Klara sig utan Bank-ID

Körde med "E-kort" innan, men banken tyckte tydligen inte det var något bra, det kosta antagligen för mycket pengar att hålla ingång. Nu har man ju inte så mycket till val. Jag kan inte ha bankID på min telefon och vill heller inte köpa ny telefon som klarar det. Men vill man tex köra Netflix/HBO så måste man ju öppna kortet, inte så mycket till val.

Bankid på kort är den mest ovanliga varianten idag, den har längst giltighetstid — men det är idag bara fem banker som ger ut Bankid på kort, och det krävs att du är kund hos banken.

Bankid på fil/dator går för övrigt inte längre att flytta till en annan dator, som var möjlig i början. Hos många är giltighetstiden också relativt kort. Sex banker utfärdar Bankid på fil/dator idag.

När det gäller folk som inte vill skaffa ny telefon, varför? Du får en schysst telefon för en tusenlapp som du kan använda i flera år. Går för övrigt att köra Bankid på en billig surfplatta också.

Vart måste man ha bankid?
Kan inte komma på någonstans där det inte går att lösa på annat sätt (ofta långsammare och/eller krångligare). Klarade mig länge utan bankid men latheten tog över tillslut.

Digital brevlåda är en tjänst man inte kan använda utan e-leg. Swish går inte att använda utan Bankid. Mycket annat går såklart att göra på papper, med särskilda certifikat, koddosor och liknande.

Jag har Swedbank, öppnat mitt kort för Internetköp och behöver med jämna mellanrum godkänna det hela med Bank ID.
Det brukar dock variera mellan olika ställen, många svenska sidor kräver verifiering, utländska eller andra betaltjänster, t.ex. Amazon, Paypal, kräver ej verifiering.

Om webbsidan/appen skickar dig till bankid-appen eller om du själv går in kvittar ju, du får samma text i appen vilket som. Idag är det normalt att behöva identifiera sig även när man tar ett ärende över telefon, så det gäller såklart att läsa, sen är det nog bara telefonförsäljare och bedragare som ber dig identifiera dig om de ringer dig.

De flesta har nog bara betalkort knutet till privatkontot/lönekontot/personkontot. Det är dock större risk att bli av med kortuppgifterna i handeln. Att fysiskt attackera kortterminaler är enklare än att försöka kapa större hemsidor, även om sistnämnda skett. Sen går det ju i vissa fall att backa korttransaktioner genom att reklamera hos utgivaren, det går inte med banköverföring eller Swish.

Det är framförallt meningslöst, skaffa ett kreditkort istället så är alla eventuellt felaktiga dragningar bankens problem. Konkursade butiker och oansvariga handlare likaså. Bästa säkerhetsåtgärden du kan göra, konsumentkreditlagen ftw.

Skickades från m.sweclockers.com

Det är väl fortfarande ett säkerhetshål om det går att godkänna någon annans inloggnings-session? Eller?

Om du har riktig teknisk dokumentation om BankID så får ni gärna maila det till mig! (Jag har samma användarnamn hos den stora sökjätten som här.)

Risk har två dimensioner: sannolikhet för att något ska inträffa och storlek på konsekvensen om detta inträffar.

Om ditt kort blir skimmat så är chansen stor att du får pengarna tillbaka av banken.
Men eftersom BankID är klassificerat som legitimation och inte ett "betalningssätt" så har bankerna ett kryphål: ingen pardon ges om man har varit oaktsam med sin "legitimation".
Ett betalkort har ofta skydd mot hur mycket som kan dras per tidsenhet, men med BankID kommer angriparen in i din Internet-bank och kan göra vad som helst. De som råkade ut för "BankID-bedrägerier" tidigare har fått sina konton tömda och utan att fått ersättning.

Mig veterligen har dessa bedrägerier endast genomförts med hjälp av social engineering, alltså att en bedragare förmår någon att godkänna bedragarens session. Det i sig betyder ju inte att det är tekniken det är fel på. Samma sak hände även med de "så säkra" kort- och kod-dosorna. Det var folk som ringde och utgav sig för att representera kundens bank (precis som idag), eller så var det en facebook-scam där "en vän" hade "tappat bort sin dosa" och behövde hjälp att generera en engångskod (fantastiskt hur folk kan tro att man kan generera en kod till en bekants konto med sig egen bankdosa...).

Så den enda skillnaden är ju att det i dag nästan uteslutande används bank-id, och därmed är det även denna plattform som utsätts för bedrägerierna. Det i sig säger inget om dess säkerhet (eller brist på).

