Det här med Bank-ID

Trädvy Permalänk
Medlem
Plats
Flen
Registrerad
Jul 2001
Skrivet av torbjorn_75:

Är du säker på det? Tyckte det var stort hallabalo om det för ett par tre år sedan.

Användarna uppmanas att uppdatera BankID säkerhetsapp i App Store, Google Play eller Windows Store så snart som möjligt. Uppdateringen innebär att ett varningsmeddelande om misstänkt bedrägeri kommer upp i användarens app, om det skulle pågå ett försök med flera samtidiga inloggningar. (BankID 2016)

"Vi vill uppmärksamma våra användare av Mobilt BankID på att det har förekommit bedrägeriförsök då användare har blivit kontaktade och uppmanade till att logga in eller på annat sätt ge ifrån sig sina inloggningsuppgifter."

Lite mer kring hullaboloon – https://www.expressen.se/dinapengar/varningen-visar-om-nagon-...

Så ja typ och där har du en poäng med att tidigare implementation (som sagt alla implementationer kan vara sårbara eller nyttjas på fel sätt, gäller koddosorna och allt sånt också) lämnade lite att önska, fast nej inte maskinellt. Var främst andra tjänster än banktjänster också. Du ser hur som helst också på datorn att det avbryts.

Eftersom det var PPM som drabbades främst, och att de lyckades lura folk helt utan att de själva försökte logga in så införde också PPM åtgärder, annars skulle bedrägerierna ha fortsatt på samma sätt. "Numera kräver Pensionsmyndigheten två inloggningar med mobilt bank-ID för att skydda spararnas premiepensionskonton."https://www.expressen.se/dinapengar/nytt-larm-om-bank-id--nu-...

Trädvy Permalänk
Medlem
Registrerad
Feb 2005

Eftersom ett flertal i tråden, inklusive TS, verkar tro att man själv får stå för allt om man blir lurad genom BankID, så kan jag bara påpeka att ARN kom förra året med fyra vägledande beslut.

Länk till pdf.
Länk till ytterligare en pdf.

Har man inte varit grovt vårdslös så fick banken stå för allt över 12.000kr.

Vill man inte läsa besluten från ARN så har Expressen en genomgång av de fyra besluten, där banken förlorade i tre av dem.

Gissar att det var bland annat de här som gjorde att banker kräver att en qr-kod skannas när man använder mobilt bankid (iallafall första gången) för att autentisera sig på en stationär dator.

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Sep 2002

Angående GPS.

https://support.bankid.com/sv/fragor-svar/mobilt-bankid/varfo...

"Vi rekommenderar att du svarar ja."

Det är alltså inget krav. Det är nog information som är bra att ha när folk utsätts för bedrägerier.

Trädvy Permalänk
Medlem
Plats
Flen
Registrerad
Jul 2001

@filbunke: Banken står nog för 0 kr om bedragaren skaffat giltig ID-handling och därför kan skaffa bankid, bankdosor och allt utan offrets inblandning. Du kan nog också anses grovt oaktsam om du legitimerar och signerar saker du inte läser efter du blivit uppringd, så utfallen i verkligheten behöver inte vara att 3/4 får ersättning. Även om de talar om 12 000 kr som självrisk så finns det ju ingen försäkring. Sen får offren nog räkna med att processa om de vill ha någon ersättning.

Trädvy Permalänk
Medlem
Registrerad
Feb 2005
Skrivet av Petterk:

@filbunke: Banken står nog för 0 kr om bedragaren skaffat giltig ID-handling och därför kan skaffa bankid, bankdosor och allt utan offrets inblandning. Du kan nog också anses grovt oaktsam om du legitimerar och signerar saker du inte läser efter du blivit uppringd, så utfallen i verkligheten behöver inte vara att 3/4 får ersättning. Även om de talar om 12 000 kr som självrisk så finns det ju ingen försäkring. Sen får offren nog räkna med att processa om de vill ha någon ersättning.

Läste du besluten?

