Säkerhet internetbank

Du surfar in som du tror på din bank, men kommer till bedragarens sida som ser likadant ut som din bank. Detta gör han genom att t.ex. ställa om din router att routra till honom istället för banken när du skriver bankens adress. Samtidigt i andra ändan har han uppe den riktiga banken på sin sida. Så då loggar du in på hans sida men han ser och kan styra vad du ser och inte. Så du kanske i nästa del tror du för över 500 kronor till din kompis, men han styr över att tar 10 000 kr till ett annat konto. Förklarade lite enkelt, men typ så kan det gå till. Och det är inget man behöver vara rädd för varje dag, utan bara medveten om.

Liten video om ämnet:
https://www.youtube.com/watch?v=-enHfpHMBo4

Edit: Tror många av säkerhetspaketen har skydd mot sådant, men inget du behöver tänka på i din vardag så länge du har koll på dina system.

Brandväggen kan användas för att stoppa trafik som inte går till banken men man kan använda koddosa via telefonen också. Tekniska säkerheten är nog ganska hög i vilket fall för det är ju inte så man angriper utan man lurar ju offret att släppa in buset och överföra pengar utan att på nått sätt angripa direkt.

Ja, det är helt möjligt att göra en site som ser äkta ut och som i princip beter sig som en äkta vara. Bara skicka vidare all info man får emellan er. Man behöver ju inte skapa ett system för inloggningsdosan. Bara att man kopierar specifik text som skickas mellan dig och banken. Du skriver in ditt personnr i den fejkade banken, de skriver in samma i din riktiga. Sedan säger den riktiga en kod som de då skickar vidare till den fejkade sidan du ser, du skriver i din svarskod och de skickar den vidare till den riktiga banken. Och när de ser att du skriver ett banknr så ändrar de mottagen på den riktiga banken, och när de ser att du skriver summan att föra över ändrar de den på den riktiga banken. Och det händer på riktigt, inte bara i teorin. se t.ex denna nyhet från 2019 eller vad Trend mikro skriver om appar i telefoner.

Men att just du som vanlig användare blir måltavla för detta i dagens Sverige är otroligt liten. Säkerheten har blivit mycket bättre både när det gäller webbläsarna/antivirussystemen och även bankerna. Swedbank har ju t.ex. att där summan av det man för över är själva koden. t.ex. 0001 0000 för hundra kronor och sedan svarar man med sin dosas svar.

Man kan ju installera säkerhetspaket på en Ipad också väl? Tyvärr sträcker sig inte mina kunskaper så djupt, men om man läste på Avast med funktionen säkra webbplatser så jämför han DNSen mellan den påstådda sidan och den som har riktiga. (kanske?).
Någon annan kanske kan svara lite bättre just på den frågeställningen, för det är intressant att veta om den funktionen praktiskt gör någon nytta.

Ja, den där är ju lätt att glömma. Får skylla på för mycket påskmust, slint i huvudet där

Det gör att man får en helt annat läge när det gäller MITM. Att alla banker och de flesta sidorna nu för tiden använder sig av HTTPS gör att allt som har med MITM är till en så minimal nivå. De MITM som görs nu tror jag är bara är riktade till en specifik person eller företag eftersom man då måste in och skapa falska certifikat och lyckas få användarna och webbläsarna/apparna att gå på detta vilket är mycket mycket svårare, nästintill omöjligt. https://security.stackexchange.com/questions/8145/does-https-...

Svenska banker med BankId är otroligt säkert, och som du säger så ser man vad man godkänner. Eftersom man använder BankId så mycket som man gör och blivit så van vid att mata in lösenordet så är det faktiskt rätt lätt att ibland missa att läsa allt som kommer upp. Sedan skulle jag inte godkänna något när någon har ringt mig, osv. men det är så lätt för äldre att bli så lurade att skriva under när det sker, eller som nu när telefonförsäljare kan använda detta också, vilket är fel.

Förr så var säkerheten sämre tex hos Swedbank om man kom över någons temporära inloggningskod via en trojan så kunde en angripare också använda samma kod på sin dator för att logga in bara han gjorde det inom 15 minuters gränsen. Så dålig var säkerheten fram till för ungefär 12 år sedan 2009 så Swedbank uppgraderade och gjorde det möjligt att använda koden endast en gång och också förhindrade fler än 1 enhet åt gången tillträde.

Numera är det jämt skägg och lika säkert på mobil och dator skulle jag säga...

