Det här med Bank-ID

Nu blir det ju lite hackat och malet när man varit borta ett par dagar.

Varför skulle QR-koden vara enklare att få tag på än en passcanning (eller uppgifter från passet)? QR-koden återfinns ju fysiskt på en plats, och utan någon form av annat stök så är ju inte den tillgänglig?

Vad skulle förhindra social engineering även där?

Skulle vilja förenkla det en hel del. Bankerna vill minska sina ersättningsskyldigheter enligt de senaste rättsfallen inom området. Där ligger deras stora mål.

Jag ser som sagt inte att det här skulle göra något åt grundproblemet. Social engineering och att det går att få folk att göra väldigt dumma saker bara man trycker på rätt knappar.

@Henrik21:

Frågan är när du är grovt vårdslös.

Säg något som är riktigt enkelt:

En bedragare ringer upp och låtsas att sälja något, kunden svarar på massor frågor det ihop med offentliga uppgifter ger en bra bild över målet.

Bedragare skickar nu en länk om att en faktura inte är betald, målet ringer upp bedragaren och bedragaren övertalar målet att swisha in en betalning (inkassobolagen jobbar med swish).

Bedragaren tvättar pengarna och skrattar sig lycklig tills polisen tar de för narkotikabrott eller något annat orelaterat. Effektiv tid handlar bara om minuter när allt är satt i system. Vilken faktura/bolag de ska utge är obetald blir träffsäkert tack vare första samtalet.

Grovt vårdslös eller inte?

Vad ska läsa pass eller nationellt id-kort göra åt saken? Även om den kommer upp så har ju bedragarna riktat sig mot någon som troligen är så medgörlig att de gör den delen också.

Detta var direkt kommentar på ditt inlägg, senare är mer allmänt.

Digital id-kontroll i den formen föredraget tog upp (som @torbjorn_75 vill hänvisa till) är redan införd, det är just därför den andre Petter tar upp att bankerna kan göra mer när det gäller att ta in information till deras riskmotorer – det går inte att kräva kontroll omotiverat.

Någon som tar med sig mobilen till kiosken för att swisha kommer ju byta bank om de vägras swisha för att pass/nationellt id-kort plötsligt ska skannas. De som har körkort kommer bära med sig körkortet, de kommer inte ha nationellt id-kort och passet är säkert förvarat hemma om vi ska gå efter något som är ett rimligt antagande. Inte för att folk önskar lägga flera minuter till den processen när de ska göra andra ärenden.

Gör bankerna som äger Swish det allt för krångligt, likväl om kort som ligger i mobiler och klockor plötsligt börjar kräva att du skannar pass eller nationellt id-kort går ju kunderna över till fysiska betalkort igen.

Där det är krav är när ett helt nytt bankid skapas med hjälp av säkerhetsdosan – inte varje gång ett nytt skapas med hjälp av bankid, inte varje transaktion du gör med banken. Digital id-kontroll har från lanseringen kunnat användas för vad som helst av banken och används redan där de tycker det är lämpligt, alltså i fler syften än när nytt bankid skapas.

Någon som fått hjälp av bankkontoret att skapa bankid skulle ju bli oxtokig om de utan motivering skulle bli ombedd att skanna pass eller nationellt id-kort av bankid-appen. De skulle bli tokig även om det gällde att lägga till bankid på surfplattan, de vill ju se sig som betrodda när de varit på banken och bekräftat vem de är.

Det finns giltiga id-handlingar som inte är pass eller nationellt id-kort exempelvis Skatteverkets id-kort så en utländsk medborgare med uppehållsrätt kan inte använda digital id-kontroll. Personnummer framgår ju inte på deras utländska pass. Varken Skatteverkets id-kort eller körkort går att läsa.

Självklart kommer inte någon kräva av bankerna att inte betro kunder de fysiskt mött.

Skapas ett bankid på en ny pryl med hjälp av bankid och att QR-kod skannas så har du redan fått bort problemet att bli lurad över telefon, kan din telefon bli så pass medgörlig och sårbar att någon kan läsa av eventuell QR-kod därifrån kan de redan fjärrstyra telefonen och göra alla transaktioner därifrån så fort du knappat in koden för bankid medan telefonen är i attackerarens kontroll. Bankid-utvecklarna kan bara till viss del skydda sig mot kapade eller sårbara telefoner.

