זיהוי קולי במערכת בנקאית. כיצד לא לעשות זאת.

לאחרונה עברתי בנק. לא נורא. קצת בירוקרטיה, אבל אפשרי וכדאי אם עושים סקר שוק ומשיגים תנאים טובים.

עוד לפני זה, היה לי צורך חד-פעמי להעברה דחופה של סכום כסף גדול למדי שמקורו בשיק של צד ג', אל חשבון העו"ש ומיד ממנו החוצה לצורך תשלום כלשהו, באותו היום, בשיק בנקאי.
פעולה רגישה ובעלת סיכון לבנק שלי, שנאלצה להתבצע במהירות בלתי-עו"שית בעליל, לבטח לגבי לקוח רגיל למדי כמוני.

דבר אחד שחזר בשני התהליכים משך תשומת הלב האבטחתית שלי – נוהל ההזדהות הטלפונית בין שני סניפי בנקים (בנקים שונים! לא שני סניפים שונים של אותו בנק).

אתם יודעים איך פקיד בנק מזהה את פקיד הבנק האחר בטלפון? גם אם הפקיד בבנק האחר הוא זה שהתקשר אליו?
הוא מבקש ממנו להשמיע לו את ג'ינגל (תזמיר בעברית צחה. הלוגו המוזיקלי/צלילי של החברה) הבנק שלו ממערכת ההמתנה הטלפונית של סניף הבנק האחר…
וזהו. מבחינת הפקיד בבנק שלי (ומתוך הנחה שהוא מכיר את הג'ינגל העדכני של הבנק האחר…) הוא כעת מדבר עם הפקיד רשמי בבנק האחר, שיכול כעת להעביר לו איזה מידע שהוא רוצה.

כמה קשה זה יכול להיות להשיג את הג'ינגל של כל בנק בישראל (פשוט להתקשר ולהקליט ממערכת ההמתנה) ולהשמיע אותו מחדש במסגרת "עוקץ" שרוצים לעשות לבנק?
אפשר כמובן לגבות את הסיכומים שהושגו בטלפון במשלוח פקס, שגם אותו מן הסתם לא נורא קשה לזייף.

סתם דוגמא מעניינת לנוהל בנקאי דה-פקטו (שמי יודע אם הוא בכלל רשמי ו/או ידוע להנהלות הבנקים), שהוא לגמרי עניין או"שי (ארגון ושיטות) ובלתי ממוחשב בעליל, אבל לגמרי חושף את הבנקים לסיכונים שהם אולי לא גדולים אבל לבטח מיותרים.

גרועחלשבסדרטובמצוין (איש לא דירג תוכן זה עדיין. היו אתם הראשונים!)
Loading...

Share via emailShare on Tumblr Share

3 תגובות בנושא “זיהוי קולי במערכת בנקאית. כיצד לא לעשות זאת.

  1. עלוב ביותר, הייתי אומר שעיקר הזיהוי הוא בזה ש"נו ברור שזה פקיד בנק, הרי הוא אמר את זה"…

    אגב, אני עכשיו בפולין במסגרת עבודה לבחינת מערכות זיהוי מתקדמות לבנק מקומי, והסיפור הזה מלמד אותי עד כמה הבנקים בישראל מפגרים אחרי כל העולם. גם הבנקים העלובים ביותר בפולין מיישמים שיטות מתקדמות יותר מאשר אצלנו.

  2. אחלה סימולציה לתקיפה

    זה מדהים איך שהבנקים שפועלים לאבטחת מידע בצורות מגוונות מפספסים את הדברים הקטנים והפשוטים.

  3. זו בדיוק דוגמא למקרה שבו אין לאבט"מ ממוחשב שום נגיעה ושום יכולת לעלות על דבר כזה.
    חשוב שנכיר שאבט"מ לא מתחיל ונגמר במחשבים ותקשורת, אלא גם בנהלים ואנשים, ומכאן החשיבות של סקרי סיכונים יותר תפעוליים ואו"שיים.
    אולי אף שווה להתחיל לחשוב על בדיקות חוסן כאלו, שילוב של הדמיית אירועי "עוקץ" קלאסיים (מטרם עידן התקשוב) עם העקרונות של בדיקות החוסן של ימינו.

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *