En idiot blir telefonbedragen, ja, ni får skratta...

Lärdomen är att aldrig (Mobil)BankID-signera/identifiera över telefon eftersom du aldrig till 100% säkerhet vet varför du signerar/identifierar emot Collector Bank, Klarna och så vidare då det inte var du som satte igång den förfrågan. BankID tillhandahåller för lite information varifrån exakt förfrågan om att signera/identifiera mot Collector Bank, Klarna, osv., kommer ifrån.

När jag signerar/identifierar mot Klarna så är det alltid jag som satt igång det: exempelvis vid internetköp mot faktura, och då kan jag även se det exakta flödet. Jag lägger beställning, jag uppmanas att signera BankID, jag tar upp telefon och ser det direkt i appen. Självfallet finns det en oerhört osannolik risk att jag helt plötsligt då skulle signerat åt någon bedragare som väntat på det perfekta ögonblicket.

Personligen hade jag gärna sett en förbättring i BankID:
- En "Blockera"-knapp i Mobilt BankID-appen - när du ska mata in din PIN-kod - som ger dig valet att
a) Blockera förfrågan i 1 dygn,
b) Blockera förfrågan i 3 dygn,
c) Blockera förfrågan tills du tar bort manuellt

Denna blockerar då IP-adressen förfrågan skickades från. Detta kräver en ny databastabell som lagrar rader där en sammansatt primärnyckel är datum+tid(YYYY-MM-DD hh:mm:ss) och IP-adress från förfrågan om BankID-signering/identifiering och sekundärnyckeln BankID-ägare så varje rad blir unik så min gamla Databaslärare blir nöjd!

Detta innebär att BankID måste införa att IP-adress skickas med från alla som vill använda den funktionaliteten/tjänsten. Men sådan data antar jag redan lagras vid anrop mot BankID rent API- & tjänstmässigt talat?

- Vid genomförd blockering så ska det på webbplatsens frontend där BankID-signering försökte genomföras - det bedragaren ser - istället visas att "Felaktig inmatad PIN-kod för många gånger. Appen har blockerats. Installera om och beställ nytt BankID!". Det finns inget bättre sätt att irritera bedragare på än att framstå som ett inkompetent offer. Klassisk scam-baiting-gest!

- En sektion i BankID-appen efter inloggning där du kan manuellt plocka bort blockerade IP-adresser. Självansvar att komma ihåg vilket datum och klockslag ett konstigt samtal kom där du uppmanades att signera i BankID som du då istället valde att blockera. För det finns ju osannolikheten att du en dag vill genomföra samma köp mot samma IP-adress som bedragaren försökte göra från.

- Detta skulle såklart medföra nya regelbundna driftkostnader för BankID. Men drömma får man väl göra även på söndagar?!

Mvh,
WKL.

Det låter konstigt, jag får upp en lista på vad jag godkänner innan jag godkänner det. Exempelvis när jag lagt in mina räkningar så får jag en lista med varje räkning inklusive belopp och mottagare i BankID-appen innan godkännande. Å andra sidan har jag nog inte betalt räkningar på datorn på typ tio år eller så, telefonen (egentligen bank-appen) är sjukt mycket smidigare, men det borde inte vara någon skillnad tycker jag.

Det där tror jag varierar på förfrågan vid signering/identifiering så det är upp till webbplatserna som nyttjar BankID-tjänsten att inkludera sådan information vid API-anropet. Förslagsvis skulle BankID kunna förbättra säkerheten i sin tjänst genom att kräva att alla webbplatser&tjänster som vill nyttja BankID (även Klarna, m.fl) måste inkludera information varifrån förfrågan om signering/identifiering kommer ifrån.

Exempelvis vid varje Klarna-köp bör det vara "Signera dig hos Klarna. Gäller webbplats: www.webbplats.nu" så kan det synas om det är en webbplats som man absolut vet att man inte i samma stund som signering/identifiering-förfrågan på Mobilt BankID inte besöker. Att sådan information inte inkluderas är bara idiotiskt säkerhetstänk från BankID:s implementeringssida.

Mvh,
WKL.

nu står det som bekant vad man identifierar sig mot och vad jag vet finns väl ingen man inte begärt bli uppringd av själv som kommer fråga efter bank id `?

att polisanmäla visst men rätt laglöst land för bedragare numera , polisen gör absolut ingenting eller har resurser för det så hade nog med struntat i att anmäla ,,,, totalt slöseri med tid som dom beter sig enl egna erfarenheter

Hmm, det kanske kan vara något. Än bättre hade ju varit någon form av autentisering som inte öppnade upp en för bedrägeri, alltså separat från "godkänn överföring" och så, kanske.

Jag gillar BankId för inloggning på flera sätt, men jag är ju misstänksam och försiktig så jag känner inte att dessa phishing-försök (eller bedrägeriförsök) är en så stor risk för mig personligen. Men för många hade det ju varit säkrare med typ Google- eller MS-authenticator eller något liknande. Något med separata verifieringar per tjänst så att ingen kan "lyssna av" din inloggning på X och använda den på Y, eller låtsas att Y är X.

Jo, eller i alla fall vara tydliga med vad autentiseringen gäller. Är det för inloggning så är det för inloggning, ska man ansöka om ett lån, göra ett större köp eller en större överföring på samma sida så borde det behövas en ny autentisering där det tydligt står att det är vad det handlar om. Samtidigt är det väl det normala, det är enligt min erfarenhet skillnad på att logga in och på att godkänna en transaktion eller signera något. Men jag antar att det är upp till tjänsten lite hur de hanterar sådant.

Sen måste man ju hamra in att BankID är fucking känsligt. Det är inte samma sak som att visa någons ens leg eller liknande, så använd aldrig BankId för något som du inte initierat.

Telefonnumret 08-55920622 tillhör enligt https://nummer.pts.se/NbrSearch Tele2. En fråga till Tele2 varför de tillhandahåller nummer/abonnemang till bedragare kanske kan vara påkallad (om de fortfarande gör det)?

Tele2 vet rimligen vem som hade det aktuella abonnemanget den aktuella tiden.

Grundproblemet verkar vara att Finansiell ID-teknik BID AB aldrig frivilligt kommer att göra sig av med BankID i telefoni, som är stabilt osäkert eftersom det inte håller reda på vem det loggar in. Sedan 20224 säger de sig inte längre tillhandahåll s.k. personnummerinloggning (personnummerstart) via Internet, men via telefon gör de det och kallar det BankID i telefoni: https://www.bankid.com/foretag/telefoni. Att de genom åren hängt på lull-lull i form av "säkerhetsfrågor" för att försöka utesluta en "mellanman" som gör att samtalet går åt "fel håll" hjälper knappast eftersom ett "snedtryck" är att som behövs för att det skall bli fel. BankID i telfoni borde inte vara tillåtet i Sverige, men ingen gör något åt det, så ...

Ett sätt att slippa bli lurad med hjälp av Mobilt BankID och försöka hjälpa sig själv kanske kan vara att begränsa vad man själv kan göra med sin telefon: Kan du inte själv ringa och skicka (BankID-) data under pågående samtal, får bedragaren svårt att få till sitt telefonlur.

Simma lugnt!