Trädvy Permalänk
Medlem
Plats
Flen
Registrerad
Jul 2001
Skrivet av filbunke:

Läste du besluten?

Fallet som nekades ersättning är väl ganska standard?

"....Den reklamerade transaktionen om 120 000 kr kunde ske genom att MF vid ett flertal tillfällen lämnade ut koder med hjälp av sin personliga säkerhetsdosa och möjliggjorde för bedragaren att logga in sig på MF:s internetbank, signera beställning av ett nytt BankID och signera höjning av beloppsgräns för Swish. Med hjälp av det nya BankID:et kunde bedragaren signera Swish-betalning till en av bedragaren angiven mottagare."

Offret skulle ju t.ex. kunnat vara kund i en bank där du kan skapa nytt bankid med bankid:t, så att du inte ens behövde blanda in dosan.

Edit: För övrigt, ARN hanterade 865 ärenden förra året rörande bankid-bedrägerier mot banker/kunders konton – mot banker fick bara 18 procent rätt och helt eller delvis ersättning. Man kan helt enkelt anta att offret är grovt oaktsam om offret legitimerar någon annan efter de får ett samtal och att de signerar utan att läsa vad de signerar, rent generellt.

Trädvy Permalänk
Medlem
Plats
Flen
Registrerad
Jul 2001

Hur som helst tycks ARN:s tolkning tala emot TS agerande, ARN har bedömt att vara oaktsam med bankid är mindre allvarligt än att vara oaktsam med koddosan om man ska se till fallen som diskuteras och som varit uppe i media.

Andra myndigheter menar att det är betydligt allvarligare att begå bedrägerier med bankid eftersom det inte bara är en säkerhetslösning skyddad av en personlig kod utan också en legitimationshandling och verktyg för digitala underskrifter.

Eftersom åklagare inte verkar vilja följa lagstiftarnas intention så har ju t.ex. företag som lurat kunder att legitimera sig för olika tjänster sluppit straff också. Så det är såklart tveeggat vilket som.

Trädvy Permalänk
Medlem
Plats
Sthlm
Registrerad
Apr 2004

Jag tycker det är problematiskt att man ombeds nästan slentrianmässigt "verifiera sig" med bankid hos olika aktörer för olika saker på ett väldigt snarlikt vis.
För all denna slentrianmässiga verifiering sänker tröskeln och aktsamheten när det väl kan dyka upp en "farlig" signering.

Är det en inloggningsförsök mot internetbank borde det stå att signeringen kommer släppa in någon på din internetbank samt var internetläsaren (ip-adressen) fysiskt befinner sig.

Frågar någon efter ditt id-kort per telefon borde både företaget och personen i andra presenteras med namn.

Idag är det samma meddelande, "Inloggning XXX".

Vanligen är ju varningsknappar röda, så att man ska fatta att något allvarligt händer när man trycker på dom.

Men BankID har inte fattat att signalfärger får folks uppmärksamhet, istället är allt minimalistiskt, stockholmsvitt med en eventuell liten textsnutt som ingen läser när banken flyttar iväg dina pengar.

Konstigt att folk blir kapade? Egentligen inte.

Vidare ringer både försäkringsbolag och vissa banker med dolt nummer, bara för att göra det ännu svårare att avgöra om det är banken eller en bedragare på andra sidan luren.

Det är ju nästan lite bäddat för bedrägeri...

Trädvy Permalänk
Medlem
Plats
Umeå
Registrerad
Nov 2003
Skrivet av Petterk:

Hur som helst tycks ARN:s tolkning tala emot TS agerande, ARN har bedömt att vara oaktsam med bankid är mindre allvarligt än att vara oaktsam med koddosan om man ska se till fallen som diskuteras och som varit uppe i media.

Andra myndigheter menar att det är betydligt allvarligare att begå bedrägerier med bankid eftersom det inte bara är en säkerhetslösning skyddad av en personlig kod utan också en legitimationshandling och verktyg för digitala underskrifter.

