Permalänk
Avstängd

Hur sker bankid bedrägeri?

Jag såg ett raportage på TV4 och blev så jävla frustrerad en man betalade på online sida och blev senare av med 600k, och då vill jag veta hur det är tekniskt möjligt så man inte råkar för samma sak - så detta forum känns helt rätt!

Till att börja med alla tips artiklar för undvka bankid bedrägeri verkar vara riktade till kärringar det står liksom "Legitimera inte dig om någon låtsas ringa från Microsoft med inidsk brytning" - no shit liksom.

Men om man är yngre och lite mer teknisk lagd då blir jag nyfiken på hur det ens är möjligt att man genomför ett köp på nätet för att mitt kort ska debiteras i efterhand 600k som han i reportaget påstår. Jag tolkar det som bedrägarna skapar nytt bankid men hur fan kan dom göra det får man inte push notis först i sin befintliga mobil att ny id har skapts plus att "kommentartexten" i bankid är helt annorlunda när man skapar nytt id eller betalar på nätet. Pratade med en kompis som menade bedrägarna kan skriva vad som helst i bankid appen alltså det kan stå SEB men är egentligen Curry Masala. Är det sant? Jag får inte ihop det istället för TV4 skapar iditoska reportage där vi ska tycka synd om folk kan dom berätta vad idioten gjorde så inte fler gör samma fel.

https://youtu.be/7-q2mZvsseI

Permalänk
Medlem

Var restriktiv med var du handlar nånstans, googla sidan om du aldrig handlat där förr.
Om du får få eller inga träffar så undvik att handla där.

Var uppmärksam på saker som normalt sett inte händer, i inslaget så nämner de att han fick betala frakten separat, inget som jag någonsin varit med om dvs varningslamporna blinkar. Alla mina betalningar har alltid skett i ett steg.

Du kan nog förutsätta att om en fejksida ber dig upprepade gånger att använda bankid så kommer nog ditt konto att vara tomt på ett eller annat sätt ganska snabbt. Du ger dem ju all info de behöver för att blåsa dig.

Permalänk
Medlem

det ska inte gå att hacka någons bankID om du inte har direkt tillgång till personens enhet som håller bankID.
däremot finns det ställen där du kan handla utan bankID, Steam tex. frågar inte alltid efter bankID.

Permalänk
Medlem

Är han en idiot som blev blåst på 600k? Och är äldre kvinnor kärringar? Samt vadå idiotiska reportaget, fick inte just det reportaget dig att söka mer information? Pröva google...

Visa signatur

Star Citizen ❤

Permalänk
Medlem
Skrivet av Jagers:

det ska inte gå att hacka någons bankID om du inte har direkt tillgång till personens enhet som håller bankID.
däremot finns det ställen där du kan handla utan bankID, Steam tex. frågar inte alltid efter bankID.

Steam frågar faktiskt efter bankid som slutförligt steg när du handlar, det har dem gjort ett tag faktiskt.

Visa signatur

Ryzen 9 5900x 4.8ghz. 32GB DDR4 3600Mhz. Radeon 6800 XT. MSI Gaming Plus B550. 1000GB SN850 M.2. Noctua Nh-U14S. 1x 1024GB M.2 Kingston A2000. Seasonic Focus PX 850 Platinum. Fractal Design Define R6 USB-C. Predator XB273UGX.

Permalänk
Medlem
Skrivet av teanox:

Steam frågar faktiskt efter bankid som slutförligt steg när du handlar, det har dem gjort ett tag faktiskt.

Det är ju inte steam som frågar efter bank id.. Det är det konto pengarna ska dras ifrån.. Tex Swedbank. Men alla "banker/kreditkort använder inte bank id än.

Visa signatur

ASUS ROG Swift PG349Q**Fractal Design Meshify 2 XL
ASUS ROG Strix Z490-F Gaming
Intel Core i9-10900K - 10 kärnor / 20 trådar / 3.7 GHz / 5,3 GHz Turbo / 20MB /
Inno3D iChill RTX 3090 FROSTBITE
HyperX Fury RGB DDR4 3600Mhz 32 GB

Permalänk
Medlem

Var mycket noga med att inte dela med dig av kreditkortsinformation någonstans - särskilt inte på någon webbplats för online-handel.

