Kilka słów o tym, jak to Bank Zachodni WBK Grupa Santander dba o bezpieczeństwo danych klientów (przypadek kolegi).
Rozpocznę od tego, że ich klientem zostałem w wyniku przejęcia Kredyt Banku. Wcześniej nie miałem większych zastrzeżeń. Od razu wyjaśniam, ekspertem nie jestem, ale staram się być świadomym użytkownikiem.
Pierwszym rewelacyjnym rozwiązaniem po zmianie właściciela, była zmiana w bankowości elektronicznej dotycząca logowania. Innowacyjnie, w celu poprawienia bezpieczeństwa BZWBK w miejsce wcześniej używanych tokenów RSA i tokenów aplikacyjnych (jednorazowe hasło generowane w dedykowanej aplikacji na telefonie) nagle każe używać sztywno ustawionych haseł. SIC! No nic pomyślałem, unifikują systemy, nie mają kasy to będzie chwilowe rozwiązanie. Pomyliłem się. Już od ponad roku tak to działa. Ale podobno wszystko co zrobione jest „ na chwilę potem zrobimy dobrze” działa najlepiej…podobno.
Z kolejnym absurdem miałem do czynienia w momencie wymiany karty – i to dwukrotnie. Pierwszy raz, gdy karta debetowa (taka podstawowa wydana do konta) nagle przed czasem jej ważności została zablokowana przez bank. Dzwonie do banku i dowiaduje się, że pół roku wcześniej wysłali mi inną, tam też podobno była informacja o tym, że stara z logiem KB straci ważność. Ale co dalej z tym faktem, że wysłali kartę, a ja jej nigdy nie dostałem?
Pomyślicie, że bank widząc, że w systemie ma kartę nieaktywną od pół roku zapyta klienta co się dzieje, choćby przed zablokowaniem dostępu do pieniędzy na koncie – nie BZWBK. Niestety to jest jednak mój problem i to ja muszę zgłosić zagubienie tej karty, nie wystarczy, że zadzwoniłem i powiedziałem że nigdy jej nie dostałem i w systemie jest nieaktywna. Myślę OK, sam też nie czytałem informacji na stronie banku w tym okresie, więc mogło się zdążyć, że pominąłem tą informację, nie ma dla mnie tematu.
Nauczony poprzednim doświadczeniem z kartą, regularnie czytam wszystkie informacje z banku, w jednej z nich dostaję radosną wiadomość, że specom od ich marketingu nie podoba się już, że mam kartę kredytową z logiem KB i też chcą ją wymienić. W związku z tym, że jest to karta kredytowa, wymiana jej wiąże się z podpisaniem nowej umowy kredytowej. Kartę oczywiście przysłali, wraz z informacją, że jak tylko jej użyję to z automatu akceptuję nową umowę kredytową. Zapytacie jaki problem? Mają w tym interes, mnie to nic nie kosztuje więc co może pójść nie tak? Problem taki, że razem z kartą nie przysłali umowy. Rozsądne, ponieważ ktoś mógłby mieć od razu wszystkie moje dane oraz kartę. Problem zaczyna się w momencie kiedy jednak przed użyciem karty chce zobaczyć umowę. Liczyłem na to że po zalogowaniu się do konta znajdę taką umowę w specjalnej zakładce do kontaktu Bank-Klient – jak się pewnie domyślacie nie było jej tam. BZWBK na tę okoliczność przygotował dedykowaną stronę. Ok, patrzę na tą stronę i o zgrozo, muszę podać email na który wyślą mi umowę. Myślę, to jakaś podpucha i akcja pishingowa, przecież taki zajebisty bank dbający o bezpieczeństwo nie wysyłał by mi umowy mailem, skoro ma bezpieczny kanał komunikacji w bankowości elektronicznej. A jednak, wszelkie moje nadzieje zostały szybko rozwiane po telefonie do biura obsługi, bez podania adresu email nie dostanę umowy. Jedynym rozwiązaniem może być wizyta w oddziale. W porządku, bezpieczeństwo moich cebulionów jest najważniejsze, poszedłem do oddziału i co …. Tak zgadliście, w oddziale
nie są w stanie wydrukować mi umowy! Nie będę już opisywał ilu wizyt w oddziale i jakich zabiegów wymagało to żebym zobaczył co akceptuję, jak tylko zapłacę kartą, napiszę tylko że trwało to tyle, że trwało to ok. 2 miesięcy a bank zdążył mi wypowiedzieć umowę kredytową wcześniej niż przedstawić umowę, która teoretycznie była gotowa.
