Kapning av Bank ID.

Precis det som är felet, en digital signatur ska och bör inte vara jämställd med en skriftlig. Att vi accepterar det i lag är förkastligt!

Därför jag inte använder dessa tjänster.

En signatur oavset metod ska vara unik till individen inte metoden. Men det bevisar åter igen min poäng att lathet går före säkerhet och detta är oacceptabel.

Varför ska den inte vara jämställd med en skriftlig? Att förfalska en fysisk underskrift är alla gånger väldigt mycket enklare än förfalska en BankID signatur. Jag har lite svårt att skilja på vad av det du skriver är personliga åsikter och vad som är fakta.

Så du kan till 100% förfalska min signatur? Om inte så är den inte identisk därmed kan man se skillnad på min och förfalskningen.

Det handlar inte om åsikt utan om att ettor och nollor är identiska oavset, en underskrift är det inte.
Du ser inte ut som jag tex på säkerhetskameran.

Alla kan göra en underskrift, en som är identiskt, knappast.
Så om någon har en "åsikt" så är det väl du, knappast jag som håller mig till ren vetenskaplig fakta i hur världen fungerar.

Dags att leva i verkligheten kanske?

Installera truecaller på telefonen så ser man vem det är som verkligen ringer?

Nej, jag kan inte kopiera din signatur men förmodligen finns andra som kan göra det nog bra. Brott baserade på förfalskade fysiska signaturer är inte direkt någon nyhet.

Men hur gör du för att förfalska elektroniska BankID-signaturer?

Det är ju precis det som händer så varför ens fråga hur man gör?

Det är totalt ointressant att folk lyckas med förfalskade underskrifter, det viktiga är att det går att bevisa att det var en förfalskning.

Varför tror du bank id på fil slutade blir popis? Det är inte säkert med mjukvara certifikat, både certifikaten och koden kan finnas sparade på datorn i fråga.
Har du kod och certifikat så är ju saken biff.

Du kanske skulle läsa mitt första inlägg innan du talar om för mig vad du tror jag inte vet?
#17141244

Ja men som du säger själv, en signatur är inte identisk om den är handskriven, en digital är.
Jag vet hur jag skriver under, det står på mitt legg med, i mitt pass med så mycket enklare att fastställa trovärdighet den vägen i en brottsutredning är att jämföras identiska ettor och nollor, liksom problemet med digitala signaturer och varför dom ej borde enligt lag gälla som identifikation.

I slutändan handlar det om kostnader och digitala betal och id metoder är billigare för bankerna och företagen allt som oftast och säkrare för dom då dom slipper hantera kontanter tex, mindre personal etc.

Betyder inte att det nödvändigtvis är säkrare då folk fortfarande inte använder tjänsterna med vett eller förstår riskerna.

Nej, det är inte alls det som händer, du verkar missförstått hur BankID signaturer fungerar. Signaturen är äkta men framtvingad/framlurad.

Att BankID på fil slutade vara popis är för att det var på tok för mycket problem för folk att få det att fungera på ett bra sätt. Har själv suttit timmar i telefon genom åren med folk som var gråtfärdiga för att dom inte fått det att fungera och inte kunde komma åt sina pengar, och där vanliga Kundtjänsten inte kunnat hjälpa dom. Dessa problem har minskat betydligt sen så kallat "Mobilt BankID" infördes.

Precis. För egen del förfalskar jag i princip min egen fysiska signature varje gång jag använder den, helt enkelt för att jag likt många i min generation och efterföljande är för dålig på att använda en penna

Det kan utan problem användas som en fördel.

Att tex inte använda skrivstil gör att dom flesta förfalskningar kan genomskådas.

Men som sagt det ni båda missar totalt poängen.
Handtäcknigen är din och unik och du var där eller skrev under det du skickade in.

En digital signatur är en identisk kopia, helt annan femma att reda ut det.

Jag vet vad tråden handlar om, eller iaf borde handla om. Vet också att du vid ett par tillfällen påstått om att det handlar om förfalskade signaturer med BankID och påpekat att det inte stämmer. Du har också sagt att fysiska underskrifter skulle vara säkrare, vilket jag ställer mig frågande till och därför ber dig styrka detta.

