¿Qué podría lograr potencialmente una parte maliciosa al tener *solo* un nombre, un número de cuenta y un código de clasificación?

Parece que hay muchos puntos en conflicto sobre este tema, sobre todo esta historia publicada en el Daily Mail no hace mucho tiempo , así que le pido a la buena comunidad de stackexchange que arroje (investigó) luz sobre el tema:

Mi modelo mental del combo nombre/número de cuenta/código de clasificación era el de la clave pública: permite a las personas enviarme (pero no recibir, ni autorizar ninguna otra operación) dinero con ella. Sin embargo, lo anterior y muchas referencias en la red parecen implicar también débito directo y retiro de dinero a través de cheques.

Preguntas:

  • ¿Es seguro, por ej. publicar estos detalles en Internet pública?

  • De no ser así, ¿qué riesgos potenciales podría plantear?

¡Muchas gracias de antemano!

Editar: como dice la etiqueta, la pregunta se refiere específicamente al Reino Unido y se supone que los tokens de seguridad (contraseña, autenticación de 2 factores, etc.) NO están comprometidos (la dirección postal sí lo está).

Busca tu nombre en Google y mira lo que obtienes. En el momento en que obtenga su fecha de nacimiento y su dirección (de Google), puedo usar la cuenta y el código de clasificación para obtener todo su dinero. Es tan simple. El débito directo solo necesita su nombre y el banco SC y el número de cuenta. Así que es fácil configurarlo. Pero usted tiene la seguridad de que el dinero será devuelto si hay pruebas de algo ilegal.
DumbCoder, ¿podría aclarar si se podría y cómo se configuraría un débito directo con solo esta información disponible?
¿Ha configurado alguna vez una domiciliación bancaria en el Reino Unido? Si es así, entonces deberías saberlo.
No, quiero decir, ¿cómo una organización diferente configuraría un débito directo para ellos, utilizando solo la información de mi cuenta?

Respuestas (3)

Creo que la respuesta a esto debe diferir de un país a otro. He vivido en varios países donde la forma cotidiana normal de realizar un pago es indicar a mi banco que transfiera el dinero a la cuenta del destinatario. Por supuesto, esto significa que debo saber su nombre, SC y número de cuenta, pero esta es una parte aceptada del sistema; las empresas muestran habitualmente esa información en las facturas y la correspondencia. Simplemente no se considera confidencial.

El comentario de DumbCoder sugiere que si tiene esa información, puede tomar dinero de mi cuenta sin mi permiso; en otras palabras, mi banco pagará dinero de mi cuenta a pedido de otra persona , sin mi autorización. ¿Es esto correcto? ¿En qué país o países puede suceder esto?

(Debo ir allí rápidamente y comenzar a robar el dinero de la gente).

Puede suceder muy fácilmente en los EE. UU., por ejemplo. Como muestra el OP, también en el Reino Unido. Vea este famoso ejemplo de EE. UU.: en.wikipedia.org/wiki/Knuth_reward_check
Estoy citando el caso en el Reino Unido. Puedo acceder a mi banca telefónica en base a esta información, algunos bancos han introducido una palabra secreta. Pero no le tomará mucho tiempo a un ladrón ingenioso descubrir la palabra secreta con la plétora de información disponible en línea sobre uno mismo, hoy en día. No asumas que también estás a salvo en tu país, seas de donde seas.
Como dice la pregunta editada: esto es específicamente para el Reino Unido y sin contraseñas comprometidas.
Admito que cuando escribí mi respuesta, no se me había ocurrido que ningún banco aceptaría una instrucción de pago de un cliente sin una firma en papel o una contraseña en línea. Todavía tengo dudas sobre si eso puede suceder; No guardaría mi dinero en un banco que lo permitiera.

Cuando desea pagar una factura en línea, hay varias formas de hacerlo.

  • Puede proporcionarles los datos de su tarjeta de crédito: nombre en la tarjeta, código postal, número de tarjeta de crédito y código de seguridad de 3 o 4 dígitos en el reverso. La mayor parte de la información está disponible en la tarjeta o mediante una sencilla búsqueda en Google. Si el ladrón tiene su tarjeta, puede usarla para comprar algo.

  • Puede comunicarse con el sitio web de su banco y establecer una transferencia única o recurrente. Usted proporciona la información sobre la persona/empresa. Tu banco sabe quién eres porque utilizaste un sistema seguro y tu contraseña. Su banco acepta el dinero porque quién rechazaría el dinero, no les importa quién eres.

  • Puede proporcionar a la empresa su información bancaria (número de banco, su número de cuenta y su nombre). Si su banco limita sus transacciones a través de este método solo a organizaciones legítimas, su dinero solo se enviará a organizaciones legítimas. Pero si la organización no tiene forma de saber quién está al otro lado del teléfono o de la página web, es posible que estén retirando dinero de una cuenta bancaria sin el permiso del propietario de la cuenta.

En el artículo de ejemplo, una persona encontró una organización benéfica que tenía estándares de seguridad poco estrictos, el banco la reconoció como una organización legítima, por lo que el banco transfirió el dinero. La organización benéfica señalará el formulario y dirá que tenía el permiso del propietario, pero en realidad no fue así.

El tema del artículo era correcto, toda la información requerida está en cada cheque. Es solo que la mayoría de las personas son honestas, y los pocos obstáculos de seguridad que existen detienen la mayor parte del fraude.

No estoy de acuerdo con la respuesta de Dumbcoder.

Los bancos no aprueban fácilmente la creación de un DD, ya que debe demostrar un flujo de efectivo comercial existente.

Y en segundo lugar, no puede vaciar la cuenta de alguien a través de DD, ya que están protegidos por el mandato DD. (El dinero sale, se presenta una queja, el dinero vuelve a entrar, el negocio registrado con la instalación de DD tiene que dar algunas explicaciones serias al banco y a la FCA).

Dumbcoder es probable que trabajes en una posición intermedia de una empresa.

¿Qué podría lograr potencialmente una parte maliciosa al tener *solo* un nombre, un número de cuenta y un código de clasificación?
RespuestasAquíPolítica de privacidad1y, 1v