Installera inte någon app på din telefon som kräver onödiga åtkomster. Innan du köper något på nätet ska du alltid kontrollera att webbplatsen använder https-kryptering på sin webbplats.

Dela inte din OTP-kod med någonstans eller med någon person.

Spara inte ditt ID/pass till ditt nätbankskonto på din telefon eller på digitala medier.

Använd alltid ett minst 8-siffrigt lösenord med blandade tecken för alla finansiella konton. Om möjligt - aktivera tvåstegsverifiering även för all finansiell verksamhet.

Permalänk
Medlem

Flera av fallen där unga påstår sig ha blivit lurade är i själva verket bedrägeriförsök av de själva. https://www.svd.se/a/kJBQ3j/unga-luras-pa-instagram-att-ta-st...

"Sedan midsommar har en av Sveriges storbanker uppmärksammat ett 80-tal fall där unga vuxna lurats att ta lån. Efter att de tagit lånen och fört vidare pengarna till huvudgärningsmannen får de ett manus på vad de ska säga till sin bank: att de blivit id-kapade och inte alls tagit lånen."

Om du är intresserad så kan du även läsa diskussionen på Flashback: https://www.flashback.org/t3138060

Visa signatur

Alla mina leksaker får inte plats här, så här jag listar istället mina favoritinlägg:
1 2 3 4 5 6 7 8 9 10 11 12

Utelåst hobbymoderator

Permalänk
Avstängd

Tack får vettiga tips äntligen. Men i det här fallet Legitimera han sig och sen återanvända bedragare a hans uppgifter för föra över pengar.

I min vetskap är det omöjligt om inte bedragarna skapar nytt bankid i personens namn, ingen bank låter en överföra utan att signera. Så till min fråga hur kan dom skapa bankid i efterhand på en person när även det kräver signering. Alltså för mig låter det här skumt kan inte köpa det om jag lämnar kortuppgifter på en sida kan jag förstå dom kanske återanvänder för handla på sidor som ej kräver bankid (som ni nämner ovan), men göra banköverföring är ju väl omöjligt.

Permalänk
Hedersmedlem
Skrivet av JuicyChicken7:

Jag såg ett raportage på TV4 och blev så jävla frustrerad en man betalade på online sida och blev senare av med 600k, och då vill jag veta hur det är tekniskt möjligt så man inte råkar för samma sak - så detta forum känns helt rätt!

Till att börja med alla tips artiklar för undvka bankid bedrägeri verkar vara riktade till kärringar det står liksom "Legitimera inte dig om någon låtsas ringa från Microsoft med inidsk brytning" - no shit liksom.

Men om man är yngre och lite mer teknisk lagd då blir jag nyfiken på hur det ens är möjligt att man genomför ett köp på nätet för att mitt kort ska debiteras i efterhand 600k som han i reportaget påstår. Jag tolkar det som bedrägarna skapar nytt bankid men hur fan kan dom göra det får man inte push notis först i sin befintliga mobil att ny id har skapts plus att "kommentartexten" i bankid är helt annorlunda när man skapar nytt id eller betalar på nätet. Pratade med en kompis som menade bedrägarna kan skriva vad som helst i bankid appen alltså det kan stå SEB men är egentligen Curry Masala. Är det sant? Jag får inte ihop det istället för TV4 skapar iditoska reportage där vi ska tycka synd om folk kan dom berätta vad idioten gjorde så inte fler gör samma fel.

https://youtu.be/7-q2mZvsseI

Jag stöter dagligen på människor som utför sitt arbete nästan helt utan att läsa vad det står på skärmen. De går väl på rutin, muskelminne, periferiseende, inte vet jag. Så när de kommer till mig med felbeskrivningen ”det funkar inte”, läser jag på skärmen. Sen vet jag antingen vad som ska göras sen tidigare eller så googlar jag vad det står och får en lösning. Det är min superkraft.

