Jeśli martwisz się o autentyczność zimnego połączenia, nie próbuj uwierzytelniania przez telefon w żadnym kierunku. Po prostu poproś o kilka podstawowych informacji, których możesz użyć, aby odnieść się do problemu w dalszych działaniach:

1. Nazwa firmy / usługi, dla której konto jest przeznaczone.
2. Co to jest charakter problemu / oferty, którą dzwoniący chce omówić?
3. Czy istnieje identyfikator referencyjny (np .: numer biletu) dla połączenia?
4. Imię i / lub identyfikator osoby dzwoniącej .

Ważne: W trakcie tego procesu nie należy nigdy podawać dzwoniącemu żadnych dodatkowych informacji. Głównym punktem tutaj jest założenie, że osoba dzwoniąca do Ciebie w ten sposób jest napastnikiem przez cały czas trwania pierwszej rozmowy.

Osoba dzwoniąca powinna odpowiedzieć na pytanie 1, zanim będziesz musiał zapytać. Zachowaj szczególną ostrożność, jeśli tak nie jest. Moja żona pokłóciła się kiedyś przez kilka minut z kimś, kto dzwonił z „Działu obsługi kont”, zanim w końcu wręczyła mi telefon. Kiedy przerwałem dzwoniącemu, aby zapytać „Dział Obsługi Kont dla kogo?” dzwoniący nagle się rozłączył.

Po otrzymaniu od rozmówcy wszystkiego, co możliwe, rozłącz się. Następnie uzyskaj wiarygodne informacje kontaktowe firmy z wiarygodnego źródła (nie używaj żadnych danych kontaktowych podanych przez dzwoniącego, bez uprzedniej ich weryfikacji).

Po uzyskaniu dobrze znanych informacji kontaktowych zadzwoń firmę i zapytaj o stan swojego konta. W razie potrzeby użyj informacji uzyskanych od dzwoniącego, aby odnieść się do incydentu.

Poproś o numer wewnętrzny, a następnie oddzwoń do banku z zaufanym numerem . Większość systemów telefonicznych w biurze umożliwia bezpośrednie połączenie się z każdym pracownikiem, jeśli znasz numer wewnętrzny tego pracownika, więc rozłączenie się i oddzwonienie do banku nie zajmie więcej niż kilka sekund. Jeśli dzwoniono z telefonu stacjonarnego starego typu, powinieneś zadzwonić z innej linii telefonicznej lub telefonu komórkowego, ponieważ dzwoniący mógł pozostawić linię otwartą i wydać fałszywy sygnał wybierania lub użyć innej osoby / głosu. Zapewni to, że faktycznie dotarłeś do banku, a gdy już dotrzesz do pracownika, w ciągu kilku sekund powinieneś być w stanie stwierdzić, czy to ta sama osoba.

Trzeba przyznać, że nie chroni to przed możliwością zagrożenia wewnętrznego w banku . Ale jeśli bank oszukał insider, ty (i bank) macie większe problemy.

Pracowałem w call center, które obsługiwało kilka banków. Osoba dzwoniąca prawdopodobnie postępowała zgodnie z procedurą, gdy nie podała Ci numeru konta. Ponieważ oszustwa phishingowe są powszechne w stosunku do banków, podanie numeru konta bez weryfikacji przez klienta, kim jest, było przestępstwem, a mimo że dzwonili, nadal nie mogą zakładać, że osoba, która odpowiada, jest tą, z którą próbują się skontaktować. Zwykle, jak na ironię, jedno z pytań weryfikacyjnych, które zadawaliśmy klientom, dotyczyło zweryfikowania numeru konta.

Najlepszym sposobem na ich zweryfikowanie jest uzyskanie jakiegoś rodzaju roszczenia, zamówienia lub numeru wsparcia plecy. Uzyskaj numer telefonu ze strony internetowej swojego banku i oddzwoń do nich, podając dane, które podały, jeśli nie mają takiego numeru referencyjnego, prawdopodobnie mają przypisaną notatkę do twojego konta. Możesz również zadzwonić lub odwiedzić lokalny oddział banku i sprawdzić, czy wiedzą cokolwiek o problemie, ale często nie chcieli i poprosić o telefon na linię pomocy.