Binder vi allt till nationellt id-kort och pass skapar vi bara en farligare situation – för hur lätt är det inte att supa bort plånboken på krogen och vem kommer spärra id-kort och grejer utan att försöka hitta först. Lämnar det bara öppet för att handlingarna ska få hjälp att komma bort och missbrukas. Även utan alkohol inblandad kan handväskan eller innehållet vandra iväg ett par minuter och återlämnas utan att någon märker något.

Dosor (bankernas säkerhetsdosor) med QR-kod tycktes förbises av @torbjorn_75. Där ska man komma ihåg att koder från bankdosor är det enda du kan lämna ut över telefon idag som möjliggör inlogg och transaktioner över ett telefonsamtal (när vi talar banker) utan falska hemsidor och dylikt. Den förändringen har inte hindrat bedrägerierna från att öka.

Själv föredrar jag som sagt att man behöver NFC för att skapa nytt bankid (med hjälp av ett befintligt) snarare än QR-kod, men den tanken kan man också dra till bankernas egna säkerhetslösningar – problemet där är att datorer inte har NFC så som mobiler och surfplattor. Används det inte på rätt sätt så bidrar det ju heller inte till något mer än vad QR-kod bidrar med. Det skulle däremot öppna upp för bankid på enheter som smarta klockor, eller öppna upp att man kan använda mobilt bankid i miljöer där kamera inte är tillåtet.

Litar man på den kryptografiska delen av att läsa pass/id-kort med NFC så kan ju bankerna lika gärna bygga in detta i bankkortet eller en tagg. Sen kan man ju tänka sig att någon kan komma i närheten av handlingarna när de är på din person, har de redan kommit över bilder de förmått dig att förse de med eller som läckt från någon tjänst så har de allt förutom just ansökan om nytt bankid på plats.

TeamViewer är ett populärt fjärrstyrningsprogram, gratis att ladda ner och använda för privatpersoner, då kan man få QR-koden på en plats till. Det är inte något avancerat. länk

Om vi kollar vad BankID säger så blir nog allt bra.

Det mesta som BankID gör för att motverka bedrägerier, och jag har nämnt en del av det, är sådant som inte syns för slutanvändaren. Men en väldigt konkret sak som kommer märkas alla slutanvändare det är att det kommer bli mer besvärligt att skaffa ett nytt BankID. Det är nämligen så att det är stor risk att nästa gång du skaffar ett BankID så kommer du behöva ha ett giltigt pass eller nationellt ID-kort, som vi kan läsa av i telefonen. Och har du inte det, då kommer du att bli tvingad att besöka ett bankkontor.

Så en uppmaning till er alla, och sprid gärna det budskapet, det är att se till att ha ett giltigt pass eller nationellt ID-kort utfärdat från Polisen. För annars så finns det en risk att du behöver besöka ett bankkontor nästa gång du skaffar ett nytt BankID.

Och det här är en åtgärd vi genomför tillsammans med bankerna just för att stävja problemet med obehöriga transaktioner och obehörig utgivning av BankID.
-- BankID, 23 februari

Ja, nyheten är ju inte själva funktionen utan att den kommer att användas betydligt mer i framtiden. Det är en väldigt konkret sak som kommer att märkas för alla slutanvändare.

– Det kommer att bli krångligare att öppna ett nytt bank-id framöver. Man kommer behöva pass eller id-kort, har man inte det får man gå till ett bankkontor.

Nej det finns ingen nyhet.

Det finns en anledning till att den andre Petter pratar om riskmotorer.

Hm, känns som BankID skjuter Polisen i foten, moment 22 eller är det hönan och ägget. Men ja besöka bankkontor framställs nästan som ett hot. BankID borde säga "varmt välkommen att" istället, för det är ju bara fördelar. Banker har fina lokaler, personalen är trevlig och man slipper betala 400 kr.

Här är nyheten från tidningen Finansliv länk

BankID kallar det för en "åtgärd" om man vill bråka om ord.