Eftersom åklagare inte verkar vilja följa lagstiftarnas intention så har ju t.ex. företag som lurat kunder att legitimera sig för olika tjänster sluppit straff också. Så det är såklart tveeggat vilket som.

Är inte arns beslut bara en rekommendation?

Skickades från m.sweclockers.com

Trädvy Permalänk
Medlem
Plats
Flen
Registrerad
Jul 2001
Skrivet av HenrikM:

Är inte arns beslut bara en rekommendation?

Självklart, och kolla inlägget ovan hur ofta ARN dömer till den utsattes fördel.

Alla banker som ger ut bankid följer däremot ARNs rekommendationer, det är god sed att göra så. Ingen av de elva banker som ger ut bankid vill hamna på Råd & Röns svarta listan för den delen.

Trädvy Permalänk
Medlem
Plats
Sverige
Registrerad
Jul 2007
Skrivet av Xeno88:

På tal om kontosäkerhet, är det någon som testat FIDO U2F? Funderar på att köpa två nycklar, använder vanligtvis authenticator.

Köp du några! Jag har inte testat det än med hårdvarunycklar, men jag har testat stödet i Firefox Mobile för att använda mobilens TPM-chip för att implementera FIDO2 / WebAuthn (med biometri / skärmlås), och det fungerade superenkelt.

FIDO2 är troligtvis det säkraste alternativet som finns tillgängligt för 2FA, och det är dessutom allt fler hemsidor som väljer att lägga till stöd för det över tid.

Skickades från m.sweclockers.com

sqrt(1787569)

Trädvy Permalänk
Medlem
Plats
Flen
Registrerad
Jul 2001

En bankanställd på en lokal bank har förskingrat miljoner från bankkunder, och nej banken har inte ersatt alla drabbade. Den bankanställde ska ha lurat kunder att överföra pengar till konton denne kontrollerade, till personen denne var skyldig pengar o.s.v. Denne hade också tillgång till konton i och med att denne var kontaktperson med befogenheter åt ett antal.

Så inte ens om en bankanställd med tillgång till dina konton begår brott kan du inte räkna med att bli ersatt. [Edit: I det här fallet ska nu alla ha blivit ersatta enligt banken]

Trädvy Permalänk
Medlem
Registrerad
Mar 2014

Så klart, man har ju ett eget ansvar också. Man ska inte låta sig luras att föra över pengar till andras konton eller skuldsatta personer.

Men man kan tycka att första steget borde vara tydligare i säkerhetsappen, alltså när man loggar in på internetbanken. Att det borde stå inloggning och inte legitimering. Då skulle det kanske vara något lite svårare att luras.

Som offret själv säger i det inspelade bedrägerisamtalet, hon vet inte vad hon legitimerar. Det står bara legitimering.

Dell Latitude 5280 | Core i7 | 16 GB RAM | 256 GB SSD | Windows 10 Pro
Antivirus products riddled with security flaws, researcher says

Trädvy Permalänk
Medlem
Plats
Flen
Registrerad
Jul 2001
Skrivet av torbjorn_75:

Så klart, man har ju ett eget ansvar också. Man ska inte låta sig luras att föra över pengar till andras konton eller skuldsatta personer.

Men man kan tycka att första steget borde vara tydligare i säkerhetsappen, alltså när man loggar in på internetbanken. Att det borde stå inloggning och inte legitimering. Då skulle det kanske vara något lite svårare att luras.

Som offret själv säger i det inspelade bedrägerisamtalet, hon vet inte vad hon legitimerar. Det står bara legitimering.

Ska du byta namn på ID-korten till inloggningskort också?

Trädvy Permalänk
Medlem
Registrerad
Mar 2014
Skrivet av Petterk:

Ska du byta namn på ID-korten till inloggningskort också?

Nej, bara appen.

