Kapning av Bank ID.

Ärligt talat har jag svårare och svårare att följa flera av dina resonemang och förstå vad du menar så dom hoppar jag över.

Att folk begår bedrägerier med förfalskade legitimationer (fysiska) är välkänt inom rättsväsende och finansbranschen, liksom för de flesta svenskar som har någon slags koll på samhället (fast då kanske mindre i detalj). Att det sen verkar ha undgått dig är tyvärr inte så mkt jag kan göra något åt. Men informationen/statistiken går rätt lätt att få tag på för den intresserade.

I jämförelsen mellan BankID och fysiska signaturer så är utan tvekan det förstnämnda säkrare.

Har inte sagt att det inte begås, tvärt om. Men jag frågar hur många fall har någon tömt konton med falks id handling och underskrift samma månad som folk blev av med pengar när dom blev lurade med hjälp av mobilt bankid?

Du pratar om att det är välkänt ändå ser jag igen nyhet du hänvisar till nån statistik?
Det är ju bara att googla på bankid eller e-legetimmation och lurendrejeri så förekommer det ju med. Välkänt tydligen med.

Du ignorerar det faktum med att risken att fastnad både på kamera och ha dom förfalskade papperna som bevis mot sig är en risk dom flesta kriminella nog skulle undvika om dom i säkerhet kan blåsa dig över nätet/telefon med målvakt och komma undran med minimal risk för gripande/åtal.

Lura folk på nätet om något verkar vara det minst riskabla.

Bedragarna anpassar sig ju till metoderna folk använder för identifiering och betalning, därmed kommer brotten att öka inom nya metoder, speciellt när användaren fortfarande är svaga länken.

Oavsett så var min poäng att lurad kan man bli oavset så säkerhetstänket är viktigare, inte blint lita på systemet och folk som ringer eller mailar en.

Sedan kan vi missförstå varandra bäst vi vill och lämna det där för det leder igen vart ändå.

Tror du ärligt talat jag inte vet vad identitetstöld är?

Vi pratar ju främst om bank tjänster här, att man kan lura folk via andra tjänster med falsk underskrift det är ju inget nytt, händer säkert på krogen varje dag.

Och precis som min poäng var, ja man har nog större risk att åka dit och vi vill väl att dom åker dit eller om dom går in på banken med falskt id och underskrift?
Därav väljer nog bovarna den säkrare vägen nu med mindre risker.

Kan tala om att Secure by Visa eller Master card enbart fungerar OM försäljaren är ansluten till detta.
Du kan spärra internetköp ja i din internetbank och även ansöka om Sercure by Visa eller Mastercard men det senare är definitivt igen garanti att köp inte kan göras online utan din personliga kod och bankid eller id via SMS.

Steam är något många på swec använder och även om jag har Secure by Mastercard vilket fungerar så fungerar det inte där, lika dant på många andra sidor som säljer mjukvara eller elektroniska produkter.
Så kortets alla nummer räcker och eventuella personuppgifter, inga koder behövs.

Så ska man vara säker helt så bör man helst spärra kortet från internetköp helt och enbart gå in på sin internetbank och aktivera när man behöver detta då det tar ett par minuter.

Sedan kan man ju fråga sig varför köp utan pinkod under 200Kr tex är tillåtet som standard på ett Master Card. Är väl användaren som ska bestämma vad pengarna är värda och risken som ska tas med dessa.

Det jag motsätter mig är folk rycker på axlarna och tycker det är lite skit samma om någon kommer över uppgifter eller kommer in på deras bank även om dom kanske inte lyckas stjäla pengar så skapar dom ju problem för användaren.
Både osäkerhet och tid som får läggas ner i att kontakta bank mm och se till att allt är i sin ordning, kanske tom polisanmäla mm.

Vi vill ju ha både säkra system och att folk är upplysta nog att använda dom säkert så att användaren inte blir svaga länken hela tiden.

Nu framgår det inte riktigt hur denna bluff använts, men de som går på den initala bluffen borde väl reagera när det är dags för signeringen, men förmodligen har bedragarna något bra svar på det som lurar nog många. I artikeln är det rätt uppenbart att den som skrivit den inte har någon vidare teknisk kunskap i ämnet.

BankID har annars bara stöd för autentisering och signering där det senare skiljer sig genom att den skapade signaturen är beroende på innehållet i det man signerar. Eg är det rätt lika i praktiken då man typ signerar även sin inloggning, men det skiljer sig som bekant i hur man upplever det i klienten.

