Det här med Bank-ID

Nu blir det ju lite hackat och malet när man varit borta ett par dagar.

Varför skulle QR-koden vara enklare att få tag på än en passcanning (eller uppgifter från passet)? QR-koden återfinns ju fysiskt på en plats, och utan någon form av annat stök så är ju inte den tillgänglig?

Vad skulle förhindra social engineering även där?

Skulle vilja förenkla det en hel del. Bankerna vill minska sina ersättningsskyldigheter enligt de senaste rättsfallen inom området. Där ligger deras stora mål.

Jag ser som sagt inte att det här skulle göra något åt grundproblemet. Social engineering och att det går att få folk att göra väldigt dumma saker bara man trycker på rätt knappar.

@Henrik21:

Frågan är när du är grovt vårdslös.

Säg något som är riktigt enkelt:

En bedragare ringer upp och låtsas att sälja något, kunden svarar på massor frågor det ihop med offentliga uppgifter ger en bra bild över målet.

Bedragare skickar nu en länk om att en faktura inte är betald, målet ringer upp bedragaren och bedragaren övertalar målet att swisha in en betalning (inkassobolagen jobbar med swish).

Bedragaren tvättar pengarna och skrattar sig lycklig tills polisen tar de för narkotikabrott eller något annat orelaterat. Effektiv tid handlar bara om minuter när allt är satt i system. Vilken faktura/bolag de ska utge är obetald blir träffsäkert tack vare första samtalet.

Grovt vårdslös eller inte?

Vad ska läsa pass eller nationellt id-kort göra åt saken? Även om den kommer upp så har ju bedragarna riktat sig mot någon som troligen är så medgörlig att de gör den delen också.

Detta var direkt kommentar på ditt inlägg, senare är mer allmänt.

Digital id-kontroll i den formen föredraget tog upp (som @torbjorn_75 vill hänvisa till) är redan införd, det är just därför den andre Petter tar upp att bankerna kan göra mer när det gäller att ta in information till deras riskmotorer – det går inte att kräva kontroll omotiverat.

Någon som tar med sig mobilen till kiosken för att swisha kommer ju byta bank om de vägras swisha för att pass/nationellt id-kort plötsligt ska skannas. De som har körkort kommer bära med sig körkortet, de kommer inte ha nationellt id-kort och passet är säkert förvarat hemma om vi ska gå efter något som är ett rimligt antagande. Inte för att folk önskar lägga flera minuter till den processen när de ska göra andra ärenden.

Gör bankerna som äger Swish det allt för krångligt, likväl om kort som ligger i mobiler och klockor plötsligt börjar kräva att du skannar pass eller nationellt id-kort går ju kunderna över till fysiska betalkort igen.

Där det är krav är när ett helt nytt bankid skapas med hjälp av säkerhetsdosan – inte varje gång ett nytt skapas med hjälp av bankid, inte varje transaktion du gör med banken. Digital id-kontroll har från lanseringen kunnat användas för vad som helst av banken och används redan där de tycker det är lämpligt, alltså i fler syften än när nytt bankid skapas.

Någon som fått hjälp av bankkontoret att skapa bankid skulle ju bli oxtokig om de utan motivering skulle bli ombedd att skanna pass eller nationellt id-kort av bankid-appen. De skulle bli tokig även om det gällde att lägga till bankid på surfplattan, de vill ju se sig som betrodda när de varit på banken och bekräftat vem de är.

Det finns giltiga id-handlingar som inte är pass eller nationellt id-kort exempelvis Skatteverkets id-kort så en utländsk medborgare med uppehållsrätt kan inte använda digital id-kontroll. Personnummer framgår ju inte på deras utländska pass. Varken Skatteverkets id-kort eller körkort går att läsa.

Självklart kommer inte någon kräva av bankerna att inte betro kunder de fysiskt mött.