Om du nu tänker dig att en slug bedragare ringer upp den här personen, drar en historia om att dennes pengar är i fara eller att timmy ramlat ner i brunnen och på så vis skapar en stressad situation där offret upplever ett behov av att agera snabbt.. Tror du att det spelar någon roll vad det står i appen då?

Visa signatur

I have free will but I choose to oscillate

Permalänk
Medlem
Skrivet av JuicyChicken7:

Tack får vettiga tips äntligen. Men i det här fallet Legitimera han sig och sen återanvända bedragare a hans uppgifter för föra över pengar.

I min vetskap är det omöjligt om inte bedragarna skapar nytt bankid i personens namn, ingen bank låter en överföra utan att signera. Så till min fråga hur kan dom skapa bankid i efterhand på en person när även det kräver signering. Alltså för mig låter det här skumt kan inte köpa det om jag lämnar kortuppgifter på en sida kan jag förstå dom kanske återanvänder för handla på sidor som ej kräver bankid (som ni nämner ovan), men göra banköverföring är ju väl omöjligt.

Det är en sofistikerade form av bedrägeri som kräver åtkomst till offrets dator och mejl. Sker troligen efter längre tids kartläggning av offret med phising, trojaner, keylogger et.c. I vissa fall har angripare även spoofat SIM-kortet (SIM swap fraud). Dessa former av bedrägerier är tidskrävande och riktar sig vanligen inte mot "låginkomsttagare" s.a.s. Har du 6K på ditt personkonto i stället för 600K är du nog safe.

Principen bygger på att offret ansluter till en falsk sida som speglar information från äkta sida eller att bedragare skapar session via offrets dator i bakgrunden. Offret ombeds eller luras till att bekräfta händelser eller transaktioner där agerar angriparen mellanhand och använder offrets säkerhetstoken för det verkliga syftet i bakgrunden. Dessa attacker kallas för man-in-the-middle attacker.

Ovan är anledningen till att BankID t.ex. inte accepteras två eller multifaktorsautentisering i miljöer med hög säkerhetsklassning, där är det fysisk token för varje tiering. Men då pratar vi inte e-handel längre.

Visa signatur

There are two kinds of people: 1. Those that can extrapolate from incomplete data.
Min tråkiga hemsida om mitt bygge och lite annat smått o gott: www.2x3m4u.net

Permalänk
Medlem
Skrivet av JuicyChicken7:

Tack får vettiga tips äntligen. Men i det här fallet Legitimera han sig och sen återanvända bedragare a hans uppgifter för föra över pengar.

I min vetskap är det omöjligt om inte bedragarna skapar nytt bankid i personens namn, ingen bank låter en överföra utan att signera. Så till min fråga hur kan dom skapa bankid i efterhand på en person när även det kräver signering. Alltså för mig låter det här skumt kan inte köpa det om jag lämnar kortuppgifter på en sida kan jag förstå dom kanske återanvänder för handla på sidor som ej kräver bankid (som ni nämner ovan), men göra banköverföring är ju väl omöjligt.

Behövde inte göras i efterhand, det skedde mest troligt i samband med att han trodde att han betalade en frakt. Det han troligen gjorde var att godkänna att fulingarna loggade in på hans bank, och sen godkände utfärdande av ytterligare mobilt bankid, dvs han läste inte vad som faktiskt stod när han bekräftade. Du är ouppmärksam och går med på två signeringar, sen är det kört. Går fort om man dessutom kör med fingeravtryck, jaja blipp blopp, så, klart.

Visa signatur

3600, 1080ti, predator 27" IPS, Rift

Permalänk
Medlem

Därav engångskort med begränsning på viss summa. T.ex. klarna har (eller iaf hade )
Får nog ses som ett vettigt komplement om man blir osäker.

Visa signatur

På tok för många datorer för att skriva här

Permalänk
Medlem
Skrivet av Dr.Mabuse:

Det är en sofistikerade form av bedrägeri som kräver åtkomst till offrets dator och mejl. Sker troligen efter längre tids kartläggning av offret med phising, trojaner, keylogger et.c. I vissa fall har angripare även spoofat SIM-kortet (SIM swap fraud). Dessa former av bedrägerier är tidskrävande och riktar sig vanligen inte mot "låginkomsttagare" s.a.s. Har du 6K på ditt personkonto i stället för 600K är du nog safe.

