Tyvärr är det ju något som man behöver åtminstone vara medveten om. För egen del så belastas jag av att jag i mitt yrke jobbar med risk- och säkerhetsanalyser och dels att jag forskade på ämnet eID som examensarbete. Lever man som många gör “paycheck to paycheck” och inte har några större likvida tillgångar så är ju den potentiella förlusten mindre (i absoluta belopp), däremot så kan ju även en mindre förlust få väldigt stora konsekvenser för dem som har små medel till att börja med.
Jag tycker till exempel att det borde vara obligatoriskt med 3FA för att kvittera ut ett nytt BankID, här tycker jag att Freja har gjort det väldigt bra och det glädjer mig att Freja accepteras på allt fler ställen. Attackvektor två nedan blir ju väldigt mycket mer komplicerad med Freja’s approach (och i och med att Freja’s lösning inte kan användas som SSO för banker så är det i vilket fall en moot point).
Bedrägerier med e-legitimationer på två sätt
Två vanliga sätt att begå bedrägerier med e-legitimation är:
Bedragaren tar kontakt med målsäganden via telefon och övertalar målsäganden att genomföra vissa åtgärder på sin internetbank. Bedragarna utger sig ofta att vara från banken, och kontakten sker under förevändning att några obehöriga transaktioner sker på kontot, och att innehavaren måste legitimera sig för att de ska kunna stoppa transaktionerna.
Bedragaren tillskansar sig en e-legitimation i någons namn på obehörig väg, till exempel genom användande av förfalskade fysiska legitimationshandlingar. Därigenom kan bedragaren öppna ett bankkonto och i nästa steg hämta hem ett BankID som kan användas för att ta nya lån eller överföra pengar från konton i annan bank. (från: Bättre bankkontroller kan minska kapningar av bankkonton (villaagarna.se))
Jag har själv Nordeas gamla kortläsare som jag brukar använda när jag inte har telefonen med mig; det fungerar bra. Numera har de även en QR-läsare med kamera som går går att använda som alternativ till bank-id vid köp.
Har du fått göra en SCA challenge med dem nyligen? Har beställt den nya QR läsaren från Thales. Lite osmidigt att ha med sig dock men är ju ett alternativ.
Jo så sent som idag. Valde e-kod hos Nordea och tog fram kortläsaren, matade in challengekoden och pin, fyllde i svaret från läsaren och vips hade jag gjort en kortbetalning vid Internetköp mot en svensk e-handel utan att vare sig bank-id, någon app eller över huvudtaget en telefon på annat sätt var inblandad.
Det är korrekt. Vissa handlingar hos Handelsbanken kräver att man använder sin kortläsare med USB-sladd och det personliga fysiska BankID-kortet. Det är ett ABER kan jag meddela då vi inte fått dosan att fungera med vare sig iPad Pro eller Apple-laptops som kör M1-processorn. Tekniken är både för modern för många, men också samtidigt för gammaldags för oss som har det senaste i datorväg.
Tycker detta blev en mycket tankeväckande tråd. Tack @htguy . Lättillgängligheten är så lockande och smidig, men vad händer om …
Open banking finns där också som känns olustigt när man öppnar upp sin info till kreativa nischade fintech-bolag. @janbolmeson kan vi locka dig till att spinna vidare och skapa ett avsnitt på tema säkerhet för våra investeringar?
Jag har inte studerat open banking eller läst annans forskning. Om man bortser från den kartläggning som går att göra via informationen som sammanställs (och har ett värde för annonsörer) så tror jag inte att det finns större risker för tillgångarna i sig. Det är dock min “kill-gissning”.
När det gäller riskerna med BankID som SSO (Single Sign On) så har den mesta matnyttiga informationen kommit fram i tråden (tillsammans med länkade rapporter).
Jag förespråkar att man förbereder en modern version av “Mugger’s Wallet” om man ska ge sig ut i situationer / områden där det finns en ökad risk. Det fina i kråksången är att det är relativt billigt att göra i fin-tech eran:
Gammal telefon med ett minimum av appar installerat (Touch ID är avstängt, radering efter tio felaktiga försök aktiverat, Hitta tjänsterna aktiverade, inte samma lösenkod som på mina andra enheter, Freja eID+, inga bank-appar som skvallrar om större tillgångar)
Plånbok med utgånget körkort, pre-paid debit från fin-tech bank med begränsat med cash (här är det i dagsläget N26 eller Lunar som gäller, den här tråden utröner vilka andra möjligheter som finns)
En mindre mängd kontanter (men ändå tillräckligt för att tillfredsställa en angripare)
Har ytterligare kontanter + kort gömt någon annanstans
Hamnar man i en situation så lämnar man helt enkelt över sina tillgångar och klarar sig förhoppningsvis oskadd med så liten påverkan på livet som möjligt.