Angående det här med att kolla vad man signerar med BankID - om jag hade varit ute efter folks pengar så hade jag lagt in en liten pryl i webbläsaren som styr om alla betalningar till mitt konto utan att ändra beloppet.

Förfarandet blir alltså:

1. Användaren blir infekterad med något slags malware.
2. Användaren ska betala räkningar för den här månaden.
3. Användaren loggar in på Internetbanken.
4. Användaren lägger upp sina räkningar för betalning / godkänner e-fakturor.
5. I det här läget så träder malware in och ändrar betalningsmottagare på alla fakturor, men bara mot bankens webbserver. Datum förändras också så att pengarna går iväg med en gång, inte på förvallodagen. I själva datorn ser mottagarna korrekta och omanipulerade ut.
6. Användaren får upp instruktion om att signera betalningarna och gör detta eftersom beloppet stämmer.

På SEB får man när man ska signera betalningar upp som signeringsmeddelande kontonummer (inte betalningsmottagarens namn!) och belopp. Jag kan lova att de flesta inte kollar vilket kontonummer pengarna ska gå till.

Trojanen fortsätter genom att manipulera kontoutdragen så att det ser ut att man betalat sina räkningar. Offret märker ingenting tills hen börjar få betalningspåminnelser från sina betalningsmottagare, och kommer förmodligen bestrida dessa eftersom han från sitt perspektiv ser att pengarna gått iväg...

Bara en tidsfråga innan bedrägerier som ser ut så här kommer på riktigt, om de inte redan sker, eftersom detta bara är en något mer subtil variant av nuvarande tekniker.

Det enda som förhindrar någon från att faktiskt genomföra en sån här attack är antivirus på sin dator, och även detta är ju en "arms race". En slags katt och råtta lek. Samt att man nitiskt även kollar vilka kontonummer man signerar betalningar till. Bankerna kan mititgera detta genom att skriva ut namn på betalningsmottagaren i meddelandet man ska signera, inte bara kontonummer, men även där så är det ju möjligt att luras med vilseledande kontonamn.

Det är mycket svårare att genomföra samma sorts attack på en stängd plattform, som t.ex. Android eller iPhone, eftersom det är svårare för malware att få fäste där, eftersom hela systemet motverkar alla sorts tredjepartsprogram.

Så det här är ett argument som säger att det är säkrare att betala sina räkningar på mobilen. Även om jag personligen inte är särskilt oroad över att betala räkningar på mobilen. Det finns inget som hindrar att jag blir rånad på väg till Coop heller, men jag sitter inte och oroar mig över det konstant.

Jag föredrar att göra mina bankärenden på datorn och då bara använder mig av BankID på kort med en kortläsare kopplat med sladd till datorn. Koden knappas in på kortläsaren och kan således inte läsas av med en keylogger. En bedragare kan därför inte i förväg ha angett mitt personnummer på någon inloggningssida och hoppas på att jag ska godkänna med mobilt bankID.

Men man behöver väl kvittera/gokänna nya betalningsmottagare på de flesta banker ? Det blir ju ett extra steg innan en bedragare kan få in ett konto denne har kontrollen över. Det går väl tekniskt att få till en sida som fungerar med en extra kvittering men visst blir det ännu bökigare och misstänkt att implementera det och alternativet är att ta över kontot hos nån som många kan tänkas överföra pengar till typ EON, Klarna eller nått liknade men det lär inte vara helt lätt att maskera att man byter ut en betalningsmottagare och att bara skapa kaos genom att skicka pengarna till en felaktig redan godkänd mottagare äg nog inget en bedragare är ute efter för det tjänar de inget på.

Inte hos SEB.

Se skärmdump nedan (tyvärr ett foto av bildskärmen då man inte kan ta en skärmdump inuti den "säkra delen" där man ska signera...) Skärmdumpen visar BankID på kort (som jag brukar använda) men signeringmeddelandet är för övrigt exakt likadant på mobil bankid.

Kontonumret 901950-6 som jag använde som exempel går till Radiohjälpen (ett konto dit jag aldrig överfört pengar med den här banken.) Men det framgår ju ingenstans av meddelandet.

Dessutom är det i princip omöjligt att faktiskt kolla att kontonumret stämmer i den här vyn, eftersom det inte går att klicka bort från signeringen utan att avbryta den... perfekt grogrund för en scam med andra ord.

(Förhoppningsvis så skulle ju detta flaggas i ett senare stadie av bankens "anti-fraud"-mekanismer... men det kan man inte lita på.)