Principen bygger på att offret ansluter till en falsk sida som speglar information från äkta sida eller att bedragare skapar session via offrets dator i bakgrunden. Offret ombeds eller luras till att bekräfta händelser eller transaktioner där agerar angriparen mellanhand och använder offrets säkerhetstoken för det verkliga syftet i bakgrunden. Dessa attacker kallas för man-in-the-middle attacker.

Ovan är anledningen till att BankID t.ex. inte accepteras två eller multifaktorsautentisering i miljöer med hög säkerhetsklassning, där är det fysisk token för varje tiering. Men då pratar vi inte e-handel längre.

Det tror jag verkligen inte i det här fallet, behövs definitivt ingen åtkomst till offrets enheter alls för att utföra detta.
E-handelstemplate på valfri hosting för en spottstyver, när någon beställer dina icke existerande varor har du fått in e-post och mobilnummer, du vet även vilken bank om dom redan betalat. Nu kan du förbereda dig för att logga in på dennes bank, du har redan alla uppgifter och behöver bara bank-id signeringen. Skicka ut ett SMS om den saknade frakten med en länk till din "betalsida".
Det blir väl någon form av man in the middle, men den behöver inte vara särskilt avancerad alls.
SIM-swapping är extremt ovanligt i sverige, vi har inte USAs slappa hantering av abonnemang och SIM-kort.

Visa signatur

3600, 1080ti, predator 27" IPS, Rift

Permalänk
Medlem
Skrivet av JuicyChicken7:

Tack får vettiga tips äntligen. Men i det här fallet Legitimera han sig och sen återanvända bedragare a hans uppgifter för föra över pengar.

I min vetskap är det omöjligt om inte bedragarna skapar nytt bankid i personens namn, ingen bank låter en överföra utan att signera. Så till min fråga hur kan dom skapa bankid i efterhand på en person när även det kräver signering. Alltså för mig låter det här skumt kan inte köpa det om jag lämnar kortuppgifter på en sida kan jag förstå dom kanske återanvänder för handla på sidor som ej kräver bankid (som ni nämner ovan), men göra banköverföring är ju väl omöjligt.

Jag tror ju snarare att detaljerna bara gått förlorade i någon viskningslek.

Misstanke:
Jag skulle ju tro att själva skapandet av bankid eller motsvarande görs direkt när offret sitter där och knappar, inte i efterhand.

Lura in offret på någon skurksida där de tror att de faktiskt har anledning att göra något legitimt, säg "oj något blev fel, försök igen" mellan de bankid-prompter som bedragaren behöver för att gå igenom hela processen att skaffa ett bankid (eller göra en överföring eller vad de nu valt att få offret att göra).

Det förlitar sig förstås på att offret inte läser vad det är det handlar om när de "försöker igen" (fel motpart, olika bankidanvändning dvs identifiering/signering, osv), men så är nog ganska många, särskilt om man stressat upp dem lite med att de måste göra [x] nuuuuuu för annars [hittepå].

Visa signatur

AMD Ryzen9 5900X || Gigabyte X570 Ultra || RTX 3090 FE || Gskill Trident Z 3600 64GB || Samsung 950 Pro 512GB || Samsung 960 Pro 1024GB || XB270HU 1440p IPS G-Sync

Permalänk
Medlem
Skrivet av Jagers:

det ska inte gå att hacka någons bankID om du inte har direkt tillgång till personens enhet som håller bankID.
däremot finns det ställen där du kan handla utan bankID, Steam tex. frågar inte alltid efter bankID.

Beror dock på hur man betalar, använder jag mitt kort måste jag alltid använda bankid förutom om jag går via paypal (vilket jag i nuläget har tagit bort helt efter en incident)

Visa signatur

here we go!