Och det här är en åtgärd vi genomför tillsammans med bankerna just för att stävja problemet med obehöriga transaktioner och obehörig utgivning av BankID.

På Sweclockers forum diskuterade jag och flera andra digital id-kontroll redan förra året. Bankerna har redan infört alla varianter den andre Petter diskuterade i februari, det betyder inte att du får använda pass/id-kort varje gång du skapar BankID med BankID.

Att diskutera skapa BankID med dosa är lite sent, det är ingen förändring du ser nu utan alla har redan infört det.

Edit: Min bank har haft det något år nu, för att vara tydlig – funktionen har funnits sedan 2021: https://web.archive.org/web/20210920121022/https://support.ba... och pressrelease oktober 2021 https://www.bankid.com/om-oss/nyheter/digital-kontroll-av-id-...

Tog bort delar i inlägget och bemöter de som är kvar.

Just vårdslösheten är väl det som man varit inne på i de senaste rättsfallen där även begränsning till 12tkr som "självrisk"?

Körkort som ID har det ju diskuterats en hel del kring både historiskt och aktuellt. Få länder har ju körkortet som identifikation, vilka delar finns i ett pass som inte finns i andra identifikationsmöjligheter (eller om man väljer att kombinera ett av en bank utfärdat betal/kreditkort i samband med någon form av uppgifter från användaren).

Det vi ser är ju (faktiskt) inte sårbarheter i de tekniska systemen, och höjer vi tröskeln så kommer färre använda dessa. Vi är nog rätt eniga i var vi står i denna fråga.

Det förutsätter ju fortfarande att personen accepterat och installerat det programmet samt sedan tillåtit anslutningen. Återigen, användaren som gjort något och inte ett systemfel.

Vid grov vårdslöshet så gäller ju inte 12k. Tänk att någon har kvartalsfaktura på elen och fått en elräkning på 40k, de hör från bedragarna att vi stänger av elen om du inte swishar nu.

Enligt lagen och rätten är det fortfarande en obehörig transaktion när du swishar. Därför intressant att se var gränsen går.

Ja, det är grundtanken med bedrägeri, man förmår offret att göra något. Men om telefonbedragaren då måste blippa passet kan inte brottet fullbordas. Visst är det fiffigt.

Ja, tråden vaknade till liv efter tre års dvala när någon tog upp HD-domen och sedan följde den här sammanfattningen. #19924649

Det som fastslogs i HD-domen i jun 2022 var att personen agerat grovt vårdslöst, men inte särskilt klandervärt, varför denne skulle svara för 12000 kr och inte hela beloppet (det finns en trappa, beroende på graden av konsumentens uselhet).

Det är ju intressant kring de relativt nya rättsfallen kring när bankerna ersätter.

Återigen, om någon krävs att blippa passet så går det ju trots allt fullborda. Det kommer även fortsättningsvis skapas BankID på sätt som kommer nyttjas.

Intressant dock att grov vårdslöshet inte är tillräckligt för att begränsa bankens ansvar i denna fråga. Jämför med grov vårdslöshet inom andra juridiska områden.

Jag hade nog blandat ihop grovt oaktsam och särskild klandervärt där.

Antar dock att bedragarna kommer sikta in sig på mindre summor så får konsumenten ta hela smällen, banken vägrar utreda och polisen utreder inte vilket är bra för bedragarna. Jag ser inte bara positiva sidor där.

Funktionen har fortfarande funnits sedan oktober 2021. Vad vi även fått är funktionen att det krävs QR-kod för att förnya med befintligt och det löser den biten fint. Min bank har haft båda funktionerna i mer än ett år, därför jag senast behövde skanna QR-kod vid byte av mobil/förnyande av bankid.

ID-kapningar omfattar ju också att någon övertalar polisen att de är du och ansöker om nya handlingar med hjälp av intyg.

Kapa först adressen, sen kan någon som säger sig vara sambo och är skriven på samma adress intyg vem du är och vips har du en äkta id-handling. Ska du spärra en id-handling du inte känner till?

Jo, men inte lika många eftersom det är betydligt krångligare med hembesök.

