Halo, tu (nie)bezpieczeństwo – poważny problem zdalnej obsługi klienta

Tyle mówi się o bezpieczeństwie cyfrowym. Mnogość zapewnień, że „nasza wspaniała firma w glorii i chwale wprowadza takie cudne zabezpieczenia”. A potem przychodzi podstawowy kontakt z klientem i okazuje się, że wszelkie deklaracje tego typu można umieścić tam, gdzie zwykle lądują obietnice wyborcze, papierowe gazetki znalezione w skrzynce pocztowej oraz wszystko to, co już do spożycia się nie nadaje. 

Dzwoni telefon. Numer identyfikuje się jako Biuro Obsługi Klienta. Odbieram. Godzina 12:30, czyli idealny moment na „szybką” rozmowę z obsługą klienta, prawda? Na szczęście moja praca pozwala mi na tę elastyczność. Pan uprzejmy, głos pewny siebie, informuje, że umowa się wkrótce kończy (czyt. za 3 miesiące), więc chciałby zaproponować nową, oczywiście lepszą. „Z tą rzekomą wyższością oferty to się jeszcze przekonamy” – myślę sobie, ale uznaję, że chociaż wysłucham, co jeden z czterech operatorów ma mi do zaproponowania. Zwłaszcza, że ogólnie z usług tego operatora jestem nawet zadowolony.

„Tak, chętnie wysłucham tej propozycji” – odpowiadam. Jak się okazuje za chwilę, nie ma to wielkiego znaczenia

Zanim jednak usłyszę, co nowego i wspaniałego przygotowano specjalnie dla mnie (i kilku milionów innych użytkowników), trzeba się… zweryfikować. Logiczne, przecież bezpieczeństwo to podstawa. Wprawdzie to operator dzwoni do mnie, nie ja do niego. Ale rozumiem. Korporacyjny ochraniacz formalny. Oczywiście, rozmowa jest nagrywana, ale to za mało.

„Proszę podać hasło do konta użytkownika” – słyszę.

Trochę niedowierzam. Sygnał ostrzegawczy. Czerwona lampka. Podawanie hasła przez telefon, nawet do aplikacji operatora telefonii komórkowej jest, przynajmniej trochę, niepokojące. Oczywiście, nie mam zamiaru tego zrobić. To w końcu operator dzwoni do mnie. Mi chce sprzedać, zapewne droższą niż obecna, umowę. Odmawiam więc podania hasła, informując, że to nie jest bezpieczne, a podawanie jakichkolwiek haseł przez telefon to poważne naruszenie bezpieczeństwa.

Konsultant nie traci rezonu i odpowiada. W jednym zdaniu samemu sobie zaprzeczając: „Rozumiem, to proszę podać PESEL.” PESEL. Serio? Bo jeśli nie chcesz podać hasła, to może chociaż klucz do wszystkich twoich danych osobowych, kredytów i przyszłych kłopotów? A może jeszcze numer dowodu, imiona rodziców i hasło do konta bankowego? Ewidentnie albo mam do czynienia z mało lotnym konsultantem, albo oszustem, albo, co bardziej prawdopodobne, koszmarnie zaprojektowaną procedurą i skryptem rozmowy.

Odmawiam. Stanowczo, bardziej niż wcześniej, informując, dlaczego to nawet nie stało w bezpośrednim sąsiedztwie dobrego pomysłu. W odpowiedzi dowiaduję się, że to bezpieczne, bo, uwaga, rozmowa jest nagrywana. Naprawdę. Ktoś przez telefon mówi mi, że po jego stronie rozmowa jest nagrywana i ja dzięki temu mam się czuć bezpiecznie. Fajnie. Wyrażam swoją opinię na ten temat. Zakładam, że zaraz rozmowa się zakończy. Trudno – po ofertę operatora i tak udam się albo na jego stronę, albo do salonu. Przynajmniej ów młody człowiek próbował. Trudno. Premii nie będzie.

A jednak rozmowa się nie kończy. Na moment pojawia się światełko w tunelu – „A aplikację naszą pan ma?” – i już wydaje się, że będzie jak w banku: wiadomość z kodem wewnątrz aplikacji, czy cokolwiek z trwającej dekady XXI wieku. Potwierdzam.

„To proszę podać do niej hasło.” – słyszę w odpowiedzi.

Kurtyna. Zasłonięta szczelnie. Owacja na stojąco dla absurdu. I jak tu się dziwić, że ludzie wpadają w sidła scammerów, skoro obsługa klienta proponuje dokładnie ten sam schemat działania, co oszuści? Podaj hasło. Podaj PESEL. Daj się okraść, ale z klasą, pod banderą renomowanej firmy. Pod takiego konsultanta może podszyć się każdy. Etykietę dla numeru (mi wyświetliło się „Biuro Obsługi Klienta”) może zafundować sobie każdy.

To nie tylko problem mojego operatora. To obraz większego chaosu, w którym bezpieczeństwo to często tylko buzzword, a procedury zostały napisane chyba na kolanie w 2005 roku i do dziś nikt ich nie zaktualizował. Jakby nikt nie słyszał o phishingu, o podszywaniu się pod konsultantów, o tym, że numer telefonu da się podrobić w kilka sekund. Nie trzeba być specjalistą od cyberbezpieczeństwa, żeby wiedzieć, że proszenie o hasło do konta – jakiegokolwiek – to absolutnie coś, czego robić nie wolno.

Przyznaję, że w całym tym absurdzie najbardziej zdenerwowało mnie chyba podejście do użytkownika. Skoro mówimy tyle o bezpieczeństwie, to może myślmy też o kliencie, a nie tylko o tym, czy bezpieczeństwo jest po stronie korporacji. To bardzo ładnie, drogi operatorze, że nagrywasz rozmowę dla WŁASNEGO bezpieczeństwa. To świetnie, że twoje centra danych, infrastruktura są bezpieczne. Jednak, dobrze by było, aby poza dbaniem o własny interes, jeden z czterech największych operatorów, pomagał także w wychowywaniu użytkowników na gruncie bezpieczeństwa. A jeśli już nie pomaga, to chociaż niech nie przeszkadza. Aktualne procedury wyrabiają w klientach zły nawyk i to jest coś, co należy koniecznie zakończyć.

Dwa zdania wyjaśnienia: 

Tak, ta historia jest prawdziwa. Celowo nie podaję nazwy operatora, ale jego biuro prasowe otrzymało link do tego tekstu. Mam nadzieję, że dzięki temu dojdzie do zmiany procedur. W informacji do operatora stwierdzam także, że procedura zrobiona jest tak, że kilka razy zastanawiałem się, czy to nie scam, który powinienem zgłosić w CERT.