Det du säger om mjuka certifikat stämmer inte. Oavsett om det rör sig om hårda eller mjuka certifikat så behöver man förutom certifikatet någon form av nyckel. Har du väl nyckeln så är det förmodligen lättare att stjäla någons hårda certifikat (t.ex. ett plastkort med det på) än att hacka sig in på någons dator för att sno ett mjukt certifikat. Däremot är det så klart svårare att på distans stjäla någons fysiska certifikat. Visst kan folk vara så dumma att dom sparar sin nyckel (kod) på datorn, men då kan dom lika väl skriva sin nyckel (kod) på sit smartcard så blir problematiken densamma.

Edit:
I det fall som tråden handlar om har nog däremot bovarna varit smartare än utvecklarna, å andra sidan måste de senare täppa till alla hål medan de förstnämnda bara behöver hitta ett

Du tycks utgå ifrån att förfalskning av fysiska signaturer endast sker genom att någon tränat på att skriva den på ett bra sätt. Genom många år i branscher som är attraktiva för bedragare så vet jag att så inte är fallet

Men kanske bättre att låta denna tråd handla om det problem som hänvisas till i artikeln än en allt mer teknisk diskussion där fakta och gissningar tycks blandas friskt.

Jo precis dit edit var ju det tråden handlade om.

Sedan privata nyckeln, är den knuten till en dosa/säkerhetsmjukvara som kräver ditt bankkort så blir det ju genast svårare för då räcker certifikatet inte. Det du syftade på eller?

Mycket i dag går ju dock ifrån dosor och det mesta finns som mjuka certifikat i din app och då fungerar ju social generering mycket bättre som bedrägeriet tråden handlar om.

Oavsett metod så är svaga länken ofta användaren vilket var min poäng från första början.

För att återgå till trådens faktiska ämne så kan jag absolut förstå att folk går på detta, även folk som inte normalt är så lättlurade. Har själv när jag byggt tjänster som använder sig av BankID reagerat på att förfrågningarna om autentisering/signering inte bara går till en viss enhet utan till alla, inte minst då detta ställt till en hel del problem vid testnigen. Samtidigt förstår jag problematiken i att det inte går för BankID att veta vilken enhet som är "rätt" när autentiseringen sker på en annan enhet än den som inloggningen sker på.

Tror tyvärr att detta kommer få stor spridning snabbt om det verkar fungera och att det inte finns något lätt sätt att åtgärda det, med annat än att införa krav på att autentisering måste ske på samma enhet som inloggningen/signeringen sker. Men då är man å andra sida tillbaks till alla de problem som var med BankID tidigare. Problematiken påminner väl mycket om den med kreditkort, där man vill att det ska vara så enkelt att använda så att folk också gör det, men då på köpet får problematiken med bedrägeri.

Ska bli intressant att följa utvecklingen av detta...

Var ju just "dumheter" jag varnade folk för. I en perfekt värld är det säkert ja.

Vid närmare eftertanke så är nog detta kanske inte så svårt att lösa ändå, genom att använda sig av någon tydligt form av transaktionsid som visas på skärmen där man försöker autentisera/signera. Där användaren uppmanas att vid inmatningen av nyckeln/koden/fingeravtrycker uppmanas att verifiera att denna är samma. Då ser man snabbt att det inte är samma transaktion det handlar om, idag ser man typ bara "Du försöker identifiera dig mot XXXXX" men kunden redan lurad så är det precis vad dom väntar sig och som skapar den trygghet som bedragarna utnyttjar.

Denna transaktionsid finns eg redan idag i den Request/Response som används men är inte riktigt i ett användarvänligt format och används mest på teknisk nivå. Var dock ett tag sen jag senaste läste specen kring signalieringen för BankID ska erkännas så kan minnas fel här. Skulle iof vara rätt kul att slänga upp ett GUID på båda ställena och sen be kunden jämföra om det är samma, då framstår tom Transportstyrelsens idiotiska OCR nummer som en välsignelse i jämförelse

Fan vad gött, då kan,jag säga att alla avtal jag skrivit under är förfalskningar. De ev. Vittnen som finns kommer ändå inte ihåg om det nu är 100% säkert.

Detta då min signatur skiftar lite mellan varje gång jag skriver under, det skulle inte ta många försök att förfalska den heller, är nästan bara ett lätt vågigt streck.