Mörkertalet är nog ganska stort också, då banker och andra inte direkt vill att problemet ska uppmärksammas av olika skäl. Och mer detaljer änså om det får ni inte från mig

Jag tror tyvärr att de som går på detta är samma personer som inte har någon som helst form av PIN-kod eller liknande på sin telefon. Vilket är rätt många. Men ja, Bank ID är utan tvekan bland det mest säkra man kan ha, till skillnad från andra varianter som diskuterats här i tråden. Jag känner inte till något fall där någon "knäck" BankID skyddet och då har jag ändå byggt lösningar med BankID (eller snarare e-legitimation) mer än 10 år och dessutom varit involverad i driften av dessa. Däremot blir folk tyvärr lurade men det kan man nog eg inte beskylla BankID för, även om just det som diskuteras här är lite speciellt.

Vad är detta för tråd?

Alternativet till BankID för banktjänsterna är bankens koddosa, vägrar man även använda den får man ju lov att gå in på kontoret och fylla i en blankett varje gång (eller ännu bättre skicka in girobetalningar med post som inte är mer än en lapp med din signatur) man ska göra något. Givetvis får man vägra använda betalkort också. Är man den personen så har man väl inget att tillföra tråden? Är inte tjänstens fel att det går att lura folk, och det går att lura oavsett vad de har för tjänst. Både med koddosan och bankid så behöver du godkänna flera gånger om du ska logga in och överföra några pengar, med bankid så ser du ju också vilken tjänst det är fråga om. Ignorerar de allt det så går det att lura personen på andra sätt också.

För att rent av komma över någons bankid på kort eller bankid i telefon så måste du ju ta kortet eller telefonen från personen och behöver ha lösenkoden till bankid:t. Dessutom måste den som får grejerna tagna inte återkalla bankid. Det är inte svårt att se varför det används ute hos företag och i samhället, och skulle en sårbarhet upptäckas så är det inte som att 10 miljoner skulle få sina konton tömda. En vanlig signatur är enklare att komma över och kontrolleras aldrig, allt du kan göra över post kan även någon som gör en fotokopia på din signatur göra. Vad det gäller betalkort så behöver någon som snor kortet inte nödvändigtvis din kod, ändå kollapsar inte samhället.

Även om jag (och säkert de flesta) håller med dig om fördelarna med BankID jämfört med fysiska signaturer och att folk är lite för lättlurade så kan jag i just detta fall ha viss förståelse för det. Det normala när man gör en inloggningn är att det endast är på den enhet man kör som man blir inloggad men just i detta fall är det genom designen på BankID möjligt att du faktiskt loggar in på en annan enhet än den du tror att du loggar in på.

Riktigt hur bedragarna sen tar det hela vägen till att få ut pengar från någons bank vet jag inte då de flesta banker har krav på att man signerar utbetalningar/överföringar, samtidigt räcker det väl med att en av tusen går på detta för att det ska vara värt det. Förmodligen har dom en bra story, vet av erfarenhet att dessa bedragare är rätt så kreativa och begåvade ofta, synd bara att dom använder det "mot" samhället snarare än för.

@improwise: Fast det framgår på den datorn/enheten du vill logga in på om det redan är en pågående inloggning.Om jag försöker gå in på mitt bankkonto och får felmeddelandet "Pågående inloggning" så kommer jag ju inte godkänna vad som då uppenbart är en annan inloggning i min bankID app.

Du behöver nog läsa artikeln som det hänvisas till igen, eller andra som beskriver samma metod. Dessutom fungerar det inte likadant på alla olika banker, kreditmarknadsbolag osv. Sen tror jag att dom som hänger på SweClockers är lite svårare att lura med detta än genomsnittssvensson

Alla svenska banker har såklart krav på att man godkänner överföringar, säkert de flesta internationellt också men finns säkert undantag. Enda skillnaden mellan koddosan från banken och bankid är ju att du behöver uppge siffrorna för bedragaren eller slå in de på en kapad sida. Ibland behöver man använda bankid när man ringer till vissa myndigheter för att kunna få information direkt över telefon, och säg att någon försöker få dig att använda bankid mot en annan tjänst i samband med det så ser du ju iaf att fel namn dyker upp i appen, samma sak om någon webbtjänst som använder bankid skulle bli kapad så ser du ju om någon försöker få dig att logga in på en helt annan tjänst än den du försöker använda. Kör man bara ett lösenord istället för bankid eller någon annan 2FA-lösning så är du ju istället öppen för både MITM och t.ex. keyloggers. Vad föredrar du att en tjänst som Klarna använder? Det är inte som att du har ett certifikat på din dator/telefon och ett lösenord sparat i klartext, och flertalet smartcardlösningar har visat sig innehålla sårbarheter så att gå till en hårdvarulösning betyder inte att du nödvändigtvis blir säkrare, bankid på kort kan ju också användas vid social engineering för den delen.