To brzmi jak oszustwo. Biorąc pod uwagę liczbę naruszeń dużych zbiorów danych przez oszustów, którzy mają ogromne zbiory danych, które mogą przeanalizować i stworzyć ukierunkowany atak.

To powiedziawszy, wzajemne uwierzytelnianie jest dobrym działaniem, ponieważ zawsze będą mieć dane w ich system. Ponadto nigdy nie spotkałem systemu VoIP dużej organizacji, który nie kieruje na rzeczywiste numery telefonów.

Ogólnie rzecz biorąc, najlepiej jest zawsze inicjować kontakt między Tobą a Twoją instytucją finansową.

Przede wszystkim nigdy nie podawaj im żadnych informacji, które nie są publicznie dostępne, dopóki nie upewnisz się, że są prawdziwe. Prawdę mówiąc, gdyby do ciebie dzwonili, prawdopodobnie nigdy bym im nie przekazał żadnych informacji, ponieważ nie powinni dzwonić w celu zebrania tego rodzaju informacji. Większość legalnych banków wyśle ​​Ci list, a następnie poprosi o przyjście do oddziału w celu zaktualizowania informacji.

Jeśli absolutnie musisz zaktualizować informacje przez telefon, co możesz zrobić, to dowiedzieć się, co chcą wiedzieć, a następnie powiedz im, że oddzwonisz. Następnie oddzwoń do nich, korzystając z numeru telefonu, który znajdziesz w ich witrynie, i przekaż im potrzebne informacje.

Żaden bank nigdy nie poprosi Cię o numer konta bankowego lub coś w tym rodzaju. Jeśli jednak powiedzą coś w rodzaju „Chcę się upewnić, że to naprawdę Ty. Czy możesz mi podać swoją datę urodzenia?” Daj im złą odpowiedź i zobacz, co powiedzą. Jeśli ciągle zadają różne pytania, udzielaj im złych odpowiedzi. Jeśli nigdy nie wspominają, że to źle, wiesz, że kłamią. Zanim jednak im uwierzysz, upewnij się, że udzielisz im złej odpowiedzi na coś, o czym mogliby wiedzieć tylko ty i bank, a oni powiedzą ci, że jest to złe. Urodziny, adres, numer SIN / SSN itp. Można sprawdzić; jaka data ostatniej transakcji lub ile transakcji dokonałeś w ciągu ostatniego miesiąca jest znacznie trudniejsza do znalezienia. UWAGA : to jest niedoskonały system. Ktoś mógł jednak potencjalnie ukraść tego rodzaju informacje, jeśli jednak mają, prawdopodobnie już wiedzą o tobie wszystko, czego potrzebują, aby ...

tl; dr : Don ' nie odpowiadaj na pytania z zimnych telefonów, albo oddzwoń do nich, albo wejdź, aby zobaczyć się z nimi twarzą w twarz.

Jak wyżej, najlepsze metody weryfikacji obejmują numery referencyjne / informacje o koncie. Myślę jednak, że w większości przypadków byłoby wysoce nieprawdopodobne, aby Twój bank kiedykolwiek zadzwonił bezpośrednio do Ciebie , być może tylko w przypadku oszustwa związanego z kartą. W takim przypadku zakończyłbym połączenie i zadzwonił do banku z innego numeru lub przynajmniej sprawdziłbym, że połączenie zostało rzeczywiście zakończone.

Częstym oszustwem w Wielkiej Brytanii jest zadzwonienie do osoby za pomocą telefonu stacjonarnego i poinformowanie aby zadzwonili do swojego banku, ponieważ ich konto jest zagrożone / oszustwo związane z kartą. Gdy osoba rozłącza się i dzwoni do banku, oszust nigdy nie kończy połączenia i wydaje ofierze fałszywy sygnał wybierania, aby przekonać ją, że jej wychodzące połączenie jest prawdziwe. Ofiara jest następnie poddawana socjotechnice i nieświadomie przekazuje informacje o swoim koncie bankowym oszustowi podającemu się za jej bank.