Czarę goryczy przelała niestety ostatnia akcja ze strony BZWBK, a także reakcja pracowników banku na moje zgłoszenie. Słowem wstępu do tego tematu, przypomnę wszystkim, że w ostatnim czasie nasiliły się oszustwa i kampanie pishingowe. BZWBK był również podmiotem gdzie oszuści podszywając się pod nich próbowali wyłudzić dane. Poczytać można o tych akcjach tutaj:
//www.kaspersky.pl/about.html?s=news&newsid=1103
//niebezpiecznik.pl/post/phishing-skierowany-w-klientow-bz-wbk/
Oczywiście bank wpisując się w modne trendy na swoich stronach dumnie publikuje informację jak ustrzec się przed pishingiem, możecie o tym poczytać tutaj:
https://blog.bzwbk.pl/2009/10/phishing-%E2%80%93-jak-sie-ustrzec
Starając się być świadomym użytkownikiem, uważam na to co i komu podaję – szczególnie jeśli chodzi o finanse. A teraz przechodząc do meritum…
12.08.2015 dzwoni telefon, numer nie wpisany do książki. Myślę, pewnie znowu jakiś przedstawiciel handlowy chce mi cos sprzedać. Szybkie sprawdzenie numeru w Internecie, ale ku zdziwieniu nie ma żadnych wpisów na jego temat. OK, odbieram. Okazuje się, że dzwoni jakaś kobietka opowiadając, że dzwoni z banku BZWBK i chce porozmawiać o $$$, kartach kredytowych itd. No nie wiele się pomyliłem, jednak chce mi ktoś coś wcisnąć i sprzedać, ale jakie było moje zdziwienie jak kobieta prosi mnie o dane jakie zwykle służą weryfikacji jak to ja dzwonię na infolinie. Pani idzie w zaparte, że nie może ze mną kontynuować rozmowy jeśli nie podam jej numeru PESEL i pewnie innych danych weryfikacyjnych. Myślę, że przecież żaden poważny bank, trąbiący do około o zagrożeniu wynikającym z wyłudzania danych nie zrobił by czegoś takiego, więc kończę rozmowę z kobietą i natychmiast dzwonię do banku.
Przecież tak działają przestępcy posługujący się atakami socjotechnicznymi: „ Dzień dobry Marek Kowalski, dzwonie z IT ponieważ sprawdzamy poziom zabezpieczeń na naszych komputerach. Proszę mi podać hasło, jakie Pani posiada do komputera a później je zmienimy”.
Na infolinii, osoba która odebrała, nie bardzo wie co ma zrobić w momencie kiedy zgłaszam jej próbę wyłudzenia danych, ale po jakiś konsultacjach przyjęła zgłoszenie. Wydawało mi się, że to koniec tematu, nikt nie znajdzie osoby która dzwoniła, bo nikomu się nie będzie chciało zgłaszać tego do Policji. Jak bardzo się myliłem, dowiedziałem się dopiero dziś, jak odebrałem pismo z banku (udostępniam poniżej). Okazuje się, że to jednak była pracownica banku i ogólnie Oni nie widzą nic dziwnego w tym, że dzwonią do ludzi z jakiegoś numeru telefonu, który nie jest podany na stronie banku i wypytują o dane których można użyć do wyczyszczenia konta!
wystarczającym zabezpieczeniem jest to, że osoba która do mnie dzwoniła podała imię i nazwisko, powiedział że dzwoni z banku oraz to że to się nagrywa. K---a mać! Wielki bank i takie nonszalanckie podejście do danych klienta, ale przecież podkreślają „że Bank dokłada wszelkich starań, aby zapewnić Klientom pełne bezpieczeństwo korzystania z udostępnionych produktów i usług” –
ja się pytam, gdzie tu jest jakiekolwiek bezpieczeństwo!?
Czy wg. Banku teraz każdej osobie, która zadzwoni do mnie i powie, że jest od nich mam podać wszelkie dane osobowe i dane identyfikujące mnie w ich systemie?
Ciekawe czy jakbym podał te wszystkie dane i okazało by się, że to jednak nie jest pracownik banku, a osoba która wyczyściła mi konto, to mógłbym liczyć na pozytywne rozpatrzenie reklamacji i zwrot kasy przez Bank – przecież osoba która dzwoniła mówiła, że dzwoni z BZWBK!
Komentarze (3)
najlepsze
P------o ich.