Skrivet av snajk:
Jo jag tänkte inte på tillägg, men det är ju ett helt separat problem förstås. Installera inga tillägg som du inte litar på helt enkelt. Dock talar det ju för att man borde använda mobilen och bankens app för att sköta sina transaktioner, säkrare på alla sätt och vis.
Användaren är ju ofta den svaga delen i kedjan, det brukar gå rätt bra att lura folk installera tillägg de egentligen inte ska installera. Men det går ju för malware att installera ett tillägg också.
Skrivet av snajk:
Jo visst har det skett en del mer eller mindre sofistikerade attacker, det gemensamma är att ingen har kringgått något liknande vårt bank-ID.
Det finns gott om attacker som kringgått Bank-ID. Det allra vanligaste är bedragare som ringer upp och ber en godkänna saker via mobilt Bank-ID. Folk läser ju uppenbarligen inte. Anledningen till att vi inte sett de mer sofistikerade attackerna är att mindre sofistikerade attacker fungerar. Varför göra det svårare för sig än det behöver vara, som brottsling?
Skrivet av snajk:
Samtidigt har ju bankerna ganska mycket kontroller på sånt. Om stora mängder pengar överförs, eller pengar överförs till suspekta konton eller på ett vis som personen som innehar kontot inte brukar nyttja, så stoppar bankerna oftast det direkt. Jag blev exempelvis skimmad för några år sedan, vet inte hur men sannolikt något bankomatskal eller liknande, och jag märkte inget förrän mitt kort plötsligt inte funkade då banken hade sett ett uttag på en plats där jag normalt inte befinner mig och därmed stoppat det och spärrat kortet för köp över en viss nivå. Och alla överföringar lämnar ju ett spår även om det går att obfuskera en del genom att flytta runt pengarna i många steg.
Ja, precis, det skrev jag också i mitt första inlägg, att förhoppningsvis så flaggar anti-bedrägeri-systemet överföringarna innan något händer också. Men det stoppar ju inte bedrägerierna helt, det tar bara ner hur ofta de lyckas. Uppenbart lyckas de tillräckligt ofta för att det ska vara värt besväret.
Säkerhet är som en stapel schweitzerost-skivor. Varje skiva har hål, och så länge som inte alla skivorna har hål på samma stället så kommer inget igenom. Det är ju fortfarande bra att se till att man har så många skivor som praktiskt möjligt, och så få hål som möjligt.
Hela brottet som går ut på att få ut pengar från ett offer och sedan säkra dessa pengar, och komma undan med det, är långt och komplicerat, och kedjan varken börjar och slutar nödvändigtvis inte i slutanvändarens dator. Men den här tråden handlar ju specifikt om den här specifika delen, nämligen användarens egna terminal in till bankväsendet.
Skrivet av snajk:
Jo absolut. Men en PC är ju mer osäker för att den är mer tillåtande, eller egentligen inte en PC utan browsern. Hade vi haft bank-appar i Windows så hade de förstås varit (mer eller mindre) lika säkra som en mobilapp. Sen finns det andra saker som gör telefonen säkrare, som att man generellt har tillgång till platsinformation och mer exakt sådan, eller att man normalt inte är admin på sin telefon. Men mestadels handlar det om att man har en säker app för sina bankärenden och inte en osäker browser. Jag har kollegor som har en separat browser bara för banksaker, där de inte installerar några tillägg och så, men jag föredrar ändå telefonen mest för att slippa skriva in OCR-nummer men också på grund av säkerheten förstås.
Det fundamentala problemet med datorsäkerhet, är att malware kan installeras på din dator som tar över hela datorn. Du kan inte, bara genom att titta på en dator, veta exakt vad det är du ser och var det kommer från. Enda chansen är att hindra malware att installeras från början, eller ha säkerhetssystem som upptäcker och tar bort malware. Så kommer vara fallet så länge man är fri att installera vad som helst på sin PC, och så länge dessa program har behörigheter att göra vad som helst. På mobilplattformar finns mer eller mindre robusta skydd, som appbehörigheter och appbutiker som ska godkänna program, som både tar bort frihet och även ökar säkerheten.
Jag är inte övertygad att bankappar på en dator skulle vara säkrare. Vad hindrar malware från att hijacka dessa appar? Det enda är att det kräver lite mer kunskap om hur man skriver lite javascript i ett webbläsartillägg, men detta kommer brottslingar att göra, om det är det bästa sättet att göra ett bedrägeri på (d.v.s. att man stänger ner de enklare och mer effektiva sätten.)
Det allra säkraste vore för banker att inte tillåta banking från mobilen eller datorn alls, utan istället tillhandahålla en specifik apparat för det syftet, hanterad från början till slut av banken. En slags "special purpose"-surfplatta eller telefon, alltså. Men det är ingen som gör det för att det är för krångligt och för dyrt, i alla fall för gemene man. Vad vet jag, såna lösningar kanske finns för folk med extremt stora mängder pengar.