"– Dzień dobry, dzwonię z banku z propozycją kredytu. W celu weryfikacji proszę podać numer PESEL, adres do korespondencji i nazwisko panieńskie matki – usłyszała w piątek przez telefon część klientów mBanku. Choć brzmi to jak opis kolejnej, w dodatku niezbyt wyszukanej próby wyłudzenia wrażliwych danych, tym razem zagrożenia nie było. Telefony rzeczywiście wykonywali pracownicy mBanku, którzy w taki sposób usiłowali sprzedawać posiadaczom ROR produkty kredytowe.", czytamy w "Rzeczpospolitej".
Gazeta pisze, że w obliczu ostatnich ataków phishingowych, praktyki mBanku są bulwersujące. Dziennik zwraca uwagę, że co prawda ulubionym narzędziem przestępców jest e-mail, "jednak wyłudzenia można dokonać też drogą telefoniczną. Banki edukują, by nie podawać wrażliwych danych w odpowiedzi na e-maile. Jednocześnie jednak mBank zachęca do ich podawania przez telefon.", czytamy.
"– Gdy pracownik dzwoni z propozycją do klienta, musi ustalić, czy rozmawia z właściwą osobą. Na początek musi poinformować rozmówcę o tym, w jaki sposób może się upewnić, że dzwoni do niego pracownik banku. Jeżeli klient chce poznać szczegóły spersonalizowanej oferty, operator zada mu trzy – cztery losowo wybrane pytania weryfikujące. W żadnym wypadku nie będą to pytania o ID, hasła czy numery kart i rachunków" – wyjaśnia rzecznik mBanku Magdalena Ossowska.
"Rzeczpospolita" zapytała Remigiusza Kaszubskiego, dyrektora Związku Banków Polskich, jak zareagowałby, gdyby to jego bank próbował mu w ten sposób sprzedać kredyt. "– Nie rozmawiałbym z taką osobą. Jeśli ktoś dzwoni z banku, ma wszystkie moje dane i nie musi o nie pytać. Jeżeli jest to zwykły sprzedawca, który szuka klientów, to nie dzwoni z banku. W żadnym wypadku nie powinienem się zgadzać na podawanie wrażliwych danych, takich jak np. numer PESEL, nazwisko panieńskie matki, numer rachunku, numer karty czy kod PIN" – tłumaczy Kaszubski.
W ostatnich tygodniach doszło do wyłudzeń informacji osobistych od klientów Banku Zachodniego WBK. W poniedziałek 24 marca na skrzynki mailowe tysięcy internautów z Polski trafiły fałszywe wiadomości z linkiem do formularza, na którym, pod pozorem aktywacji konta, proszono o podanie numerów kart płatniczych, dat ich ważności i numerów PIN, czyli danych, o podanie których bank nigdy klientów nie prosi. Fałszywe formularze wypełniło 180 klientów BZWBK. Był to klasyczny przypadek phishingu, czyli przestępstwa internetowego polegającego na wyłudzaniu danych, dzięki którymi można uzyskać dostęp do pieniędzy innych osób.
Więcej na ten temat w "Rzeczpospolitej".