Kiedy otrzymuję telefon z mojego banku (prawdopodobnie) i mówią, że jest jakiś problem i muszą najpierw zweryfikować moją tożsamość przed kontynuowaniem rozmowy, mówię im, że nie czuję się komfortowo, aby podać te informacje, ponieważ ja nie znają ich tożsamości. To oznacza, że ​​rozumieją, i powinienem zadzwonić pod numer z tyłu karty kredytowej i rozłączyć się. Nie ma targowania się o tożsamość żadnej ze stron, jest to proste i skuteczne.

Podobnie jak wiele innych wypowiedzi.

W przeszłości byłem głupi i przekazywałem informacje ludziom, którzy dzwonili do mnie, twierdząc, że jestem z banku, organizacji charytatywnej lub czegokolwiek. Nigdy więcej.

W dzisiejszych czasach, jeśli ktoś dzwoni, twierdząc, że jest z organizacji charytatywnej i prosi o przekazanie darowizny na moją kartę kredytową, mówię nie, wyślij mi coś pocztą. Wtedy mogę sprawdzić, czy podany adres jest rzeczywiście adresem organizacji charytatywnej. Itd.

Jeśli ktoś dzwoni, twierdząc, że jest z banku lub firmy obsługującej karty kredytowe, upewniam się, że poda mi informacje, których oszust raczej nie zna. Jeśli nie, mówię, że oddzwonię, a potem wyszukuję numer telefonu na stronie banku. Firmy zwykle nie podają numeru konta w celu weryfikacji, ale przynajmniej powinny podać nazwę firmy, a nie tylko „bank” lub „VISA”. Jeśli wystąpi problem z określoną transakcją, powinni wiedzieć wszystko o tej transakcji, na przykład kiedy została dokonana i kwota.

Z mojego doświadczenia wynika, że ​​większość oszustów nie poświęca dużo pracy, aby sprawdzić Twoje życie. Dzwonią i mówią „to jest bank”, ponieważ nie wiedzą, któremu bankowi patronujesz itp.

Większość oszustów jest dość kiepska. Otrzymuję wiele fałszywych e-maili, o których wiem, że są oszustwami, ponieważ zawierają błędy ortograficzne i gramatyczne. Mogłem uwierzyć, że Microsoft wyśle ​​wiadomość e-mail z błędem gramatycznym. Ale Microsoft nie wyśle ​​mi e-maila z 20 błędami gramatycznymi. To oszustwo. Itd.

Jestem pewien, że niektórzy oszuści poświęcają trochę czasu na zbadanie Ciebie. Dzisiaj mogą dowiedzieć się o twoich urodzinach na wiele sposobów. Mogą ukraść twoją pocztę, aby poznać nazwę twojego banku i numer twojego konta. Itd. O ile wiem, nigdy nie spotkałem oszusta, który wykonałby tyle pracy. Prawdopodobnie nie jestem na tyle bogaty, by być wart szczególnego wysiłku. Oszuści łatwiej jest po prostu wybrać kilka numerów lub wysłać masową wiadomość e-mail i spróbować oszukać najbardziej łatwowiernych ludzi. Lub ludzie, którzy są zwykle inteligentni, ale mają chwilę nieostrożności.

Ale chodzi mi o to, że jeśli mogą powiedzieć o tobie jedną lub dwie rzeczy, są PRAWDOPODOBNIE uzasadnione. Nie pobiłbym weryfikacji na śmierć. Ale zdobądź NIEKTÓRE weryfikacje.

Odmówiłbym podania jakichkolwiek danych osobowych każdemu, kto do mnie dzwonił, ponieważ nie możesz zweryfikować, kim oni są.
Jeśli chcą z Tobą porozmawiać, powiedz, że możesz oddzwonić. Następnie możesz zadzwonić pod numer bezpośredni, który jeśli jest to duży bank, będzie dobrze znany i na ich stronie internetowej. Możesz wtedy poprosić o numer wewnętrzny, aby przekierować połączenie, gdy wiesz, że łączysz się z bankiem.