Tuesday, July 18, 2006

how safe are phone banking systems?

halos lahat ng bangko ngayon hindi lang sa pilipinas kundi sa buong mundo ay meron nang tinatawag na phone banking system. isang sistema kung saan lahat ng pwede mong gawing transaksyon sa harap ng isang bank teller, pwede mo nang gawin sa pamamagitan ng telepono. pwede kang magcheck ng account balance, magbayad ng bills, magcharity donation, magtransfer ng pera at kung ano-ano pa sa pamamagitan ng telepono.

sa nakaraang tatlong taon ng aking pagtatrabaho, nagugol ang isang taon ko sa paggawa ng isang phone banking application sa kuwait. halos isang taon yung project bago natapos ang lahat, sa dami kasi ng dapat ayusin at mga dapat pagtagni-tagniing mga serbisyo sa telepono, umabot ng ganoon katagal. awa naman ng Dyos ay natapos din at naging matagumpay yung launching. i checked their website at hanggang ngayon, yun pa ring system na ginawa ko ang ginagamit nila. see it here. ito ang ebidensya na ako ang gumawa nyan. makikita nyo dyan ang lahat ng services na pwedeng gawin sa telepono ng isang kliyente ng bangkong iyon. ang galing, di ba? ang galing ko, di ba? hehehe. it's not a one-man team naman, it's a team effort naman, around 80% lang ng codes dyan ang sa akin. yung 20%, yung bangladeshing programmer na tinuruan ko ang gumawa.

ok, tuloy ako. so, ano ngayon? tama na ang intro. well, i just mention those things to establish a fact na meron akong say sa mga susunod kong sasabihin. alam ko kung ano ang pasikot-sikot ng isang phone banking system, kung ano ang nangyayari sa umpisa ng call hanggang sa mag-hang-up yung caller.

last week ko lang naman ito narealize. the phone banking system which most banks boast as a fast, reliable, convenient and safe way to access your account are not safe at all. may butas po ang system, kaya mula ngayon, i will not risk myself transacting over the phone. fast, reliable, convenient, totoo yan. pero safe??? i don't think so. why?

ganito kasi yun. yung safety na tinutukoy nila is based on the account number and PIN code combination na kailangan mo munang iencode, or idial once the system asked for it. once validated, saka mo pa lang magagawa yung mga transaction, hindi ba? so, safe sya, kasi, may validation process.

so, paano ko nasabing hindi sya safe? unlike the internet banking or ATM banking transaction na encrypted yung username and password once you logged in to the system, sa phone banking po ay hindi. sa internet, after you click the login button, the system will encrypt the combination, transfer the data thru a secure connection, tapos, saka mo pa lang pwede iaccess ang account mo once everything is validated, right? same as with the ATM machine.

pero sa phone banking? walang encryption technology from the phone to the phone banking system. kapag idinial mo na yung account number and pin mo, it is transmitted as it is. kaya kung may nagwiretap ng telephone line mo at na-irecord yung pag-access mo sa phonebanking, they can easily decode the digits that you dialled as your account number and PIN! paano nila madedecode? hello! it's a touch tone phone, bawat digit ay may equivalent na tone frequency. so, kapag nakuha nila yung frequency ng bawat digit na dinial mo, ang dali na nun para iconvert as a digit. at kapag nadecode na yan, hala! pwede nang magtransact yung hacker over the phone!

imposible bang mangyari? o come on, yung presidente nga, nawiretap, tayo pa kayang mga ordinaryong tao?? imagine, cellphone, nawiretap nila, e di lalo na yung mga landline. mas madaling iwiretap yun. at kung mawiretap yung landline mo at nataon na nag-aaccess ka ng phone banking, hala, lagot! see, you are just using an ordinary phone transmitting touch tones to the phone banking server, hindi sya encrypted kaya madali yang mahack. well, wala pa naman akong alam na kaso ng ganyang pangyayari, but do we need to wait na mangyari yun before we do some precautionary measures? so, ang payo ko, huwag na muna kayo mag phone banking unless you are 100% sure na hindi nakawiretap yung phone line na gamit mo. or unless magkaroon ng bagong technology that will encrypt the touch tones you dialled, tapos, yung phone banking system ang magdedecrypt. kung magkakaroon ng ganoon, syempre, you will need a special phone, or additional gadget na ikakabit sa phone mo para iencrypt yung mga tones, di ba? sa ngayon, meron na ba? wala pa. so, right now, when you access your account via phone, you are sending your account number and phone banking pin to all the possible wire tappers out there. so ingat na lang po!

yun lang!

6 comments:

pao said...

oh, ako una. :)

yup, i agree that phonebanking system is not a secure method of transacting your financial matters. i still prefer transacting over-the-counter (pero nakaka-ubos ng oras) or thru atm, kasi, meron kang hard copy proof of the transaction that you made.

sa phone banking, wala.

i pay all my credit card & utility bills via atm for several years now. very fast & convenient. ;)

Anonymous said...

naniniwala ako hindi ligtas ang phone banking! lalo na may katulad ni kukute na nagsasaayos nito!

kukote said...

@pao... oo nga, isa pa nga yun. walang hard copy proof.

@anonymous... hahaha! kahit naman sinong maghawak nun, kung walang encryption technology para maencrypt yung touch tones, madaling mahahack yung account ng mga wiretappers.

haze said...

Sometimes technology is great and helpful but there are some new invention or system that make us a lazy people di ba! Agree ...o paano bakasyon muna kami ha...10 days akong absent sa blogsphere sa bundok kami eh wala computer :-)

Ka Uro said...

napa-isip tuloy ako. buti na lang di ko na ginagamit ang phone sa pag-access ng bank accounts ko.

Des said...

naku, madalas ko pa naman i-access yung account namin over the phone. calling the bank itself o kaya yung automated system. hmn, napag-isip mo ako dito ah. ayoko na nga...magpupunta na lang ako lagi sa banko.

thanks for the info!