Ja, det är så samhällskontraktet ser ut vid övergången från kontanter till digitala platformar som man vill uppmunta. Bankerna får mindre kostnader för kontanthantering och mindre risk för rån, förra året hade vi inga bankrån i Sverige. Så det är fördelaktigt, men i gengäld får banken då dela på risken för obehöriga transaktioner även när kontohavaren är grovt oaktsam.

Lurade taxichaufförer på miljontals kronor – tre döms i bedrägerihärva
https://www.gp.se/boras/lurade-taxichauff%C3%B6rer-p%C3%A5-mi...
"Tre boråsare döms för att systematiskt ha kapat taxichaufförers bank-id, för att sedan länsa deras konton och ta lån i deras namn. "

Jag förstår inte riktigt varför det där är ett "BankId problem".

Om dom hade snott hans fysiska leg, och gjort samma sak, så hade det troligtvis inte ens skrivit om det (eller okej, kanske, eftersom det är rätt omfattande) men det hade definitivt inte sagts vara ett "legitimations problem.."

Varför är det inte ett mobil-problem? Eller ett taxi-problem?

De kriminella älskar BankID. Det bara några sekunder att länsa ett bankkonto. Både taxichaufförer, våra stackars äldre, men även unga studenter drabbas. Nu vet de inte om de kan plugga.
Filippa lurades av bostadsbedragare: ”De tog 65 000”

Så det är definitivt inte ett isolerat taxiproblem. Lägger man ihop alla bankid-bedrägerier, mord narkotika osv. som pengarna går till blir det snarare ett omfattande samhällsproblem.

Man skulle kunna gissa att taxichauffören haft samma kod till bankid som för att låsa upp telefonen, om någon som sitter i samma bil ser honom låsa upp den och sedan lånar telefonen har de allt de behöver.

Man skulle från bankids sida kunna slumpa en kod åt användaren, men då kommer de istället skrivas upp på lappar och förvaras i plånbok/mobilfodral. Det är svårt att få till ett bra användarbeteende med enbart tekniska åtgärder. Finns det inte en förståelse för vad koden skyddar och vad man riskerar om den röjs, hjälper det inte att appen i sig är säker.

Ska betalning och överföring över huvud taget vara möjligt att utföra utan att boka besök på ett bankkontor, måste man i något skede överlåta åt användaren att skydda sina egna koder. Om den uppgiften upplevs omöjlig finns inte mycket annat kvar än att låta bli att använda tjänsterna.

Det borde gå att hålla två tankar i huvudet samtidigt, även på detta tema. Bank-id är en rätt lyckad skapelse, i alla fall numera, rent tekniskt. Bank-id är också nyckel till ett massivt uppsving i bedrägerier och stölder helt enkelt därför att det i likhet med all annan digitalisering tillåter en kraftigt ökad effektivitet i bedragarnas kriminella verksamhet.

Det borde gå att fundera på hur man kan försöka stävja problemen som faktiskt finns utan att förstöra den bekvämlighet och tillgänglighet som bank-id medför.

Sett utifrån min egen användning skulle en lösning där jag anger de enheter som får genomföra transaktioner med mitt bank-id hos min bank och försök från alla andra enheter förkastas fungera bra. Det innebär att även om någon lyckas lura mig till att logga in och bekräfta en skum transaktion (generera nytt bank-id/flytta stålar) så kommer detta fallera om uppdragen inte är upplagda från någon av mina vitlistade enheter. Detta skulle effektivt få stopp på de ligor som ringer runt och bedrar åldringar. Försök att modifiera vitlistan skall fördröjas med ett dygn och under den tiden skall mail och sms skickas till registrerade nummer (eget/anhöriga/god man/förvaltare).

Resultatet blir alltså att man kniper en ansenlig del av bedrägerierna - framför allt mot den mest utsatta gruppen användare - till priset av att det tar ett dygn att få igång bank-id på en nyinköpt enhet. Verkar vara en vettig kompromiss.

Har du någon statistik på det? Teknik är ju generellt sett neutral.

Och gärna isf. på att det ökat totalt, och inte bara inom en viss typ, och/eller mot en viss grupp.