Permalänk
Medlem
Skrivet av B.Linder:

Det tror jag verkligen inte i det här fallet, behövs definitivt ingen åtkomst till offrets enheter alls för att utföra detta.
E-handelstemplate på valfri hosting för en spottstyver, när någon beställer dina icke existerande varor har du fått in e-post och mobilnummer, du vet även vilken bank om dom redan betalat. Nu kan du förbereda dig för att logga in på dennes bank, du har redan alla uppgifter och behöver bara bank-id signeringen. Skicka ut ett SMS om den saknade frakten med en länk till din "betalsida".
Det blir väl någon form av man in the middle, men den behöver inte vara särskilt avancerad alls.
SIM-swapping är extremt ovanligt i sverige, vi har inte USAs slappa hantering av abonnemang och SIM-kort.

Tog ett exempel från ett verkligt fall för att få åtkomst till ett bankkonto. Försökte vara lite generaliserande men ser att det blev lite enkelspårigt. Självklart finns det olika varianter på detta mha phising.

Visa signatur

There are two kinds of people: 1. Those that can extrapolate from incomplete data.
Min tråkiga hemsida om mitt bygge och lite annat smått o gott: www.2x3m4u.net

Permalänk
Medlem

Det är alltid SBS (Skit bakom skärmen) vid såna här situationer. Tyvärr har HD dömt att pengarna ska tillbaka i ett mål vilket skapar enorma problem för den finansiella sektorn som stort.

https://www.domstol.se/nyheter/2022/06/konsument-far-ersattni...

Permalänk
Sötast

Så vitt jag vet så är dina pengar på banken försäkrade.

Blir du t.ex rånad vid en bankomat och någon tvingar dig ta ut pengar eller tvingar sig till koden så får du tillbaka varenda öre som förlorats.

Eftersom banken i detta fall inte betalar tillbaka pengarna så antar jag att det är så enkelt som att han själv har godkänt via bankid eller bankdosa exakt det som behövdes för att komma åt hans konto. Finns väl ingen som vill betala ut pengar till någon som slarvar med sina egna ansvar.

Det är väl därför detta är så populärt ändå.
Min egen mormor har själv varit nära 2 gånger nu att bli lurad av folk som ringer från "banker" och allt möjligt hon säger till och med till dem att det är OK att hälsa på Fan inte lätt att bli gammal.

Permalänk
Medlem

Har också inte helt klart för mig hur dessa bedrägerier sker rent praktiskt.

Ringer någon och ber mig öppna BankID så kan denna personen logga in på min Internetbank. Visst, det är inte jättebra, men där kan personen bara typ föra över pengar mellan mina egna konton och lite sånt. Ska personen göra en överföring ut från något av mina konton behöver jag öppna BankID igen för att godkänna det. Då står det i appen typ "Då godkänner överföring på 300 000:- till Konto xxx" eller något sånt (minns inte exakt hur texten är formulerad, men något sådant). Känns extremt osannolikt om man inte är typ Agda, 114 och inte ens ser vad det står på skärmen.

På vissa artiklar låter det ju som personen loggade in på BankID en enda gång och plötsligt kunde bedragaren göra precis allt, föra över pengar, skapa nya BankID o.s.v. Men som sagt, man måste godkänna varje steg för sig med BankID.

Sen måste väl kravet på QR kod göra det ännu säkrare, så frågan är varför inte det införts på fler ställen? Då måste bedragaren i princip ringa ett videosamtal och filma QR-koden, sen måste jag scanna den med en annan mobil än den jag pratar med bedragaren i (för jag kan ju inte scanna min mobils egen skärm med mobilens kamera).

Visa signatur

Ryzen 7 3800X, Asus Prime X370 Pro, 32 GB LPX 3600, Gainward RTX 3060 Ti Ghost, 3 TB SSD + 4 TB HDD

Permalänk
Medlem

Grundregel nr.1

Logga ALDRIG in på uppmaning av någon annan, inte ens din egen bank kommer begära detta nånsin.

Säkerheten på bank-id är ett skämt då bedragare har ju ditt person nummer inknappat så när någon tror att banken är den som man pratar med så godkänner du utan att du är medveten bedragarens login på ditt eget person nummer det är ju helt makalöst att detta inte är åtgärdat....