Varför springer bedragarna inte in på banken med falska ID och underskrifter då istället och tar dina pengar? Eller kanske för att dom inte vill hamna på film, inte vill ha sin flaska underskrift som bevis mot dom vid ett åtal?

Men jag antar att när någon knappar in dit stulna Visa kort så vet du precis vem fan som gjorde köpet?

En elektronisk signatur som är identisk hur skiljer du förövare och offer åt där i en tvist?

Behövs inte då det vad jag vet inte finns några kända fall där någon lyckats förfalska en digital signature (av den typ vi pratar om här). Fysiska signaturer är däremot klart lättare att förfalska och där lär det finnas hur många fall som helst.

(Sen finns det den del juridiska problem med att bevisa digitala signaturer men det är långt bortom denna diskussion)

Jadu, på banken krävs i regel ett ID-kort för det första.

Om någon knappar in mitt stula visakort så har jag förhoppningsvis märkt att det är borta, är det scimmat så registreras en IP-adress och kan jag bevisa att jag inte var där så, t.ex. att det är ett annat land så är det rätt simpelt att bevisa.

Skulle det vara så att någon scimmar flera kort och gör överföringar till samma konto eller flera köp till sin adress så får man hoppas att de andra polisanmäler.

Jag kanske är naiv, men litar på rättsväsendet trots allt.

Trots det anmäls fall som tråden nämner där folk luras att logga in förövaren istället för sig själva med mobilt bank id, social engineering.

Men inte läser jag om flera fall där folk går in på banken med falsk id och underskrift och flyttar pengar....

Att skriva en fysisk signatur och att begå ett bedrägeri med sådan och inte åka dit är en helt annan sak.
Folk dumma nog att göra det åker dit hela tiden, folk som sysslar med att blåsa folk på pengar via social engineering som tråden handlar om går ofta fria, dom behöver inte ens befinna sig i ett land som har utlämningsavtal med Sverige och igen polis orkar bry sig.
Även målvakter används som polisen säger så att man inte kommer åt förövarna.

Primära orsaken till att fler bedrägerier inte begås som att lura folk att logga in förövaren via sitt mobila bankid är för att folk rent generellt inte sysslar med sådan verksamhet om tillfället så skulle serveras på ett silverfat.

Mycket av "säkerheten" vi inbillar oss att vi har är mer ett resultat av att folk allmänt inte har onda avsikter gentemot varan.

Ja som jag skrev, falskt id kort. LÄS.

Du missar fortfarande poängen som alla andra, hur vet du vem det var? Jag har tex igen IP adress tatuerad i pannan bara för att jag allt som oftast kanske använder en specifik sådan delad med flera andra.

Dom kan ju utan problem göra köp på din adress, behöver ju inte vara fysiska varor och kontot värdet levereras till behöver inte vara ditt.

Polisen lägger ner det mesta, att anmäla i dag har mest att göra med att få ersättning av bank/försäkringsbolag mm.

Är förmodligen ingen vits med att jag upprepar mig så jag nöjer mig med att konstatera att övriga i tråden verkar kunna hålla isär vad som är en förfalskning och vad som är resultatet av att någon lurats/tvingats att göra något mot sin vilja.

Jobbigt att ständigt vara omgiven av folk som inte förstår något

Rättsväsendet har jag inget större hopp till i detta fall men däremot tar bankerna en stor del av smällen då dom tjänar mkt mer på att folk fortsätter handla med sina kreditkort. Dessutom har kortföretagen mer välutvecklade rutiner för att fånga in bedrägerier. BankID har väl så här långt vad jag vet klarat sig undan från hack och bedrägerier, även om detta väl kan sägas vara en svaghet i just BankID snarare än att folk luras/tvingas göra något dom inte ville. Dvs, tidigare har det väl främst handlat om att man lurat postombud och annat snarare än att man hittat brister i själva BankID tekniken som sådan.

Ja precis som när folk citerar en men ignorerar delar av inlägget.
Antar att du inte kunde producera bevis på att folk går in på banker med falsk id och förfalskar underskrifter.

Poängen var fortfarande, folk blir lurade när dom använder mobilt bank id och blir av med pengar, folk vitt jag vet blir inte lurade genom att någon använder falskt id och underskrift på banken för att komma åt pengarna den vägen.

Vilket är då säkrast?