Förresten, vad hindrar en angripare att dessutom hacka själva bankid-programmet på datorn när han ändå är inne i datorn och härjar och skriver om meddelandet? Det lurar ingen som har mobilt bank-id, däremot någon som, som jag, kör bankid på kort.

jag tänker så här, attackytan på min windowsdator är mycket större då jag tankar hem grejer från "vilda internet". Så risken för t.ex. en RAT trojan som gör att en onde hakkaren kan ta över min skärm eller dylikt är mkt större där än på min alltid helt uppdaterade iPhone som jag bara använder app-store på

SEB använder dynamiska sidor - dvs kontosidan heter inte "Myaccount.aspx" utan d00023232323 och genereras upp för min session/inloggning + flerfaktors autentisering i inlogg(QR kod) - samt vid betalning(+ extra SMS om beloppet är större än X). Så en MiTM attack blir svår.

Man kan göra BETALNING till oanmält konto(dvs du kan betala räkningar) - men du inte inte göra överföringar till oanmält konto(utan extra åtgärder). Så det är viktigt att kolla vad du godkänner i BankID appen i telefonen(oavsett om du kör appen eller webben). Räkningar ligger alltid "kvar" i listan minst till midnatt, så där har man en extra chans att gå in o stoppa om man känner på sig att någon post i listan inte är OK.

Då SEB är skyddad med QR kod, så hjälper inte social-engineering, då den lede hakkaren inte kan påbörja inlogg hos sig som avslutas hos dig då QR koden är på din skärm

O nu när alla kör TLS 1.2 för SSL så är ju certifikaten / krypteringen säkrare än på länge

Jag har kör internet/telefonbank sen 1996(Sesam som blev SEB) - har aldrig haft några problem

mvh Lazze

Det hindrar exakt noll phishing-attacker dock. Du kan utan problem skaffa cert gratis för vilken fuskdomän som helst på 2 sekunder och ha ett grönt och fint hänglås i browsern. Det enda hänglåset betyder är att trafiken mellan dig och webbservern är krypterad.

Det är ju EXTREMT sällan de luras med en sofistikerad man-in-the-middle-attack. Det vanligaste är ju att de lurar in en på ett domännamn som ser ut att tillhöra exempelvis SEB, men i själva verket är nåt annat.

Det löser man enklast med ett webbläsartillägg. Att webbläsartillägg kan manipulera en hemsida som man går in på är okontroversiellt, det är precis så t.ex. en adblocker eller Better Sweclockers fungerar. Man behöver inte bygga en exakt kopia på GUI:t, det räcker att manipulera de relevanta delarna på sidan, vilket inte är särskilt svårt. Det tog mig cirka 5 minuter att skriva ett litet script som manipulerar mitt banksaldo som det visas till mig till ett värde jag bestämmer, och göra det varje gång jag går till saldosidan. (Det gör så klart inte att jag har mer pengar på mitt konto, men det får det att se ut så för mig. )

Jag har några fler spontana idéer om exakt hur en sådan trojan skulle kunna droppas på en dator, och hur man kan kringgå antimalware, men jag ser inte hur någon sådan information skulle kunna hjälpa någon att skydda sig mot detta, så jag tror det är bäst att jag inte postar det just här.

Liknande attacker har redan skett, räcker googla på "banking trojan" och läsa lite.

Varför skulle det inte gå att automatisera? Att det går att följa pengarna efteråt är alltid svagheten, ja. Och det är klart att om allt man gör är att manipulera att pengarna går till sitt eget bankkonto så kommer man väldigt snabbt att vinna "smartaste dumma brottsligheten i år"-utmärkelsen. Man skulle behöva kombinera detta med ett sätt att tvätta pengarna i fråga. Åter igen så kommer jag på några sätt man skulle kunna göra på, men jag vet inte hur lämpligt det är om jag skriver om detta. Dessutom är det inte relevant i det här sammanhanget.

Oavsett så är inte syftet med hela det här att ge någon någon slags ritning eller karta till hur man stjäl folks pengar, utan mer att visa på att PC-plattformen är mer känslig till den här sortens attacker än mobilplattformen, eftersom den är mindre nedlåst. Allt på PC-plattformen går ut på "enumerating badness" till skillnad från mer nedlåsta plattformar där man istället behöver vitlistas innan man blir insläppt. Det betyder i sin tur inte att jag tycker att PC-plattformen är sämre generellt, svagheten i säkerhet är en styrka i form av valfrihet, utan bara att den är sämre på det här specifika sättet.