Skapas ett bankid på en ny pryl med hjälp av bankid och att QR-kod skannas så har du redan fått bort problemet att bli lurad över telefon, kan din telefon bli så pass medgörlig och sårbar att någon kan läsa av eventuell QR-kod därifrån kan de redan fjärrstyra telefonen och göra alla transaktioner därifrån så fort du knappat in koden för bankid medan telefonen är i attackerarens kontroll. Bankid-utvecklarna kan bara till viss del skydda sig mot kapade eller sårbara telefoner.

Binder vi allt till nationellt id-kort och pass skapar vi bara en farligare situation – för hur lätt är det inte att supa bort plånboken på krogen och vem kommer spärra id-kort och grejer utan att försöka hitta först. Lämnar det bara öppet för att handlingarna ska få hjälp att komma bort och missbrukas. Även utan alkohol inblandad kan handväskan eller innehållet vandra iväg ett par minuter och återlämnas utan att någon märker något.

Dosor (bankernas säkerhetsdosor) med QR-kod tycktes förbises av @torbjorn_75. Där ska man komma ihåg att koder från bankdosor är det enda du kan lämna ut över telefon idag som möjliggör inlogg och transaktioner över ett telefonsamtal (när vi talar banker) utan falska hemsidor och dylikt. Den förändringen har inte hindrat bedrägerierna från att öka.

Själv föredrar jag som sagt att man behöver NFC för att skapa nytt bankid (med hjälp av ett befintligt) snarare än QR-kod, men den tanken kan man också dra till bankernas egna säkerhetslösningar – problemet där är att datorer inte har NFC så som mobiler och surfplattor. Används det inte på rätt sätt så bidrar det ju heller inte till något mer än vad QR-kod bidrar med. Det skulle däremot öppna upp för bankid på enheter som smarta klockor, eller öppna upp att man kan använda mobilt bankid i miljöer där kamera inte är tillåtet.

Litar man på den kryptografiska delen av att läsa pass/id-kort med NFC så kan ju bankerna lika gärna bygga in detta i bankkortet eller en tagg. Sen kan man ju tänka sig att någon kan komma i närheten av handlingarna när de är på din person, har de redan kommit över bilder de förmått dig att förse de med eller som läckt från någon tjänst så har de allt förutom just ansökan om nytt bankid på plats.

TeamViewer är ett populärt fjärrstyrningsprogram, gratis att ladda ner och använda för privatpersoner, då kan man få QR-koden på en plats till. Det är inte något avancerat. länk

Om vi kollar vad BankID säger så blir nog allt bra.

Det mesta som BankID gör för att motverka bedrägerier, och jag har nämnt en del av det, är sådant som inte syns för slutanvändaren. Men en väldigt konkret sak som kommer märkas alla slutanvändare det är att det kommer bli mer besvärligt att skaffa ett nytt BankID. Det är nämligen så att det är stor risk att nästa gång du skaffar ett BankID så kommer du behöva ha ett giltigt pass eller nationellt ID-kort, som vi kan läsa av i telefonen. Och har du inte det, då kommer du att bli tvingad att besöka ett bankkontor.

Så en uppmaning till er alla, och sprid gärna det budskapet, det är att se till att ha ett giltigt pass eller nationellt ID-kort utfärdat från Polisen. För annars så finns det en risk att du behöver besöka ett bankkontor nästa gång du skaffar ett nytt BankID.

Och det här är en åtgärd vi genomför tillsammans med bankerna just för att stävja problemet med obehöriga transaktioner och obehörig utgivning av BankID.
-- BankID, 23 februari

Du inser att vi (jag och du) redan diskuterade digital id-kontroll i tråden innan 23 februari?

Återigen bankerna har redan infört det, de kan använda det i vilket syfte de vill och använder det redan fler fall än vid skapande av bankid med säkerhetsdosan.

Ja, nyheten är ju inte själva funktionen utan att den kommer att användas betydligt mer i framtiden. Det är en väldigt konkret sak som kommer att märkas för alla slutanvändare.

– Det kommer att bli krångligare att öppna ett nytt bank-id framöver. Man kommer behöva pass eller id-kort, har man inte det får man gå till ett bankkontor.

