Hur sker bankid bedrägeri?

Steam frågar faktiskt efter bankid som slutförligt steg när du handlar, det har dem gjort ett tag faktiskt.

Det är ju inte steam som frågar efter bank id.. Det är det konto pengarna ska dras ifrån.. Tex Swedbank. Men alla "banker/kreditkort använder inte bank id än.

Jag stöter dagligen på människor som utför sitt arbete nästan helt utan att läsa vad det står på skärmen. De går väl på rutin, muskelminne, periferiseende, inte vet jag. Så när de kommer till mig med felbeskrivningen ”det funkar inte”, läser jag på skärmen. Sen vet jag antingen vad som ska göras sen tidigare eller så googlar jag vad det står och får en lösning. Det är min superkraft.

Om du nu tänker dig att en slug bedragare ringer upp den här personen, drar en historia om att dennes pengar är i fara eller att timmy ramlat ner i brunnen och på så vis skapar en stressad situation där offret upplever ett behov av att agera snabbt.. Tror du att det spelar någon roll vad det står i appen då?

Behövde inte göras i efterhand, det skedde mest troligt i samband med att han trodde att han betalade en frakt. Det han troligen gjorde var att godkänna att fulingarna loggade in på hans bank, och sen godkände utfärdande av ytterligare mobilt bankid, dvs han läste inte vad som faktiskt stod när han bekräftade. Du är ouppmärksam och går med på två signeringar, sen är det kört. Går fort om man dessutom kör med fingeravtryck, jaja blipp blopp, så, klart.

Det tror jag verkligen inte i det här fallet, behövs definitivt ingen åtkomst till offrets enheter alls för att utföra detta.
E-handelstemplate på valfri hosting för en spottstyver, när någon beställer dina icke existerande varor har du fått in e-post och mobilnummer, du vet även vilken bank om dom redan betalat. Nu kan du förbereda dig för att logga in på dennes bank, du har redan alla uppgifter och behöver bara bank-id signeringen. Skicka ut ett SMS om den saknade frakten med en länk till din "betalsida".
Det blir väl någon form av man in the middle, men den behöver inte vara särskilt avancerad alls.
SIM-swapping är extremt ovanligt i sverige, vi har inte USAs slappa hantering av abonnemang och SIM-kort.

Jag tror ju snarare att detaljerna bara gått förlorade i någon viskningslek.

Misstanke:
Jag skulle ju tro att själva skapandet av bankid eller motsvarande görs direkt när offret sitter där och knappar, inte i efterhand.

Lura in offret på någon skurksida där de tror att de faktiskt har anledning att göra något legitimt, säg "oj något blev fel, försök igen" mellan de bankid-prompter som bedragaren behöver för att gå igenom hela processen att skaffa ett bankid (eller göra en överföring eller vad de nu valt att få offret att göra).

Det förlitar sig förstås på att offret inte läser vad det är det handlar om när de "försöker igen" (fel motpart, olika bankidanvändning dvs identifiering/signering, osv), men så är nog ganska många, särskilt om man stressat upp dem lite med att de måste göra [x] nuuuuuu för annars [hittepå].

Det är alltid SBS (Skit bakom skärmen) vid såna här situationer. Tyvärr har HD dömt att pengarna ska tillbaka i ett mål vilket skapar enorma problem för den finansiella sektorn som stort.

https://www.domstol.se/nyheter/2022/06/konsument-far-ersattni...

Har också inte helt klart för mig hur dessa bedrägerier sker rent praktiskt.

Ringer någon och ber mig öppna BankID så kan denna personen logga in på min Internetbank. Visst, det är inte jättebra, men där kan personen bara typ föra över pengar mellan mina egna konton och lite sånt. Ska personen göra en överföring ut från något av mina konton behöver jag öppna BankID igen för att godkänna det. Då står det i appen typ "Då godkänner överföring på 300 000:- till Konto xxx" eller något sånt (minns inte exakt hur texten är formulerad, men något sådant). Känns extremt osannolikt om man inte är typ Agda, 114 och inte ens ser vad det står på skärmen.

På vissa artiklar låter det ju som personen loggade in på BankID en enda gång och plötsligt kunde bedragaren göra precis allt, föra över pengar, skapa nya BankID o.s.v. Men som sagt, man måste godkänna varje steg för sig med BankID.

Sen måste väl kravet på QR kod göra det ännu säkrare, så frågan är varför inte det införts på fler ställen? Då måste bedragaren i princip ringa ett videosamtal och filma QR-koden, sen måste jag scanna den med en annan mobil än den jag pratar med bedragaren i (för jag kan ju inte scanna min mobils egen skärm med mobilens kamera).