La banque veut ma banque en ligne PIN par téléphone

Cela devient assez courant aux États-Unis. De nombreuses banques et autres institutions financières exigent que l'appelant fournisse un numéro d'identification qui a été préalablement configuré pour vérifier qu'il parle bien à un utilisateur autorisé du compte.

Ils avaient l'habitude de demander des informations personnelles - numéro de sécurité sociale, vieilles adresses, questions de sécurité, etc. Celles-ci ont commencé à tomber en disgrâce.

Le "PIN téléphonique" ou PIN utilisateur n'est pas le même PIN que votre carte de débit ou de crédit ni le mot de passe du compte en ligne. Il peut également être utilisé comme méthode de vérification secondaire lors de la connexion en ligne ou lorsque récupérer ou réinitialiser le mot de passe en ligne.

Donc, non, ce n'est pas nécessairement un signe de phishing et il est bon que vous l'ayez trouvé suspect et que vous ayez mis fin à la conversation au lieu de donner aveuglément votre code PIN à quelqu'un.

Comme il y a eu une certaine confusion ici, je voulais ajouter une autre réponse (et j'espère la dernière) pour consolider toutes les informations qui circulent.

Tout d'abord, quel genre de PIN existe-t-il dans le monde bancaire d'aujourd'hui?

NIP du titulaire de la carte:

Ceci est le PIN qui appartient à votre carte de débit ou de crédit. Sans surprise, il y a aussi une norme ISO sur la façon de gérer les codes PIN comme celui-ci. Donc, ce sera assez routin à presque toutes les banques. Il y a de nombreux cas où vous devrez donner votre titulaire de carte PIN à une machine. C'est quand vous payez quelque chose ou retirez de l'argent.
Aucune banque sérieuse ne vous demandera jamais ce numéro, si quelqu'un le fait, c'est probablement une arnaque.

NIP pour les services bancaires par téléphone:

La plupart des banques (que j'ai rencontrées au moins) ont un PIN pour les services bancaires par téléphone. C'est un PIN que vous pouvez vous authentifier par téléphone vers un agent ou un système automatisé (voir les questions similaires ici , ici et surtout ici ). Jetez un œil à ces derniers, ils répondront à la plupart des les questions que vous pourriez avoir.

NIP pour les services bancaires en ligne:

Ceci est le PIN que vous utilisez pour tous vos besoins bancaires en ligne. Pour être franc, votre PIN pour les services bancaires en ligne est à peu près un mot de passe pour vous connecter à votre compte bancaire en ligne. Certaines banques utilisent trucs loufoques avec votre code PIN bancaire en ligne, mais la plupart des banques ne le font pas. La plupart des banques utilisent ceci PIN uniquement pour les services bancaires en ligne. [~ # ~] mais [~ # ~] certaines banques utilisez-le PIN pour les services bancaires par téléphone également (c'était une nouvelle pour moi au début aussi).

Quelle est la grande différence ici?

Un titulaire de carte PIN est utilisé pour accéder directement à vos fonds (tout en étant en possession de votre carte). Cela le rend beaucoup plus précieux que les deux autres. Pourquoi? Parce qu'avec les codes PIN pour les opérations bancaires en ligne et par téléphone, vous accédez à un système pour - gérer vos fonds. Si ces systèmes sont bien conçus, vous aurez besoin d'un deuxième facteur pour autoriser les modifications apportées. Que ce soit pour transférer de l'argent, établir un ordre bancaire ou changer d'adresse. Donc, théoriquement, un adversaire a fait un grand pas vers la prise de contrôle de votre compte bancaire, quand il/elle vole l'un de ces derniers NIP, mais ne peut pas vraiment faire grand-chose, sans avoir également le contrôle de ce qui fournit votre deuxième facteur.

Et maintenant?

Différents codes PIN généralement vous authentifient auprès de différents systèmes. Si une banque utilise le même PIN pour deux systèmes différents, ce n'est peut-être pas la meilleure façon de le faire, mais c'est une façon de faire les choses. Si vous n'êtes pas à l'aise avec cela, demandez une autre forme d'authentification. Découvrez quelle est la forme d'authentification typique de la banque par téléphone. S'il n'y a pas d'informations sur l'interwebz, appelez simplement à nouveau, attendez un autre agent et voyez quel type d'informations d'identification il/elle veut. Si vous ne faites pas confiance à un agent humain, demandez l'authentification par rapport à un système automatisé.^{quelqu'un pourrait bien écouter}

Conclusion:

Ce n'est pas la pire chose au monde. Ce n'est pas la meilleure pratique (d'après mon expérience). Ce n'est pas très rassurant. Mais cela ne signifie pas que tous vos fonds auront disparu demain.

Si cela ne correspond pas à votre modèle de menace, vous pouvez toujours menacer pour quitter la banque pour une autre entreprise, si elle ne change pas de politique. Dites-leur pourquoi, peut-être qu'ils feront quelque chose. Partez s'ils ne le font pas. Cela est particulièrement vrai s'ils n'ont aucune forme de 2FA dans leurs systèmes.

Les services bancaires par téléphone sont toujours un peu précaires, car d'autres humains sont impliqués. Et les humains ont tendance à faire des erreurs et, dans certains cas, peuvent être des criminels.
Il existe une solution simple pour cela: cesser d'utiliser les services bancaires par téléphone.

Important: la plupart des solutions mentionnées dans les commentaires ne résolvent pas ce problème. Les systèmes automatisés peuvent être piratés ou exploités, des questions de sécurité peuvent être enregistrées, etc. Si un agent travaillant dans un centre d'appels qui gère les services bancaires par téléphone veut vous arnaquer, il/elle peut probablement - s'il n'y a pas de contrôles de sécurité en place.
La bonne chose est, la plupart les banques ne laissent pas cela se produire, parce que beaucoup de gens intelligents y travaillent, qui creusent leur cerveau à ce sujet.