Dell Latitude 5280 | Core i7 | 16 GB RAM | 256 GB SSD | Windows 10 Pro
Antivirus products riddled with security flaws, researcher says

Trädvy Permalänk
Medlem
Plats
Flen
Registrerad
Jul 2001
Skrivet av torbjorn_75:

Nej, bara appen.

Varför? Det är bättre att folk vet att det är en värdehandling istället.

Trädvy Permalänk
Medlem
Registrerad
Mar 2014
Skrivet av Petterk:

Varför? Det är bättre att folk vet att det är en värdehandling istället.

Ja ok, det skulle man kunna förtydliga kanske. Det står redan i passet. Passet är en värdehandling står det. Men det saknas på mitt körkort, trots att det finns plats. Det borde kanske stå där också då.

Dell Latitude 5280 | Core i7 | 16 GB RAM | 256 GB SSD | Windows 10 Pro
Antivirus products riddled with security flaws, researcher says

Trädvy Permalänk
Medlem
Plats
Flen
Registrerad
Jul 2001
Skrivet av torbjorn_75:

Ja ok, det skulle man kunna förtydliga kanske. Det står redan i passet. Passet är en värdehandling står det. Men det saknas på mitt körkort, trots att det finns plats. Det borde kanske stå där också då.

Folk vet nog att de inte får låna ut körkortet...

Trädvy Permalänk
Medlem
Registrerad
Mar 2014
Skrivet av Petterk:

Folk vet nog att de inte får låna ut körkortet...

Ja, men de vet inte alltid vad bank-id:t används till över telefon.

Det kan vara att banken behöver veta vem de pratar med, eller att en bedragare försöker logga in på internetbanken. Men det står bara legitimering oavsett.

Det borde kanske stå legitimering i det första fallet, och inloggning i det andra fallet. Så att det blir tydligare.

Dell Latitude 5280 | Core i7 | 16 GB RAM | 256 GB SSD | Windows 10 Pro
Antivirus products riddled with security flaws, researcher says

Trädvy Permalänk
Medlem
Plats
Flen
Registrerad
Jul 2001
Skrivet av torbjorn_75:

Ja, men de vet inte alltid vad bank-id:t används till över telefon.

Det kan vara att banken behöver veta vem de pratar med, eller att en bedragare försöker logga in på internetbanken. Men det står bara legitimering oavsett.

Det borde kanske stå legitimering i det första fallet, och inloggning i det andra fallet. Så att det blir tydligare.

Det finns bara två sätt att använda BankID – ena är legitimering och andra är signering/underskrift. Bevisligen läser inte alla vad som kommer upp på skärmen och det är redan möjligt att ha (och förekommer redan) olika meddelanden för legitimering mot kundtjänst och för internetbanken.

Vill du ha något inloggningsverktyg för banken är det bättre att de släpper en egen app.

Eller så har banken bara några extra steg själva, du kan inte lägga över allt ansvar på legitimerings och signeringsmetoden. De kan slå på kravet på QR-koder också, så riskerar du inte att släppa in någon i banken (utan att du är utsatt för en mer avancerad attack), men att släppa in någon i internetbanken är inte det som gör skada utan det är ju att signera registreringen av nytt konto och överföring till dito.

Att blanda in andra saker än legitimering och signering i värdehandlingen bankid vore inte en bra idé, eftersom det inte är något du ska låna ut och skulle förvirra ytterligare. Att låna ut ett lösenord är inte brottsligt även om det kanske bryter mot några villkor för tjänsten i fråga, men att låna ut BankID är brottsligt och medför alltid risker.

Trädvy Permalänk
Medlem
Plats
Gigabyte
Registrerad
Aug 2008
Skrivet av Blomkungen:

Nej @frong du har inte missat något. @Pjb har verkligen inte en aning om hur bankid fungerar, för guds skull du kan inte ens logga in om du inte är på samma plats längre pga gps kravet och det är bara en inloggning per gång som tillåts, avbryts det eller om något går fel får du gott vänta en stund.

För mn del så brukar jag ha upp till 3 olika inloggningar på gång samtidigt. Har inga problem med det.