Att få offren autentisera sig med och signera med bankid flera gånger är nog inte svårt, är väl därför de riktar in sig på dessa men det är ju ungefär lika dumt som att uppge ett lösenord i telefon. Har de inte koll på vad de gör första gången så har de nog inte någon på andra gången heller.

Förr kunde du ju använda telefonbanken och göra överföringar över telefon med bara en kod för den delen, så att nya lösningar kommer gör det knappast sämre.

Sen går det alltid att lura folk, en del betalar glatt pengar till folk som kommer med snyfthistorier eller erbjuder "investeringsmöjligheter" utan att de känner personen. Det skyddar inga säkerhetsmekanismer från, eller ja möjligen att personen får förvaltarskap och inte kan bestämma över sina pengar.

Bankerna använder olika koddosor så det går nog inte att säga generellt. Folk tror ofta att det finns typ 4-5 banker i Sverige, rätt svar är snarare 20 gånger det antalet. Lägg till det alla kreditmarknadsbolag och vi är uppe i ett par hundra aktörer av varierande storlek och kompetens.

Tror kanske att du missförstått hur detta fungerar eller så missförstår jag det du skriver, det handlar varken om kapade sidor eller att bedragaren får några koder/lösenord för att det "hack" som det handlar om här ska fungera. Det är dessutom inte en annan tjänst utan samma tjänst som bedragaren använder (enligt det som beskrivs i artikeln) så det du ser är det ställe som du själv försöker logga in på.

Sen har jag svårare att förstå hur man kan få folk att signera någon utbetalning eller liknande där det normalt står i klartext vad det är man godkänner, men enligt artikeln förekommer det uppenbarligen även om denna inte är speciellt tydlig. Överlag är väl inte Expressen dit jag skulle vända mig först för att få korrekt information om IT-brott

Det finns faktiskt inte så många olika lösningar på bankmarknaden, flertalet banker/kreditinstitut använder inte längre dosor eller kod/skrapkort heller. Ingen bedragare kommer rikta in sig på en bank med 20 000 kunder heller. De flesta sparbankerna använder rent av Swedbanks tjänster och det finns inte lika många kortutgivare/finansinstitut som det finns bolag som marknadsför sina kreditkort, så hundratals olika lösningar behöver vi inte dra till med. Det handlar om en handfull alternativ bedragaren riktar sig mot.

pa1983 som var inne på hur "osäkert" det är, därför jag svarade generellt.

Det som artikeln/expressen tar upp är att någon ringer upp dig och ber dig använda bankid, inte att du själv går in på bankens hemsida och försöker logga in utan deras begäran (men det är givetvis en attackväg vid MITM). Exemplet de tar upp är ju att offret först loggar in bedragaren, men deras egna dator är ju inte inloggat så de ber offret att logga in igen och när de gör det godkänner de överföringen. Svårare är det inte där. När det gäller banker så står det såklart normalt sett vad man signerar när man godkänner en betalning, men räkna inte med att alla är uppmärksamma på det. Medier tog ju för övrigt upp ett exempel för ett tag sedan där ett oseriöst pensionsbolag ringt upp folk och sen bytt deras fonder (hos PPM) genom att få de använda bankid, vilket också måste ha krävt att bankid:t använts flera gånger, är en pågående härva. PPM stoppade till sist insättningar i de fonderna och avregistrerade fonderna som var inblandat i det och det ligger även hos Ekobrottsmyndigheten idag.

Sen har vi ju även det att någon kan gå in på banken och skaffa bankid på kort eller gå till Skatteverket och skaffa e-legimatiation (alltså Skatteverkets ID-kort) på kort. Alltså fysiskt kapa din identitet. Men det är ju inget nytt problem att någon får ut exempelvis ID-kort i ditt namn. Det är ju hur som helst betydligt lättare gjort än att få någon som är uppmärksam att godkänna något de inte borde på bankid:t i telefon. Fast det är såklart inget bedragare på andra sidan jorden kan göra utan närvaro i landet.

