Mon support bancaire vient de me demander mes identifiants bancaires en ligne

Message d'avertissement obligatoire:

Ne donnez jamais votre mot de passe à qui que ce soit et ne laissez pas cette réponse influencer ce type de comportement.

Parce que l'on ne peut pas connaître toutes les circonstances dans ce cas particulier, un peu de spéculation est nécessaire pour répondre à cette question.

Si j'ai tout compris correctement, le cas est le suivant:

Le PO a visité le site Web de la banque, recherché le numéro d'assistance et ensuite il/elle a lancé un appel. Après avoir donné seulement son identifiant bancaire (?), Le bot à la fin de la ligne a salué l'OP avec son nom de famille et a ensuite demandé le mot de passe bancaire en ligne.

Oui, cela aurait pu être une tentative de phishing d'un attaquant. Le site que vous avez visité aurait pu être modifié et un autre numéro d'assistance aurait pu être configuré. Après avoir fait tout cela, l'attaquant a ensuite dû attendre que le PO se soit rendu volontairement sur le site¹ puis composez le numéro. L'attaquant aurait également dû mettre en place un bot téléphonique qui est également capable de connecter l'ID bancaire au nom de famille de OP².

Cela - du moins pour moi - ressemble à un très gros effort pour simplement obtenir le mot de passe d'un compte bancaire en ligne, ce qui n'est même pas très utile lorsque vous utilisez un système bancaire en ligne typique. Vous avez généralement besoin d'un deuxième facteur pour effectuer tout type de transaction d'argent. C'est toujours un compromis sur le compte bancaire, mais rien qui ne peut pas être corrigé.

Je doute fortement qu'il s'agisse d'une tentative de phishing. Cela ne me semble pas être une bonne politique, surtout si ce n'est pas clair pour les utilisateurs, que leur mot de passe en ligne est également utilisé pour l'authentification par téléphone.

_{(1) En théorie, un attaquant pourrait simuler une sorte d'urgence qui conduirait alors un utilisateur à appeler le numéro d'assistance.}

_{(2) Sauf si le PO a fait une erreur et a mentionné son nom de famille plus tôt pendant l'appel.}

Oui, vous devez prendre des mesures, le signaler à votre banque, selon toute probabilité, il s'agit d'une tentative de phishing.

Cela ne devrait pas arriver et ce n'est pas une pratique normale.

Votre banque ne vous demandera jamais votre code PIN ou votre mot de passe.

EDIT: Après avoir lu vos commentaires et la clarification (postée après mon avertissement) que le contact a été entièrement initié par vous, il est possible/probable que ce ne soit pas une tentative de phishing et soit soit une très mauvaise politique (comme l'ID vocal/la biométrie devrait pas besoin d'un mot de passe secret pour fonctionner) ou une demande d'informations fournies pour prouver l'identité dans ce type de scénario.

Dans tous les cas, je contacterais votre banque (via une autre méthode que ce numéro de téléphone) et expliquerais vos préoccupations et obtenir des éclaircissements de leur part que cette demande était légitime.

Je ne ferais pas confiance à cette banque. Même si cet appel téléphonique était totalement légitime pour leurs systèmes, cela prouve simplement qu'ils ne comprennent pas les implications en matière de sécurité d'au moins deux façons:

1. Si votre mot de passe Web est suffisamment simple pour être prononcé par un bot qu'il pourrait le comprendre suffisamment pour valider qu'il s'agit bien de votre mot de passe, ce n'est pas un mot de passe suffisamment sécurisé pour quelque chose d'aussi sensible que les informations bancaires. En forçant les utilisateurs à prononcer (ou en quelque sorte à le saisir via le clavier, qui sonne honnêtement comme un enfer absolu) leur mot de passe, ils encouragent les mots de passe non sécurisés.

2. De la réponse de Rory:

S'il est correctement mis en œuvre, cela ne devrait pas être plus dangereux que de taper votre mot de passe sur un site Web.

et

En termes de sécurité du système IVR, c'est essentiellement comme tout autre système qui traite les données. Il doit être sécurisé de manière appropriée afin que les informations d'identification de l'utilisateur ne soient pas exposées, pas différent du canal Web.

Parler sur un téléphone est TRÈS différent de communiquer sur un canal Web. À moins que vous n'utilisiez une ligne téléphonique cryptée de vous à la banque, tout ce qui est transmis sur la ligne peut être écouté. Alors qu'une connexion Web correctement implémentée ne peut pas être espionnée car elle utilise un chiffrement de bout en bout. En fait, dans les meilleures implémentations, votre mot de passe n'est jamais transmis sous une forme récupérable, donc même si le serveur Web de la banque avait été infecté, il ne serait pas en mesure de découvrir votre mot de passe (il pourrait seulement vérifier que vous êtes en possession du bon mot de passe). Voici une explication sur la raison pour laquelle cette technique de hachage (en plus du canal de communication déjà chiffré) serait ou ne serait pas utilisée: Pourquoi le hachage côté client d'un mot de passe est-il si rare?

[T] ils doivent vous authentifier d'une manière ou d'une autre pour pouvoir discuter de votre compte avec vous.

C'est vrai, mais l'utilisation des informations d'identification Web n'est pas pas la façon de procéder. Et pour les raisons que j'ai mentionnées ci-dessus, la communication téléphonique a des insécurités inhérentes et je ne fais pas d'affaires sensibles par téléphone si je peux l'aider.