Nu är det ju inte jag som gör den kopplingen utan Polisen och Sveriges banker. Jag har inte sagt att jag "gillar" eller "ogillar" BankID, jag bara presenterar fakta. Vi kan diskutera BankID sakligt utan att gå till tråkiga personangrepp som "fick du inte jobb där" tycker jag.

Fakta

På senare år har social manipulation och då främst vishingbedrägerier (telefonbedrägerier) – där brottsoffret manipuleras att lämna ut sina koder till bankdosor och Bank-ID – ökat kraftigt. Bedrägerierna är ett stort samhällsproblem som drabbar enskilda människor, företag och myndigheter.

Systematiskt riktar bedragarna in sig mot de äldre och mest sårbara i samhället, vilka förutom den ekonomiska skadan ofta känner skam över att ha blivit lurade. Många av aktörerna bakom bedrägerierna har direkt koppling till grov organiserad brottslighet som också är inblandad i bland annat mord och grova narkotikabrott.
--Svenska Bankföreningen

Brå har statistik.

Antal anmälda bedrägerier har ökat kraftigt på senare år, men sedan toppen har det gått ner en hel del och dagens nivå är därför jämförbar med 2015 eller 2016 när det gäller antal anmälda bedrägeribrott.

Seden 2019 mäter vi antal bedrägerier genom social manipulation och liknande, men jag tycker ändå inte statistiken är så detaljerad så där får man nog vända sig till akademiker som gör egna studier.

Petterk ovan har lite statistik från Brå, men tillhandahåller egentligen inga svar eftersom dataserierna med samma definitioner inte sträcker sig till tiden innan bank-id infördes.

Men jag var på ett möte hos överförmyndarförvaltningen i Sthlm i ett annat ärende förra året och fick höra att nätbedrägerierna mot äldre ökat med med än 500% de senaste decenniet. Illa nog, kan man tycka. Indikativt är att antalet intrångsbedrägerier och dito stölder; alltså att någon ringer på dörren och utger sig för att vara polis, sjukvård eller något annat viktigt och sedan tränger sig in och länsar lägenheten; legat mer eller mindre konstant under samma period.

Jag är inte alls med på varför det skulle krävas en allmän ökning för att detta ska vara ett problem att ta itu med. Räcker den allvarliga ökningen av bedrägerier och stölder riktade mot den mest utsatta och hjälplösa gruppen inte för att motivera åtgärder?

Det är värt att notera att mitt förslag till funktionsändring ovan i princip helt skulle eliminera denna problematik och skydda såväl åldringar som Uppsalastudenter mot just bank-id-relaterade nätbedrägerier till ett i det närmaste försumbart pris i bekvämlighet. Det finns säkert andra möjliga lösningar att ta till också.

Men att något borde göras har stått klart rätt länge och cynikern inom mig kan misstänka att det också hade gjorts om bankerna hittills inte kunnat vältra över förlusterna på brottsoffren. Nu när det börjar se ut som om de i större utsträckning får betala själva återstår att se om de kommer genomföra några åtstramningar eller om de helt sonika kommer välja att vältra över kostnaderna på hela kundstocken istället.

Som du ju är inne på, om man utvidgar bedrägeri-begreppet, så är det klart att bedrägerierna ökar.

Och hur ser nätanvändningen ut under motsvarande period. Nätet som vi ser/använder det fanns knappt för 15 år sedan.

Jag säger inte att vi inte ska ta itu med det, men varför gör ni det till ett BankID problem?

Och vad är det för lösningar? Och om nuvarande lösning fungerar för 99,9% av användarna, är priset försumbart?

"Totalt under fjolåret lurades svenska bankkunder på 600 miljoner kronor och 17 000 bedrägerier anmäldes. Men få drabbade får tillbaka sina pengar, trots en vägledande dom från Högsta domstolen förra året."
https://omni.se/luras-pa-600-miljoner-men-fa-ersatts-medvalla...

Originalet är nog nästan lite mer lättläst, plus har ett inslag på drygt en minut.

https://www.svt.se/nyheter/manga-lurade-bankkunder-far-ingen-...

Bankerna väljer hur de vill använda bankid så det är till stor del upp till dem.

Problemet för bankerna är att många inte kunde hantera fysiska dosor heller.