最好的方法是让客户通过他们卡上的号码、他们的声明上、您的网站上的号码轻松到达正确的地方；此外，使银行部门不可能有银行网站上未列出的号码。

您可以通过参考号码、密码字来执行此操作（例如，“请用您卡上的号码给我们回电，并在我们的消息开始后立即说“欺诈”。”）您需要确保当客户以这种方式调用，他们会到达正确的地方。

您还需要培训客户服务代表以尊重客户回电的选择。很多时候，企业社会责任会贬低或削弱回电话的愿望。他们可能会暗示来电显示是值得信赖的，甚至难以欺骗。它不是。

当我在微软时，我们研究了这种模式，在这种模式下，组织的行为与欺诈者相同，导致人们无法形成安全行为模型。我们将这种模式称为“骗局”，以模仿骗局。

您还可以使用其他工具，包括生物识别语音身份验证，提出不会让回答者面临身份盗窃的问题，例如最近交易的知识，这样银行的电话就不会那么令人担忧了。（请注意，如果最近有少量交易，那么打电话的骗子可以得到这些，然后向银行进行身份验证。）

调用者进行身份验证的一些方法：

• 通过一个官方电话号码路由所有拨出电话
• 通过公开一个共享的秘密来介绍自己（有点像QubesOS 的反邪恶女仆）
• 分发一个专用的智能手机应用程序来验证他们的号码
• 与TrueCaller等应用程序联络，以等效于扩展验证证书来验证注册商标

随着更多想法的出现，此列表将更新。

您几乎拥有回答自己问题所需的一切。不幸的是，这也不是一个新问题。这是 2012 年 BBC 的一篇文章，描述了您的确切问题、疑问和疑虑：

http://www.bbc.com/news/uk-19677434

这篇文章反映了您的许多相同想法，并且在字里行间隐藏了相同的结论：打电话给您并要求您验证身份的人完全在做事。它绝对训练人们养成习惯（我的银行说他们打电话 - 让我泄露我的信息），使他们在未来更容易受到诈骗者的攻击，这是一种糟糕的经商方式。同样，在 BBC 文章中，您可以清楚地了解银行为什么这样做：这是一种更快、更经济有效的方式来吸引客户并尽早阻止潜在的欺诈行为。从表面上看，这听起来是件好事。但是，正如您所指出的，从长远来看，它绝对会培养人们养成错误的习惯，从而可能增加欺诈行为。

这一切都归结为一个不幸的事实：仅仅因为银行处理我们的钱并不意味着他们实际上擅长安全或了解他们所做的更广泛的后果。从许多银行在密码方面仍然存在的严重失误中，这一事实非常明显，从任何数量的新闻报道中都可以看出（这些来自 2016 年）：

1. https://threatpost.com/weak-bank-password-policies-leave-350-million-vulnerable-say-researchers/116574/
2. 我银行的密码政策错误
3. https://www.securitymagazine.com/articles/86965-research-finds-bank-password-policies-often-weak

我想你已经明白了，你不能只是假设这些人真的知道他们在做什么。那么他们应该怎么做呢？最终，像这样的复杂问题只能通过多方面的方法来解决。

1. 使用官方应用程序并通过它通知客户。这实际上是快速响应的最佳选择。不幸的是，可能有大量客户永远不会安装银行应用程序，这意味着这不是唯一的答案。当然，您还必须确保您的应用生态系统非常安全：否则您只会为黑客创造新的攻击途径。此外，您必须格外警惕被盗手机成为欺诈来源的潜在危险。
2. 用自动信息给人们打电话，并要求他们用卡片背面的号码给你回电，这可能是最有效的全方位选择。它将接触到大多数人，并使他们养成与您联系的最安全方法的习惯。我会让自动消息说“请不要将个人信息透露给意外来电的人：如果您有任何问题，请始终拨打卡背面的号码”。正如您所说，这可以使人们得到适当的培训。但是，有些人可能会忽略该消息（我有时会忽略我不认识的电话号码，而且我也没有打开语音信箱）。
3. 文本警报是让客户知道存在问题的另一种好方法。同样的事情：“我们发现了可疑活动，请拨打您卡背面以 1234 结尾的号码”。
4. 上述所有选项仍然留下客户可能无法快速返回银行的漏洞。这是银行最关心的问题，也是为什么一些银行（例如 BBC 文章中的银行）认为需要以不安全的方式发送自动呼叫（即在他们给您打电话后要求您验证自己）。无法迅速解决的欺诈行为会花费银行更多的钱：有一段有限的时间，他们可以在汇款之前取消交易，如果一张卡被盗，他们越快取消，他们的欺诈行为就越少来处理。因此，银行需要采取行动，而且越早越好。因此，如果怀疑存在欺诈行为并且没有收到客户的快速响应，银行最好的选择是冻结卡的最后一步。这种情况我已经发生过很多次了：我的卡因为涉嫌欺诈而被冻结，这迫使我打电话给银行，然后一切都得到了解决。这也是您必须明智地使用的选项。如果您无缘无故地冻结他们的卡并要求他们打电话给您解冻，人们会感到恼火。

同样，这些并不是相互竞争的选择：银行最好的选择是以几种不同的方式立即与客户联系，并通过安全的渠道（即安全的应用程序或直接致电银行）建立通信。然后，您可以让他们放心地验证自己，并且您已经教给他们正确的安全最佳实践。这也不是特别难做，或设置昂贵。不幸的是，我怀疑很多银行都是这样运作的。

但是关于 ...

这值得一提。我给出的答案非常直接和简单，基本上就是：通过电话/应用程序联系客户，让他们给你打电话，然后理顺。这是一个如此简单的答案，几乎是愚蠢的。我们可以提出更多的选择。银行如何通过一些预先共享的秘密来验证自己？使用某种 OTP 方案怎么样？那么某种形式的预共享私钥加密方案呢？（最后一个实际上是胡言乱语）。人们可能会想出很多想法，让银行向客户验证自己，以使流程顺利进行，而不是强迫客户给银行回电话。然而，所有这些的根本问题在于，它依赖于客户能够理解和遵循任何成功的方法。那永远不会发生。

我们知道它永远不会发生的原因是因为即使是最简单的建议也很难让人们遵循：“不要向不请自来的来电者提供个人信息！直接打电话给你的银行”或更笼统地说“不要在多个网站上重复使用您的密码！”。银行的安全性并不差，因为银行很烂：它们的安全性很差，因为我们的安全性很差。银行的选择受限于他们实际上可以让客户做什么，这并不一定。

我认为组织没有任何好的方法可以通过电话验证自己。

主要原因是消费者不熟悉验证的工作原理，如果消费者希望对方验证自己（家庭住址、信用卡的前 4 位数字等），很容易被提供一些容易获得的信息所欺骗. 即使你是一名安全研究人员，并且没有被这种更简单的社会工程形式所吸引，你又应该如何熟悉每家信用卡公司或银行的验证方案，以及它是否“好”？

这意味着银行和信用卡公司永远不应联系消费者并询问任何个人详细信息。欺诈行为由来已久，银行和信用卡公司多年来一直在处理它，而没有打电话给消费者。

换句话说，阻止交易，让消费者打电话给你，而不是反过来。

或者，在怀疑并阻止欺诈性收费时发送短信/电子邮件。但即便如此，欺诈者也有可能开始模仿这种行为，并让消费者通过短信中的假电话号码与他们联系。