– Dzień dobry, dzwonię z banku z propozycją kredytu. W celu weryfikacji proszę podać numer PESEL, adres do korespondencji i nazwisko panieńskie matki – usłyszała w piątek przez telefon część klientów mBanku.

Choć brzmi to jak opis kolejnej, w dodatku niezbyt wyszukanej próby wyłudzenia wrażliwych danych, tym razem zagrożenia nie było - donosi dzisiejsza Rzeczpospolita.

Telefony rzeczywiście wykonywali pracownicy mBanku, którzy w taki sposób usiłowali sprzedawać posiadaczom ROR produkty kredytowe.

Taki sposób postępowania bulwersuje w sytuacji, gdy klienci polskich banków coraz częściej padają ofiarą ataków phishingowych, czyli wyłudzeń ich danych personalnych oraz informacji dotyczących ich rachunków bankowych i kart.

Wprawdzie ulubionym narzędziem przestępców jest e-mail, jednak wyłudzenia można dokonać też drogą telefoniczną. Banki edukują, by nie podawać wrażliwych danych w odpowiedzi na e-maile. Jednocześnie jednak mBank zachęca do ich podawania przez telefon.

- Gdy pracownik dzwoni z propozycją do klienta, musi ustalić, czy rozmawia z właściwą osobą. Na początek musi poinformować rozmówcę o tym, w jaki sposób może się upewnić, że dzwoni do niego pracownik banku.

Jeżeli klient chce poznać szczegóły spersonalizowanej oferty, operator zada mu trzy – cztery losowo wybrane pytania weryfikujące. W żadnym wypadku nie będą to pytania o ID, hasła czy numery kart i rachunków – wyjaśnia rzecznik mBanku Magdalena Ossowska.

„Żaden bank nigdy nie wysyła do swoich klientów pytań dotyczących haseł lub innych poufnych danych ani próśb o ich aktualizację. [...] Listy, wiadomości e-mail lub telefony w takich sprawach należy traktować jako próbę wyłudzenia poufnych informacji” - Fragment poradnika na stronie internetowej Związku Banków Polskich

Z informacji „Rz” wynika, że ta procedura nie zawsze była przestrzegana. Przynajmniej w części przypadków dzwoniący od razu przystępował do pytań o wrażliwe dane, nie wspominając o możliwości zweryfikowania, że naprawdę pracuje dla banku. – To był błąd pracownika – przyznaje Magdalena Ossowska.

„Rz” zapytała Remigiusza Kaszubskiego, dyrektora Związku Banków Polskich, jak zareagowałby, gdyby to jego bank próbował mu w ten sposób sprzedać kredyt. – Nie rozmawiałbym z taką osobą. Jeśli ktoś dzwoni z banku, ma wszystkie moje dane i nie musi o nie pytać. Jeżeli jest to zwykły sprzedawca, który szuka klientów, to nie dzwoni z banku. W żadnym wypadku nie powinienem się zgadzać na podawanie wrażliwych danych, takich jak np. numer PESEL, nazwisko panieńskie matki, numer rachunku, numer karty czy kod PIN – tłumaczy Kaszubski.

Dyrektor ZBP podkreśla, że osoby dzwoniące do klientów nie łamały prawa. Równocześnie jest jednak przekonany, że takie działanie nie służy budowaniu wizerunku banków jako instytucji, które na pierwszym miejscu stawiają bezpieczeństwo klientów.

– Jeśli bank sprzedaje przez telefon standardowe produkty, potwierdzanie tożsamości klienta jest zbędne. Jeżeli jest to oferta spersonalizowana, kierowana do konkretnego klienta, w której kwota proponowanego kredytu zależy od historii wpływów na konto oraz innych danych znanych tylko bankowi, można się zastanawiać, czy skierowanie takiej propozycji do niewłaściwej osoby nie byłoby naruszeniem tajemnicy bankowej. Dlatego najlepiej nie używać kanału telefonicznego do sprzedaży takiej oferty – mówi Remigiusz Kaszubski z ZBP.