Så är det i sverige när person nummer o all info finns tillgänglig för vem som helst... bedrövligt

Tillägg
Visa signatur

Corsair Carbide 200R chassi med 2x120mm
i3-4370 @ 3,8GHz, 16 GB DDR3 @ 1600 MHz
Asus Geforce GTX 1050 Ti 4GB
Windows 10 Home

Permalänk
Medlem
Skrivet av HazZarD:

Logga ALDRIG in på uppmaning av någon annan, inte ens din egen bank kommer begära detta nånsin.

Att verifiera sig med BankID när man pratar med banken är inte så ovanligt.

Visa signatur

Mr. Scriptman

Permalänk
Avstängd
Skrivet av B.Linder:

Behövde inte göras i efterhand, det skedde mest troligt i samband med att han trodde att han betalade en frakt. Det han troligen gjorde var att godkänna att fulingarna loggade in på hans bank, och sen godkände utfärdande av ytterligare mobilt bankid, dvs han läste inte vad som faktiskt stod när han bekräftade. Du är ouppmärksam och går med på två signeringar, sen är det kört. Går fort om man dessutom kör med fingeravtryck, jaja blipp blopp, så, klart.

Okej då förstår jag han får skylla sig själv. Man legitimerar sig inte två gånger efter varandra och med kort tids mellanrum när man handlar något online. För som någon skrev här ofta går vi på muskelminne men det här är idioti i kombination med att man inte läser vad som står på appen.

Permalänk
Medlem
Skrivet av HazZarD:

Så är det i sverige när person nummer o all info finns tillgänglig för vem som helst... bedrövligt

Ja det är jävligt konstigt att personnummer ska vara allmänt tillgängligt.
Visst mycket ska vara öppet. Men Personnummer! Nej, med tanke på vad det används till. Alltså allt.

Visa signatur

ASUS X570-F, AMD Ryzen 9 3900x, 16Gb RAM, Gigabyte 2070Super auros

Permalänk
Avstängd
Skrivet av Mullvaden83:

Ja det är jävligt konstigt att personnummer ska vara allmänt tillgängligt.
Visst mycket ska vara öppet. Men Personnummer! Nej, med tanke på vad det används till. Alltså allt.

Håller med mullvaden

Permalänk
Avstängd
Skrivet av Pepsin:

Har också inte helt klart för mig hur dessa bedrägerier sker rent praktiskt.

Ringer någon och ber mig öppna BankID så kan denna personen logga in på min Internetbank. Visst, det är inte jättebra, men där kan personen bara typ föra över pengar mellan mina egna konton och lite sånt. Ska personen göra en överföring ut från något av mina konton behöver jag öppna BankID igen för att godkänna det. Då står det i appen typ "Då godkänner överföring på 300 000:- till Konto xxx" eller något sånt (minns inte exakt hur texten är formulerad, men något sådant). Känns extremt osannolikt om man inte är typ Agda, 114 och inte ens ser vad det står på skärmen.

På vissa artiklar låter det ju som personen loggade in på BankID en enda gång och plötsligt kunde bedragaren göra precis allt, föra över pengar, skapa nya BankID o.s.v. Men som sagt, man måste godkänna varje steg för sig med BankID.

Sen måste väl kravet på QR kod göra det ännu säkrare, så frågan är varför inte det införts på fler ställen? Då måste bedragaren i princip ringa ett videosamtal och filma QR-koden, sen måste jag scanna den med en annan mobil än den jag pratar med bedragaren i (för jag kan ju inte scanna min mobils egen skärm med mobilens kamera).

Exakt kunde inte säga det bättre själv. Det hela är så skumt att folk blir av med pengar så jag får inte ihop det

Permalänk
Forumledare

*Tråd låst*

Fortsatt tröttsam jargong: "dioter och kärringar" trots tidigare tillsägelse och låst tråd. Höj nivån!

Skrivet av DavidtheDoom:
Skrivet av JuicyChicken7:

Varför är det så har utländska människor lägre iq än svenskar?

*TRÅD LÅST*
Detta är helt fel jargong att starta en tråd med.
Lycka till!

/Mod

Visa signatur

Synpunkter eller frågor gällande forumet, modereringen o.l.? Då kan du antingen pm:a mig eller kontakta oss via kontaktformuläret.
Danskjävel så krattar som en skrivare...