniky apod..) Kdyz jsem jim heslo nechtel dat, tak jsme se rozloucili. Zenska se divila ze ji neverim, ze mi da cislo k ni do kancelare at tam zavolam zpatky atd... Divny. Nicmene jsem zadal dotaz (proc chteji heslo apod..) na http://www.vodafone.cz/osobni/napoveda/ptejte__se/, uvidime jestli odpovi.
Vodafone? Jde o prd, o telefon. Ale me takhle volali z eBanky!!! Chteli po me klientsky cislo - no co, je to moje telefonni cislo tak jsem jim ho klidne rek. Pak mi pipnul telefon a slecna ze ji mam nadiktovat autentizacni kod co mi prisel.
Snazil jsem se ji vysvetlit ze takhle to opravdu nefunguje a jak mam vedet ze je z ebanky, nebyla mi schopna na to odpovedet... Na muj navrh, ze mi rekne svoje klientsky cislo a ja ji taky poslu autentizacni zpravu se mod nadsene netvarila, tak jsme se rozloucili...
Tak me se pred casem stalo neco podobneho, akorat se nejednalo o operatora tel. spolecnosti, ale o udajnu operatorku z eBanky. Pry ma pro mne nejakou informaci a kdyz jsem se ji zeptal jakou, tak po me chtela, abych ji nadiktoval svoje prihlasovaci udaje k elektronickemu bankovnictvi, jinak mi pry vubec nemuze sdelit, o co se jedna :-) ...
>26. Pokud volám já na Vodafone, tak se přece nemusím bát celé heslo říct, stejně ho ten operátor vidí celé na monitoru. Trošku blbé to je, když potřebuju něco zařídit a nemůžu být v daný okamžik sám. A všichni kolem mně slyší heslo. Navíc znají moje číslo, takže tajná akce v Samoobsluze se jim přímo nabízí.
Mám stejnou zkušenost: volá kdosi údajně z Vodafone a nabízí mi kdovíco, žádá mě však o sdělení hesla. Když dotyčného upozorňuji, že přeci nebudu své heslo jen tak prozrazovat do telefonu, evidentně podrážděně reaguje ve stylu: "a co bych s ním tak mohl udělat? leda vám vypnout roaming". S tím jsme se pochopitelně rozloučili, ale osobně považuju přístup firmy (jedná-li se skutečně o jejich zaměstnance) za neuvěřitelný...
Je to téměř učebnicový příklad. Doporučuju kapitolu 9, strana 135 knihy Kevina Mitnicka:
http://books.google.com/books?id=JUTZMvZcQgUC&printsec=frontcover&dq=mitnick#PRA1-PA34,M1
Mal si povedat neake vymyslene cislo a potom sa bavit nad tym ze to nejde.
Skusat niekolko krat a vzdy si spomenut na ine.
Po dlhsom case zacat uvazovat preco to nejde.
A nakoniec dojst k poznaniu ze "asi mi niekto ukradol identiktu lebo vcera som mal rovnaky telefonat ;o)"
PS: Odskusane, drzal som tu holku na telefone 15 minut a kolegovia sa uz nevladali smiat.
[20]
K eBanke.
Toto je predsa standardny sposob overenia. Kto iny ako zamestnanec eBanky ti moze poslat overovaci kod na tvoje telefonne cislo? Sluzi to na overenie, ze im vola naozaj spravny clovek.
Keby ta chcel niekto osrat, dostane sa len k tvojim vypisom z uctu. Akakolvek operacia vyzaduje dalsie overenie a to uz zamestnanec eBanky nepotrebuje, ma plne prava...
Toto mi odpovědeli z "Oddělení péče o zákazníky online":
V případě, že některý z pracovníků Vodafonu kontaktuje zákazníka s nabídkou na aktivaci služeb, optimalizaci tarifu apodobně, vždy požaduje po zákazníkovi heslo. Je to proto, aby nedošlo například k nevyžádané aktivaci, nebo aby nabídka nebyla učiněna neoprávněné osobě.
Čísla, která se zákazníkům zobrazí v případě kontaktu pracovníkem Vodafonu, jsou následující: 800 777 708, 776 970 000, 776 970 0xx nebo 776 977 xxx.
První odstavec se dal čekat, druhý je reakce na mojí otázku jak mám poznat (např. podle tlf. čísla) zda je pracovník opravdu z Vodafone. To nic nemění na tom, že diktovat volajícímu heslo prostě nebudu.
Z této diskuse jednoznačně vyplývá, že jsou zde otevřené dveře
pro praktikování sociálního inženýringu. Měli byste upozornit
své blízké, kteří si většinou nebezpečí neuvědumují nebo si je
nepřipouštějí, aby si na podobné situace dávali pozor.
Odkaz na Mitnicka přesně definuje, o co tu běží.
[33] To je hovadina na n-tou. To nemůže fungovat, protože on ten kód pošle na handset který ale ty držíš v ruce - tudíž se tím neověří vůbec nic, protože ten kód přijde i zloději. U e-banky to mají řešené přes další informaci - tzv. i-pin a t-pin které jsou tajné, a slouží právě k tomu aby k přístupu na účet nestačilo ukrást handset a znát identifikátor zákazníka (rodné číslo, tj. ze své podstaty relativně jednoduše zjistitelná věc).
Chápu že když voláte na zákaznickou linku a chcete změnit nějakou službu tak to heslo tomu operátorovi říct můžete - on ho skutečně vidí na obrazovce, takže je to vážně jenom ověření totožnosti.
Každopádně člověk který někomu volajícímu z neznámého čísla sděluje jakékoliv heslo, je v podstatě blázen. A pokud ještě diktuje ověřovací kódy pro přístup do e-bankinku tak je retardovaný úplně. Pokud vám takhle někdo neznámý zavolá a bude chtít heslo / kód tak nejjednodušší co v takové situaci můžete udělat je hovor ukončit a zavolat "zpět" na oficiální linku.
Nevím k čemu se to heslo u VF dá použít, ale například u T-Mobile je možné dobíjet kredit z paušálu ...
Něco podobného bylo pár let zpět ohledně pevných linek - přišel pán, prohlásil "jsem z Telecomu, ukažte mi účet" a začal mlet cosi o výhodnosti jiného tarifu. Když jsem chtěl vidět průkaz zaměstnance, začal cosi blekotat a ukázalo se že je z Tele2 - málem jsem ho shodil ze schodů, blbečka.
eBanka kdysi dělala to samé a slečna se hrozně divila, že jí nechci říct autentizační kód říci. Její argumentace "ale my přece jediní známě Vaše klientské číslo" mi v situaci kdy klientským číslem je RČ přišla dost komická. Od určité chvíle ale posílali tyhle zprávy jinak označené, aby bylo poznat, že jsou od operátora a ne z internetu.
Martin Hassman ex-biochemik, umělecký programátor a publicista. Spoluzakladatel CZilly, zakladatel Zdrojáku, správce HTML5.cz, organizátor hackathonů, čekovacích muzejních nocí aj. akcí.
Přečteno 24 164×
Přečteno 23 663×
Přečteno 20 534×
Přečteno 19 691×
Přečteno 19 634×