Vi behöver inte dra till med något eftersom det är ett faktum det jag faktiskt skrev. Du har dock helt rätt i att en stor del av bankerna utgörs av olika sparbanker. Att bedragare inte skulle försöka ge sig på även mindre banker och kreditmarknadsbolag vet jag av egen erfarenhet att det helt enkelt inte stämmer. Däremot är det så klart i antal försök så att de större bankerna dominierar genom sin storlek, dvs antal kunder i praktiken.

Det var du själv som hänvisade till kapade sidor och att man skulle ge bedragaren sina koder/lösenord i ditt inlägg, men tack för informationen

Ja, det stämmer, det har varit flera olika varianter av det men vad jag vet har det då handlat om att postombud och annat blivit lurade. Sen har jag för mig att Skandiabanken gav ut felaktiga BankIDn vid ett tillfälle men minns inte exakt vad förutsättningarna var.

Det är på väg nya lagar som gör att finansbolag (kanske alla bolag) måste rapportera dataintrång enligt vissa givna parametrar, dock är det väl tveksamt om just detta skulle omfattas då det enda som blivit "hackat" är kunden hjärna

Svårt att se hur något som bedrivs i större skala skulle rikta sig mot mindre banker, bedragarna vet oftast inte vilken bank offret de ringer till har utan gissar. Förkommer givetvis, men då har de nog kommit över kunduppgifter.

Det finns säkert hundratals banker, men bara ett fåtal banker som har någon egen infrastruktur och tar hand om den tekniska delen. Sparbankerna har ca 2 miljoner kunder t.ex. men de sitter alla på Swedbanks nät. Sparbanken Syd är den enda som driver något själv. 59 av 60 sparbanker använder alltså Swedbanks tjänster. Dessa 2 miljoner kunder kan vara offer för bedragare som riktar sig mot Swedbank, de behöver ju bara knappa in person-nr/org-nr på Swedbanks inloggningssida och ringa upp.

Säg kreditkort från bensinkedjor, av Circle K, OKQ8, Preem, Shell, St1, och Ingo så är det bara OKQ8 och St1 som är bank/kreditgivare och själva ger ut sina kort. Resten av de nämnda använder SEB eller Ikano, och de är hos dessa du loggar in om/när du behöver göra det. Men kommer någon över bankid så är det för den delen bara att ansöka om kort/kredit. Flera kort kan du börja använda innan något fysiskt kort skickas till din brevlåda. Är bedragaren bra på att ja bedra så kan de säkert utan problem hitta ett antal personer som något förvirrade går med på att öppna konton och grejer åt bedragaren och inte ens förstår vad som skett i efterhand. Men det är knappast enklare än att kapa någons brevlåda och ansöka om kort/kredit i pappersform.

Sen återigen, jag var ganska generell eftersom det delvis var ett svar på pa1983s påståenden. Ska du kapa t.ex. bankid på fil och bankid:ts lösenord (när det gick att flytta bankid mellan datorer), så behövde du göra intrång i datorn. Kan du kapa datorn kan du kapa offrets webbläsare/anslutning och massor annat också, det var där diskussionen om MITM-bedrägerier kom in. Alltså du är inte säker bara för att de inte kommer över certifikatet och för att de inte lyckats logga din lösenkod. Iaf inte om du inte är uppmärksam. För den som inte är uppmärksam skulle det ju inte spela någon roll om det är bankid i telefonen eller bankdosan som används i princip.

Det är ju bara att gå in på bankens kontor och visa ID-kortet så kan du få koder för att aktivera BankID. Alternativt kan du beställa BankID på kort på bankkontoret eller ansöka om ID-kort med e-legimation på Skatteverkets kontor. Du behöver såklart någon förfalskad ID-handling (som inte fastnar i kontroll vilket inte bör vara så svårt) med dig när du gör det för någon annan än dig själv eller någon som intygar (kan inte vara vem som helst) att du är den personen. Sen måste du såklart adressändra personen eller fiska upp det ur brevlådan/postfacket om det är något som beställs till postadressen.