Trädvy Permalänk
Medlem
Plats
Gigabyte
Registrerad
Aug 2008
Skrivet av infigo:

Dock har det varit fall där jag vet att banken ringt upp och behövt legitimation via bank-id. I ett fall jag såg var de nordea som ringde, Personen de ringde sa nej och ringde nordea växeln och kom fram till samma person som ringt upp. Det är riktigt dåligt att banken sa "lita på oss" men man får ju bara vad som är uppgivet av personen i andra ändan av telefonen. Kunde lika gärna varit en bedragare i det fallet, det vet man inte.

Jag skulle aldrig signera med bank-id om JAG inte har initierat på sidan eller ringt min bank med telefon.

Skulle vara kul att veta varför han behövde legitimera sig då han blivit uppringd.

Trädvy Permalänk
Medlem
Plats
Gigabyte
Registrerad
Aug 2008
Skrivet av Petterk:

Folk vet nog att de inte får låna ut körkortet...

Gamla körkort brukar de flesta kasta.
Sparade mitt vid senaste bytet. Det går lika bra att använda det gamla även om det gått ut. Kan vara bra att veta om man hittar något eller slänger ett gammalt.

Trädvy Permalänk
Medlem
Registrerad
Jan 2017
Skrivet av abki:

För mn del så brukar jag ha upp till 3 olika inloggningar på gång samtidigt. Har inga problem med det.

Byt bank, tillåter de att du loggar in flera instanser samtidigt har de inget säkerhetstänk.

Skickades från m.sweclockers.com

Trädvy Permalänk
Medlem
Registrerad
Sep 2012
Skrivet av abki:

Gamla körkort brukar de flesta kasta.
Sparade mitt vid senaste bytet. Det går lika bra att använda det gamla även om det gått ut. Kan vara bra att veta om man hittar något eller slänger ett gammalt.

Använda till vad? skrapa rutan på bilen? ett utgånget körkort är inte längre en giltig ID handling, ej heller ett giltigt körkort. En spricka i körkortet eller legget gör det också ogiltigt.

Trädvy Permalänk
Medlem
Plats
Hemma
Registrerad
Okt 2001
Skrivet av Kwirek:

Byt bank, tillåter de att du loggar in flera instanser samtidigt har de inget säkerhetstänk.

Skickades från m.sweclockers.com

Han mena nog inte 3 olika instanser på samma bank. (varför i hela friden skulle man göra det ?)
Men man kan ju logga in på Banken, tradera, avanza, svenskaspel samtidigt exempelvis

Låda Corsair Obsidian 1000D
MB Asus x570 Crosshair Formula XIII CPU AMD 3900X
GPU Amd 5700X Watercooled RAM 16GB Galax HoF OCLAB 4600Mhz:C19
PSU Phanteks Revolt 1200W SSD Corsair MP600 1TB M.2, Samsung 970 Evo 1TB M.2Display LG B7 65" Oled Watercooling Twin D5 pump, Next Vision Block 480+480+280+140

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Jun 2010
Skrivet av Defender:

Han mena nog inte 3 olika instanser på samma bank. (varför i hela friden skulle man göra det ?)
Men man kan ju logga in på Banken, tradera, avanza, svenskaspel samtidigt exempelvis

Man kan logga in på flera tjänster efter varandra, men man kan inte ha flera pågående inloggningsförsök samtidigt. Det är ju inte ovanligt att exempelvis logga in på Kivra för att få fram en räkning och sen på banken för att betala den eller liknande. Men om du eller någon försöker logga in samtidigt, alltså sannolikt för att försöka "kapa" din inloggning för något annat än vad du tror att du gör, så avbryts försöket. Du kan alltså inte starta en inloggning på Kivra med ditt personnummer utan att godkänna inloggningen, sen starta en inloggning på din bank på samma sätt, och därefter godkänna båda i BankID eller ens ett av försöken.