Det enda, mig veterligen, som kunnat skydda mot att oavsiktligen logga in någon annan, är bank-dosor som kopplas in med sladd i datorn, vilket för de allra flesta är en oerhört opraktiskt lösning då de flesta behöver/vill logga in och godkänna saker "on the fly". Detta löses ju då i för sig med bank-id med QR-kod. Däremot så kommer det ju inte funka för inloggningar på samma enhet som bank-id:t, då det är svårt att skanna en QR-kod på den egna skärmen.

Frågan är inte om "social engineering" hade använts, utan om det hade varit "social engineering" och ett tekniskt säkerhetsproblem.

Man skulle också kunna säga att "phishing" är social engineering. Men det betyder inte att det inte hade varit tekniska brister som hade gjort phishing möjligt, eller att det inte var tekniska lösningar som behövdes för att komma till bukt med problemet.
Phishing utnyttjade flera säkerhetsbrister på en gång: och som vart och ett hade påtalats många gånger av säkerhetsforskare utan att något egentligen hänt i industrin.

Ja bankID har haft en svaghet som underlättat social-engineering attacker en del.
Främst där anfallaren suttit hemma vid en dator och slagit in någon annans personnummer och ringt upp offret och utgett sig för att vara banken. BankID har visat verifieringsruta där det står att det faktiskt är banken som frågar om verifiering (kommer ju från bankens kundinloggningsportal) och här borde det finnas utrymme för att visa att det inte är bankens serviceline utan bankens kundinloggningsportal som önskar kundverifiering.
Offret ser inte så tydligt i appen vilken del av banken som vill ha verifieringen alltså och appen invaggar en lite i falsk trygghet när de skriver ut att det exempelvis då är Nordea eller Swedbank som skickat verifieringsfrågan.
Är den här delen fixad månne?

Med det sagt så behövs det ytterligare steg för att få ut pengar från kontot och där är det väl mer oförsiktighet snarare än säkerhetsbrist om man går med på "ännu en verifiering" med pengaöverföring i mobila bankIDt.

Så ja. Jag ser en brist med falsk extra trygghet som mobilt bankID kan ge och denna extra trygghet om vilket företag som efterfrågar verifiering finns inte på de externa bankdosorna. However, man kan bli utsatt för samma attack även på de externa bankdosorna så de är inte tekniskt sett mer säkra i det här fallet skulle jag säga.

Är man medveten om att andra kan slå in ens personnummer på bankens hemsida vilket genererar en verifiering "från banken" till ens bankID och ser upp med den typen av social engineering attacks så vill jag påstå att det i övrigt är säkert.

@Söderbäck: När bedragarna kommit in på banken och försöker få överföringarna godkända så ser du ju i bankid-appen att det rör sig om en överföring och summan....

Ja det tog jag upp i andra stycket. It has been handled ;). Kanske skulle skrivit ännu mer där för förtydligande.

Och det är knappast en svaghet.

Ja, men felet är användaren. Din mobil kommer normalt ha ett annat IP än din dator även om det är du själv som kör båda om de inte är anslutna till samma router.

Dokumentationen finns på BankID.com

Skickades från m.sweclockers.com

Alltså svagheten ligger första steget vid inloggning. Inte i andra om man vill ha ut pengar.
Att det är möjligt att utge sig för att vara banken över telefon och få bankIDd att visa att det faktiskt är "banken" som frågar om verifieringen är i sig en svaghet då det invaggar en i falsk säkerhet. Det här har ju uppenbarligen lett till att obehöriga åtminstone kunnat logga in på offrens banktjänster. Det i sig var inte riktigt grejt...

Andra steget som du tog upp. Att försöka få ut pengar från kontot. Där ser jag inte heller någon svaghet rent tekniskt. Att dessa attacker har fungerat även i steg två har väl främst berott på att förtroendet från offrets sidan redan är etablerat från steg ett.
Men som du säger är det tydligt om man kollar i bankIDappen vad det är appen frågar om så lyckas steg två också så beror det på oaktsamhet från offrets sida helt klart. Agreed.

Eller via Bitcoin

@Söderbäck: Bankdosor fungerar generellt olika vid inloggning och vid verifiering numera. Hos min bank är verifieringen av betalningen summan av överföringen, vilket brukar försiggås av massor nollor...

Tack. Senast jag kollade där så hittade jag inte den information jag letade efter. Men jag ska ladda ner de senaste versionerna av dokumenten och läsa dem.
Vad jag var ute efter var om företag som är kunder hos BankID kan ha fått ytterligare dokument.
Och förstås: om det gjorts någon ordentlig utredning och rapport efter bedrägerierna som man kan läsa.

Mobilt har potentialen att vara säkrare (än en Windowsmaskin), pga att åtminstone Android (men säkerligen även också iOS) kör varje enskild app isolerat från alla andra appar (via app-unika användarkonton).

Jag kör med mobilt bank-id dels pga det, och dels för att det är mycket smidigare (att kunna använda det när som helst, oberoende av var man befinner sig).