Logiken är något ologisk, för att slippa gå till ett bankkontor och identifiera dig för att få ett gratis ID så rekommenderar vi alla att boka tid månader i förväg (med krav på e-legitimation för att kunna boka och hämta ut!), gå till ett poliskontor, stå i kö i timmar, för att där identifiera dig och få ett ID som kostar några hundralappar.

Sen vet jag att de flesta behöver pass förr eller senare, och giltighetstiden på ett pass är ju längre än vad ett BankID sannolikt kommer att funka på en telefon (dock bara fem år, förr var det tio).

Nej det finns ingen nyhet.

Det finns en anledning till att den andre Petter pratar om riskmotorer.

Hm, känns som BankID skjuter Polisen i foten, moment 22 eller är det hönan och ägget. Men ja besöka bankkontor framställs nästan som ett hot. BankID borde säga "varmt välkommen att" istället, för det är ju bara fördelar. Banker har fina lokaler, personalen är trevlig och man slipper betala 400 kr.

Här är nyheten från tidningen Finansliv länk

BankID kallar det för en "åtgärd" om man vill bråka om ord.

Och det här är en åtgärd vi genomför tillsammans med bankerna just för att stävja problemet med obehöriga transaktioner och obehörig utgivning av BankID.

På Sweclockers forum diskuterade jag och flera andra digital id-kontroll redan förra året. Bankerna har redan infört alla varianter den andre Petter diskuterade i februari, det betyder inte att du får använda pass/id-kort varje gång du skapar BankID med BankID.

Att diskutera skapa BankID med dosa är lite sent, det är ingen förändring du ser nu utan alla har redan infört det.

Edit: Min bank har haft det något år nu, för att vara tydlig – funktionen har funnits sedan 2021: https://web.archive.org/web/20210920121022/https://support.ba... och pressrelease oktober 2021 https://www.bankid.com/om-oss/nyheter/digital-kontroll-av-id-...

Tog bort delar i inlägget och bemöter de som är kvar.

Just vårdslösheten är väl det som man varit inne på i de senaste rättsfallen där även begränsning till 12tkr som "självrisk"?

Körkort som ID har det ju diskuterats en hel del kring både historiskt och aktuellt. Få länder har ju körkortet som identifikation, vilka delar finns i ett pass som inte finns i andra identifikationsmöjligheter (eller om man väljer att kombinera ett av en bank utfärdat betal/kreditkort i samband med någon form av uppgifter från användaren).

Det vi ser är ju (faktiskt) inte sårbarheter i de tekniska systemen, och höjer vi tröskeln så kommer färre använda dessa. Vi är nog rätt eniga i var vi står i denna fråga.

Det förutsätter ju fortfarande att personen accepterat och installerat det programmet samt sedan tillåtit anslutningen. Återigen, användaren som gjort något och inte ett systemfel.

Vid grov vårdslöshet så gäller ju inte 12k. Tänk att någon har kvartalsfaktura på elen och fått en elräkning på 40k, de hör från bedragarna att vi stänger av elen om du inte swishar nu.

Enligt lagen och rätten är det fortfarande en obehörig transaktion när du swishar. Därför intressant att se var gränsen går.

Ja, det är grundtanken med bedrägeri, man förmår offret att göra något. Men om telefonbedragaren då måste blippa passet kan inte brottet fullbordas. Visst är det fiffigt.

Ja, tråden vaknade till liv efter tre års dvala när någon tog upp HD-domen och sedan följde den här sammanfattningen. #19924649

Det som fastslogs i HD-domen i jun 2022 var att personen agerat grovt vårdslöst, men inte särskilt klandervärt, varför denne skulle svara för 12000 kr och inte hela beloppet (det finns en trappa, beroende på graden av konsumentens uselhet).

Det är ju intressant kring de relativt nya rättsfallen kring när bankerna ersätter.

Återigen, om någon krävs att blippa passet så går det ju trots allt fullborda. Det kommer även fortsättningsvis skapas BankID på sätt som kommer nyttjas.

Intressant dock att grov vårdslöshet inte är tillräckligt för att begränsa bankens ansvar i denna fråga. Jämför med grov vårdslöshet inom andra juridiska områden.