Hlavní navigace

Vodafone používá nebezpečné praktiky. Nebo je to snad phishing po telefonu?

17. 4. 2009 8:55 (aktualizováno) Martin Hassman

Včera mi telefonoval pán z Vodafone. Tedy aspoň se představil jako pán z Vodafone. Zda z Vodafone skutečně byl, to nevím, já viděl jen mně neznámé telefonní číslo.

Nabízel mi optimalizaci mých telefonních nákladů. Obvykle takové hovory odmítám, ale měl jsem zrovna pár minut, tak jsem mu chtěl dát šanci. Jakmile mi vysvětlil, co pro mě může udělat, požádal mě o mé heslo pro spojení s operátorem.

„Jaké heslo?“ podivil jsem se. A hned mi bylo vysvětleno, že se jedná o stejné heslo, které zadávám při přihlášení do internetové samoobsluhy. To jsem se zarazil. Odmítl jsem heslo nahlásit s tím, že své heslo přeci nebudu předávat neznámé osobě (navíc, nebyl jsem si jistý, zda dotyčný člověk byl skutečně pracovník Vodafone nebo nějaký podvodník).

Člověk na druhém konci mě ovšem ujistil, že mé heslo potřebuje, protože si musí ověřit, že jsem ta osoba, které volá. Nezbylo mi, než se s ním rozloučit, a hovor jsem ukončil.

Všichni, kdo máte aspoň malý přehled o bezpečnosti v elektronickém světě, tušíte, kde byl problém. Onen pán si mě chtěl autentizovat, ovšem udělal dvě chyby:

  • nijak neprokázal svou identitu (mohl to být jak zaměstnanec Vodafone, tak podvodník)
  • k prokázání mé identity chtěl mé heslo, které mám znát jen já a navíc se používá k přístupu na internetovou samoobsluhu (takový údaj nesmíte dát z ruky)

Jistě se vám vybaví slůvko phishing.

Zkušenosti odjinud

Možná si pamatujete na opakované aféry s phishingem České spořitelny, na které se řada lidí nechala nachytat a málem přišla o své peníze. Ty začínaly podobným trikem. Uživatelé byly e-mailem vyzváni ke sdělení hesla stránce, která se tvářila jako stránka České spořitelny. (V našem případě jsou uživatelé telefonem vyzýváni ke sdělení hesla osobě, která možná je, ale možná se jen tváří jako zaměstnanec Vodafone. Scénář pro phishing jak jej známe, jen po telefonu.)

Česká spořitelna proto celkem rozumně ve svých pravidlech zákazníkům píše:

Nikdy nesdělujte Vaše klientské číslo a heslo při ústní a telefonické komunikaci a neuvádějte jej v písemné komunikaci (dopis; e-mail). Heslo je jen Vaše a v zájmu bezpečnosti jej nesmí znát nikdo jiný: ani kolegové v práci či rodinní příslušníci. Heslo nesdělujte ani operátorovi podpory služby SERVIS 24 Internetbanking.

Pokud by se všichni uživatelé chovali, jak ČS doporučuje, hned by ubylo bezpečnostních incidentů.

Špatný Vodafone nebo oběť podvodníka?

Přiznávám, že teď nevím, na čem jsem. Byl ten člověk, co mi telefonoval, opravdu z Vodafone, jak tvrdil? (Zkusím to zjistit u tiskového mluvčího, třeba odpoví.)

Buď je totiž Vodafone tak špatný, že zmíněná bezpečnostní pravidla nedodržuje (čímž ať již vědomě nebo nevědomě učí uživatele špatným – pro ně samotné velmi rizikovým – návykům) nebo tu máme novinku: Vodafone phishing, tedy podvodníka, který volá zákazníkům Vodafone, zjišťuje jejich hesla a pak je (nejspíš) zneužívá ve svůj prospěch.

Navíc v případě, že by žádný podvodník neexistoval a jednalo se čistě o problém Vodafone, bylo by jen otázkou, kdy by se takový podvodník objevil, protože chování Vodafone by k tomu přímo nahrávalo. (Pokud by se kdokoliv znenadání rozhodl volat zákazníkům Vodafonu a vyžadovat od nich jejich hesla, myslíte, že by neuspěl, pokud by Vodafone takovému chování sám své klienty učil?)

Pokud zjistím víc, dám vědět.

Sdílet