Trotts det är det nog väldigt ovanligt att bedragare kommer över bankid och e-legimationer, det är ju också alltid något som spärras när offret kommer på att det rör sig om något fuffens. ID-kort (när du identifierar dig rent fysiskt) är svårare att spärra då de sällan kontrolleras. Personer med skyddad identitet kan heller inte skaffa mobilt bankid (eller få sin "brevlåda" kapad enkelt), så då kan de inte heller (lika enkelt) bli utsatta för just sådana bedrägeriförsök. De flesta är dock ganska oskyddade och de flesta drabbas ändå inte. Det är hur som helst inte så att nya lösningar är mer sårbara för att de skulle vara digitala eller dylikt och dessutom drar de inte till sig lika många bedragare, för den skaran vet ju redan hur de utnyttjar den gamla världen. En lösning som drar till sig många bedragare (som lyckas bedra då) skulle aldrig bli någon etablerad lösning som alla använder heller. Då läggs den ner eller ersätts av något säkrare snarare. Kortbetalningar på nätet har utvecklats också, MasterCard Secure Code/Verified By Visa kör du ju mot bankid nu förhoppningsvis. Andra lösningar har kommit där man fortfarande kan handla fast man spärrat kortet för internetköp. På sidor som inte har någon säkerhetsmekanism alls så måste du knappast använda ditt betal/kredit-kort heller utan det finns andra lösningar för dessa. Om jag inte drar kortet i maskinen i butiken så är det svårt med skimning också. Är kort acceptabelt så ser jag inte varför inte bankid skulle vara det.

Det var din rätt breda kommentar "Ingen bedragare kommer rikta in sig på en bank med 20 000 kunder heller." som jag åsyftade som att den inte stämmer. Mindre banker (med mera) har ofta sämre säkerhet än storbankerna så det kan löna sig även om antalet möjliga offer är mindre. Du menade dock säkert att små banker är mindre troliga att drabbas av mer slumpmässiga attacker och det håller jag med om. Sannolikheten att ett visst personnummer ska vara kund hos Traktorbanken i Köping är klart mindre än att dom skulle vara det hos Nordea.

Ja, pa1983s olika påståenden behövde nog med fördel granskas i detalj

Upplever att vi är rätt eniga i det stora hela.

Om detta inte ändrats nyligen så kan även de med skyddad identitet skaffa BankID, dom hittar man när handläggarna börjar klaga på att det finns kunder som inte har några namn utan bara personnummer Däremot har du helt rätt i att det nog lär vara bland de mer svårkapade brevlådorna som finns iom att det väl är Skatteverket som sköter dom om jag minns rätt. Samtidigt lär det väl jobba ett och annat rötägg på Skatteverket också.

Ja det kan låta lite brett, inte riktigt det som syftades såklart. Är ju mer att en stor bedrägeriverksamhet inte kommer rikta sig mot enbart någon enskild småbank, inte när det handlar om folk som ringer upp och påstår att de från en storbank och inte vet om den de ringer är kund iaf. Nu var det ju mest en fråga om att medier gått ut och varnat för en liga/trend, det är tveksamt att de skulle göra det om en liten bank drabbades för tillvägagångssättet skulle troligen skilja sig lite. De skulle troligen redan ha kunduppgifter och välja ut vissa kategorier av kunderna där och det skulle inte vara lika många som fått samtal de uppenbart förstår är bedrägeriförsök. Sådana bedrägerier skulle säkert medier behöva rapportera mer om däremot, men tror det blir svårt att nå ut med mer än en notis från banken där eller kanske något i lokalnyheterna.

Sen hade det inte varit så svårt att bedra någon i Köping, det finns tre bankkontor där. Så de flesta är säkert kund hos någon av de tre, varav ena är en sparbank som samarbetar med Swedbank (du kan nog säga att du från Swedbank och sparbankerna och lyckas lura offret). Någon lokal bank som driver sina egna grejer har de inte, de flesta orter/regioner har inte det såklart. Finns däremot detta på orten så kan säkert bedragare rikta sig mot ortsbefolkningen och den lokala banken, men den här typen av bedrägeri bygger ju bara på att komma in på så många bankkonton som möjligt, inte att attackera en mindre banks infrastruktur. De attackeras säkert, men artikeln och TS frågeställning rör bedrägerier där de använder bankid och då är knappast en mindre bank mer sårbar än en av de stora eftersom det är kunden som är attackvektorn och sårbarheten. Om de är säkrare eller inte spelar ju ingen roll, så länge kunden godkänner allt.

Tror att man tidigare var tvungen att ha BankID på kort om man hade skyddad identitet, verkar inte gälla idag däremot nu kan man både ha på kort och mobilt, bara bankid på fil som inte lirar idag för dessa. Vill minnas att begränsningen fanns hos mobilt bankid så sent som för bara något år sedan, men den finns hur som helst inte längre.

Posten till de med skyddade personuppgifter (de med kvarskrivning åtminstone) går ju via Skatteverket, så att vända sig till Svensk adressändring fungerar ju iaf inte där. Blir ju inte lika lätt att göra olika uppslag eller söka krediter eller.