Tu sais pourquoi? Nous ne sommes pas les premiers gars et filles à craindre de se faire arnaquer.

Je ne suis pas sûr de votre situation spécifique. Mais ma banque (en République tchèque) m'a fourni un code spécial à 10 chiffres. Ce code est appelé Telebanking PIN car il est utilisé comme moyen de vérification.

Lorsque j'appelle la hotline de télé-banque, l'opérateur demande jusqu'à 6 positions de ce code secret. L'idée est que seul le propriétaire légitime du compte aurait ce code d'accès.

Ce n'est PAS une broche pour ma carte, c'est un code spécial applicable uniquement pour la télé-banque.

Je pense que beaucoup de gens sont au cœur du problème ici, mais je vais y répondre. Beaucoup de banques demandent de nos jours une sorte d'authentification secondaire lorsqu'elles font des affaires par téléphone. Cela peut être un téléphone PIN (séparé de votre code PIN de carte de débit) ou un mot ou une phrase - comme la marque et le modèle de votre première voiture (si vous avez partagé ces informations avec eux) .

L'expérience que vous avez vécue ne me semble pas étrange, mais je pense qu'il était judicieux de mettre fin à la conversation si vous étiez mal à l'aise/incertain. Je recommanderais simplement de contacter la ligne de service client de votre banque et de lui demander ses méthodes de validation d'identité par téléphone. Si vous demandez un téléphone PIN en fait partie (ou sinon), cela devrait répondre à votre question ici.

J'ai également rencontré des cas où j'ai configuré un téléphone PIN ou une phrase et l'ai rapidement oublié, donc si vous n'êtes pas sûr, vous pouvez toujours demander s'il existe un autre moyen de valider votre identité - il implique généralement de répondre à plus de questions, mais au moins vous ne donneriez pas votre PIN up.

Pour ramener un point chez vous, si votre banque utilise un NIP de téléphone, VOUS devez vous assurer qu'il est différent du NIP de votre carte de débit. Si vous choisissez de réutiliser votre PIN vous augmentez le risque de compromis.

S'ils m'avaient appelé, j'aurais catégoriquement refusé de renoncer à mon PIN et rompu ma relation avec la banque.

Voyons ce qu'est un PIN (non, pas un "code PIN"). C'est un numéro d'identification personnel. C'est donc vous et vous seul pouvez l'utiliser pour certaines transactions personnelles. Il n'y a aucune raison pour que la banque le veuille.

J'aurais voulu parler à un superviseur au téléphone. Peut-être qu'ils voulaient établir votre identité afin de ne pas faire appeler quelqu'un pour l'annulation d'une fausse carte. Si tel est le cas, cependant, de nombreuses autres informations disponibles sur votre compte peuvent être utilisées. Quoi qu'il en soit, il n'y a aucune raison d'obtenir votre NIP.

Que se passe-t-il si la carte est mal utilisée? Il semble que vous ne soyez pas aux États-Unis, donc les lois américaines ne s'appliqueraient pas. Je vous suggère de consulter vos lois locales à ce sujet - certaines juridictions vous rendent moins responsable de la fraude que d'autres.

Il s'agit en effet d'une procédure normale pour de nombreuses banques.

Il convient toutefois de noter que:

• Vous ne devez PAS divulguer la broche à un opérateur
• Au lieu de cela, vous composez la broche du clavier de votre téléphone, PAS oralement, généralement AVANT de parler à un opérateur.
• Ceci est votre identifiant bancaire PIN et non votre code PIN de carte de crédit/débit

C'est très spécifique à la banque, mais par exemple en Finlande, ce serait du jamais vu! En fait, les banques avertissent spécifiquement qu'elles vont sous PAS DE CONDITIONS demander votre code PIN), et vous ne devez jamais le distribuer ni le stocker avec votre carte.

La vérification se fait via des numéros à usage unique, soit à partir de la liste des numéros de défi que vous recevez de la banque, soit plus généralement via une application mobile fournie par la banque avec le même principe. Et cette application est liée à votre numéro de téléphone que vous autorisez spécifiquement personnellement dans votre banque (en ligne ou en personne). De même, vous pouvez révoquer le numéro, ce qui empêche immédiatement l'utilisation de l'application, même si vous connaissez l'application PIN code et volé le téléphone physique).

Cela peut sembler étrange si vous devez fournir votre PIN à une personne, mais il est bien sûr possible qu'elle veuille juste vous identifier. Où j'habite (Finlande), pour les services bancaires par téléphone, je dois taper mon code d'utilisateur (8 chiffres) et mon code à usage unique (4 chiffres) ou, au lieu du code à usage unique, utiliser mon application d'authentification sur mon téléphone mobile. Ceci est courant en Finlande, et vous ne dites pas le code d'utilisateur et le code unique à n'importe qui, vous les tapez par téléphone sur un système informatique automatique.

Si vous n'êtes pas sûr de fournir le code PIN, vous pouvez bien sûr visiter physiquement la banque au lieu d'utiliser les services par téléphone.

Ils demandent également mon numéro de sécurité sociale très souvent par téléphone. Ce que je ne tape pas, je le dis à l'autre personne au téléphone.

Il est très peu probable que votre conversation téléphonique soit écoutée secrètement. En théorie, quelqu'un pourrait bloquer les fréquences 3G avec un brouilleur, forçant le téléphone à utiliser la 2G, et à utiliser un capteur IMSI et à casser les clés de cryptage (ce qui devrait être faisable pour les pauvres chiffrements GSM dans un délai raisonnable). Les chances que cela se produise sont si faibles que je ne m'en inquiéterais pas.