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Jun 2018
Skrivet av adfactory:

Använda till vad? skrapa rutan på bilen? ett utgånget körkort är inte längre en giltig ID handling, ej heller ett giltigt körkort. En spricka i körkortet eller legget gör det också ogiltigt.

Om du skall kasta en ID-handling så skall den fragmenteras i så små delar som möjligt så att ingen annan kan använda den ens med klister.

Men som jag ser det - alla former av ID-stöld borde det vara "capital punishment" på.

Trädvy Permalänk
Rekordmedlem
Plats
Salstad
Registrerad
Feb 2009

Körkort kommer att upphöra att gälla som id-handling 1 januari 2022 och troligen kommer även bank id att påverkas eftersom lagen även omfattar en ny statlig e legitimation.

Pass och det föreslagna statliga identitetskortet uppfyller de säkerhetskrav som bör ställas på identitetshandlingar och täcker de behov av identitetshandlingar som finns hos landets invånare. Endast dessa handlingar ska därför godtas som fysiska identitetshandlingar i de situationer som kräver en säker identifiering.
Avsikten är dock att handlingarna på sikt ska vara de enda identitetshandlingar som används även i andra situationer där det finns behov av att göra säkra identitetskontroller, exempelvis vid utlämnande av försändelser vid postutlämningsställen.
Körkortet kommer alltså inte att vara en statlig identitetshandling med den föreslagna regleringen. Anledningen till detta är att körkortet inte uppfyller de säkerhetskrav som bör ställas på identitetshandlingar.
En statlig e-legitimation på det statliga identitetskortet
Den ökade digitaliseringen gör det allt svårare att klara sig i samhället utan tillgång till en e-legitimation. Det är därför viktigt att alla ges möjlighet att skaffa en säker e-legitimation. En säker elektronisk identifiering bidrar också till att motverka den identitetsrelaterade brottsligheten. Med en säker grundidentifiering som görs av en myndighet vid ett personligt besök minskar risken för att fel person får tillgång till e-legitimationen.
Vi föreslår att en statlig e-legitimation på högsta tillitsnivå får finnas på det statliga identitetskortet. E-legitimationen ska även kunna användas för att skapa en elektronisk underskrift. Den kan utfärdas till personer som har fyllt 13 år och som är svenska medborgare eller folkbokförda i landet.
Polismyndigheten ska utfärda de statliga identitetshandlingarna
Vi föreslår att Polismyndigheten ska ha det huvudsakliga ansvaret för utfärdandet. Genom att låta en myndighet ansvara för utfärdandet av de statliga identitetshandlingarna uppnås stora samordningsvinster. Det skapar förutsättningar att göra processen mer enhetlig och säker, att förbättra handlingarnas säkerhetsnivå och att åstadkomma bättre kontroll.
Den personliga inställelsen är central för säkerheten i utfärdandet. Det krävs därför normalt att sökanden inställer sig personligen både vid ansökan och vid utlämnande av id-kortet.

https://www.regeringen.se/4961ec/contentassets/689f5a032b4f4a...

Intresset för bank id lär nog minska dramatiskt för de flesta behöver ju ha den nya id handlingen så även om det kanske inte blir tvång på e id via den så varför skulle man välja bort det, några år efter att de nya bestämmelserna börjat gälla lär inte många sakna den statliga id handlingen för den lär ju bli ett måste att ha.

Ryzen 5 2400G, Asus ROG STRIX B350-F Gaming, 500GB Samsung 970EVO NVMe M.2 och en väldig massa masslagring. Seasonic Focus+ Gold 650W, Antec P 180 med Schyte o Sharkoon fläktar via en t-balancer, Tittar på en Acer ET430Kbmiippx 43" 4K
Främre ljudkanalerna återges via Behringer DCX2496, högtalare Truth B3031A, Truth B2092A Har också Oscilloskop, mätmikrofon och en Colorimeter.

Trädvy Permalänk
Medlem
Registrerad
Sep 2012

@ehsnils: självklart ska man helst köra dom i en dokumenttugg eller elda upp skiten.