Mai ții minte campaniile alea de mail pe care le fac toate băncile, să nu dai informații personale nimănui la telefon? E genul ăla de acțiune la mișto pe care băncile o fac ca să o bifeze, dar n-o înțeleg nici să le pici cu ceară.
Studiu de caz, Unicredit și logica lor inexistentă.
Primesc azi dimineață un mail aparent de tip KYC (know your customer). Nu e nici primul, nici ultimul, dar ăsta îmi activează spidey sense-ul.
Cum adică ”împuternicitul pe conturile tale”? Că nu există așa ceva.
Primul lucru, pun mâna pe telefon și sun la Unicredit.
– Bună ziua, ce e cu mailul ăsta? Le citesc faza cu ”împuternicitul”.
– Stați să verific. Da, avem actul dumneavoastră de identitate, expiră în 2032. Și nu aveți niciun împuternicit pe cont.
– Și atunci de ce primesc mailuri din astea?
– Nu știu, dați reply la mail și întrebați. E alt departament.
– Dar dumneavoastră nu…?
– Nu.
Așa că dau reply la mail. ”Bună ziua, de ce primesc mailul ăsta?”
Câteva ore mai târziu sună telefonul. Pe ecran scrie Unicredit, dar nici eu nu m-am născut chiar ieri.
– Bună ziua, de la Unicredit. În legătură cu mailul dumneavoastră.
– Da.
– Este un mail de actualizare a datelor.
– De ce? Seamănă mai mult cu un exemplu tipic de phishing. Și de ce se spune acolo de împuterniciți? Am sunat mai devreme în centrală, mi s-a spus că aveți datele mele la zi și că nu există împuterniciți.
– Da.
– Nu vreau să mai primesc astfel de mailuri.
– Bine, trebuie să parcurgem procesul de identificare.
– Glumiți. Îmi cereți să dau datele mele de identificare unui apel telefonic care ar putea foarte bine să fie cu identitate spoofată?
– Păi altfel n-avem cum să vă dezabonăm.
– Exclus. Vreau să fiu contactat de cineva de la cyber security sau cyber fraud, cineva care să înțeleagă că aveți o procedură profund viciată și ilogică. Contrară bunelor practici de securitate digitală.
– Trebuie să vă identificați.
– Exclus, am de făcut o reclamație care ține fix de riscul de phishing, nu o să vă dau datele mele de identificare pentru asta. Ajunge că ați sunat pe numărul de telefon al titularului, dacă sunteți banca. Departamentul de cyber security poate prelua această solicitare.
– Nu.
– Și ce propuneți?
– Să mergeți într-o sucursală.
– Să merg EU FIZIC într-o sucursală pentru a semnala un VICIU DEPROCEDURĂ ȘI DE SECURITATE al băncii?
– Da.
– Mulțumesc pentru nimic, sunteți mai mult decât incompetenți.
Acuma, nu știu cum sunteți voi, dar eu sunt foarte precaut de la natură. Știu că lumea e plină de oameni extrem de ingenioși și extrem de pricepuți în a extrage de la naivi informații și bani în moduri care mie nici nu-mi trec prin minte. Te invit doar să cauți pe google ”spoof caller ID”. Heck, dacă ți-e lene, uite aici un link – https://www.google.com/search?q=spoof+caller+id
Am însă pretenția minimă ca banca mea să nu fie în disonanță cognitivă totală și să fie conștientă CUM ARATĂ ȘI CUM FUNCȚIONEAZĂ o operațiune de phishing. Și să nu facă FIX ASTA cu clienții lor.
Dar aparent trebuie să-i educ eu în privința acestor aspecte. Oh well, new year, same old me…