Comme pour tout, suivez mes conseils avec un grain de sel. La probabilité que votre ligne téléphonique soit exploitée par une personne ou une organisation qui serait intéressée à utiliser votre mot de passe en ligne contre vous est très faible. Je laisse au lecteur le soin d'évaluer ce risque par rapport aux risques que la banque sécurise de manière inappropriée d'autres canaux de communication et de choisir le niveau de risque qu'elle est prête à prendre.

Vous ne serez jamais sûr à 100%. Vous ne pouvez atténuer les risques qu'à un niveau acceptable.

Il existe généralement des informations d'identification différentes pour les services bancaires par téléphone et les services bancaires en ligne. Cela évite la plupart des tentations et des conflits d'intérêts, car les opérations bancaires par téléphone ne peuvent être lancées que par le biais d'un opérateur téléphonique connecté, et au moins ma banque souligne très clairement que ses informations d'identification en ligne jamais seront demandées ou acceptées par téléphone, exactement à cause du phishing.

S'il était tout à fait banal de distinguer le phishing de la stupidité authentique, le phishing serait moins une chose. Quoi qu'il en soit, faire confiance à l'autre côté avec vos informations d'identification en ligne semble être une mauvaise idée.

Avertissement: ne partagez jamais vos identifiants de connexion, mots de passe ou PIN numéros en personne, par téléphone ou en ligne. Utilisez uniquement des mots de passe bancaires sur le site Web vérifié de la banque, en vérifiant la sécurité de votre navigateur) informations (à côté de https).

Je ne dirais pas que c'est une "violation de la vie privée" puisque théoriquement votre mot de passe (ou son hachage) est une information déjà partagée entre vous et la banque. Étant donné que vous êtes le seul à appeler le service client, il semble que vous ayez découvert un bogue ou une fuite de sécurité dans leur système.

• On m'a demandé des pièces de mon PUK ou ID d'usine du morceau de plastique sur lequel ma carte SIM a été retirée par un employé du service clientèle humain lors de l'appel à propos de mon compte de téléphone mobile. Et pour quelques chiffres de mon numéro de compte par un employé de banque, lors de l'appel à la banque, jamais mon mot de passe.
• Non, ce n'est pas une pratique normale, la plupart des banques vous avertissent de ne jamais écrire votre mot de passe, de ne le révéler à personne et de ne l'utiliser que depuis votre ordinateur lorsque vous vous connectez au service bancaire par Internet via HTTPS.
• Il est possible qu'ils aient été piratés (à savoir le logiciel de robot utilisé dans leur centre de service) ou bien cela pourrait être un risque/bug de sécurité non planifié dans leur logiciel. Quoi qu'il en soit, dire votre mot de passe par téléphone est un risque de sécurité en soi, car il est possible que vous soyez entendu, que l'appel téléphonique soit redirigé (par exemple si votre téléphone a été piraté) ou que quelqu'un puisse intercepter et écouter le conversation.
• Contactez votre banque par une autre avenue et signalez le risque pour la sécurité. Vous pouvez soit essayer de signaler le bogue via le formulaire de contact/rapport d'erreur sur leur site Web, soit vous rendre en personne à votre succursale locale. Une autre chose à faire serait de consulter le site Web de la banque pour les pages d'aide associées à son service téléphonique. Ceux-ci décrivent généralement le processus requis pour utiliser leur ligne de service client et si cette étape (en indiquant votre mot de passe au bot) n'est pas incluse, quelqu'un a très probablement compromis son logiciel de bot ou il s'agit d'une attaque de phishing par quelqu'un de son centre de service, si cette étape est incluse, il s'agit très probablement d'un risque de sécurité négligé. Quoi qu'il en soit, vous devez le signaler, la plupart des services financiers prendront une telle plainte très au sérieux.
• Selon le résultat de cette réclamation, vous devrez peut-être également contacter votre compagnie de téléphone, car cela pourrait être le résultat d'un logiciel malveillant ou d'un risque pour la sécurité de votre fournisseur. Pour exclure provisoirement cela, essayez de contacter le service bancaire avec un autre téléphone sur un réseau différent.

Ils ne demandaient pas votre mot de passe bancaire en ligne, mais votre mot de passe/phrase de passe pour leur système téléphonique. Une banque (sans parler de n'importe quelle entreprise/système) utilisant les mêmes informations d'identification pour vos opérations bancaires en ligne et vos opérations bancaires par téléphone n'existe tout simplement pas.

-mot de passe Web "sécurisé" typique:

+ o_TH3-m * 0N2017! qui est ensuite stocké dans la base de données sous forme de hachage (par exemple 8dd6ae487b790146f6570cb5b01f7f70224f6706). Pour vous authentifier, vous avez entré la bonne passe, le système retouche votre entrée et si c'est une correspondance, vous êtes authentifié.

Pour les systèmes téléphoniques, les mots de passe seraient stockés en texte brut ou un système automatisé vous obligerait à utiliser uniquement des chiffres/lettres et à les énoncer lettre par lettre.

À moins que vous ne vouliez nous renseigner sur la banque que vous utilisez, vous pourriez obtenir plus de clarté en rappelant votre banque et en demandant à parler à un représentant?

Enfin - puisque vous les avez appelés, une tentative de phishing est peu probable