Att förlora en giltig legitimation är besvärligt. Att förlora en som redan är ogiltig är enklare. Skulle någon lyckats fullborda ett bedrägeri med den så har butiken / banken etc brustit i sitt ansvar. Banker etc motringer idag för att kontrollera körkort och det går inte att verifiera ett utgånget körkort. Får man behålla sin Apple Watch så kan man ringa efter hjälp med den, betala etc etc (AW är knuten till huvudtelefonen och har därmed en aktiv telefonlinje när telefon och klocka inte är på samma plats). Jag använder inte heller t.ex. en Yale Doorman med bara kod för att komma in i huset utan kopieringsskyddade låssystem.
Förhoppningsvis bor många på platser där man inte behöver agera på det här sättet, tyvärr har överfallsrånen kommit även till landet där jag bor och i områden där jag rör mig. Däremot så kan ju många av oss då och då vistas i mer riskfyllda områden. Det här är dock bara en liten del av mitt agerande, resten kan man tillskriva “Situational Awareness” men det blir off-topic för RT.
Edit: Glömde att skriva att min grundparadigm i livet är: “Two is One, One is None”. Därför har jag både pass och nationellt id-kort, e-legitimation från flera utgivare, jag har flera aktiva engagemang hos storbanker som har lokal representation, jag har en kontantreserv som är fördelad på flera säkra platser. Mitt digitala liv finns sparat på flera platser både i molnet och offline. För mig som har ett kontor för min verksamhet så är det här väldigt enkelt, men de flesta kan ju ha en liten gömma hos en riktigt bra vän eller anhörig där man kan förvara backup, legitimation etc etc.
Jag tycker en bra lösning är att ha mobilt bank-id på en extra separat mobiltelefon, man använder inte biometrilösningar. Denna telefonen förvarar man i standardfallet hemma, avstängd, ständigt uppdaterad och på den installerar man i princip inga andra appar.
Personligen tycker jag denna lösning fungerar bra. Jag gör ganska stora inköp och har aldrig behövt mobilt bank-id för att godkänna en kortbetalning när jag använt pin i butik.
Handlar jag på Internet är jag oftast hemma. Vad behöver du handla på Internet utanför ditt hem? Reser du mycket?
Det värsta med denna strategi är enligt mig utbredning hos Swish. Är man ute och åker och gör något roligt, nya platser etc, så är det allt oftare så att det finns bara ett ställe att köpa något att äta på, och de kör ofta enbart Swish. Mycket störande! Inte kul att vara hungrig! Nödlösningen är att ringa en vän som har Swish!
Relaterat:
Något jag finner störande är att vissa företag inte accepterar bank-id, bara mobilt bank-id.
Något som är extremt störande är dessutom den totala begreppsförvirring som nu inträtt, där webbsiter kallar “bank-id” för “mobilt bank-id”, eller avser båda typerna av e-id med termen “mobilt bank-id”. De verkar inte klara av att hålla isär dessa två varumärken.
Håller med dig om att det är helt vansinnigt att Swish kräver mobilt BankID för samtliga belopp. Borde ju rimligtvis gå att använda för mindre belopp utan det. Finns dock en stor önskan från banker och myndigheter för detta. Ersätter Swish kontanter i fler samhällen så minskar möjligheten till “skattefel”.
Men är det ett så stort problem att gå runt med mobilt bankid? Jag håller med rent principellt att det är dumt att gå runt med en master key. Men om en rånare tvingar dig att föra över pengar borde det vara väldigt enkelt för banken och polisen att spåra mottagaren?
Annars är ju ett alternativ (om man kör Android) att köra Island (en slags sandbox miljö) eller på andra sätt låsa tillgången till bankid. Men frågan är om man är beredd att bli knivhuggen för att inte låsa upp? Oavsett tror jag det är betydligt större risk att man blir utsatt för social engineering.
Men visst finns det alltid en risk. Har en bekant som absolut inte använder vare sig mobilt eller vanligt bank id utan gör alla ärende fysiskt, på telefon eller skickar blanketter till skatteverket, sjukvården etc. Jag förstår inte hur han står ut men det är ju upp till honom.
De har ofta nätverk med målvakter som tar ut allt i kontanter, eller för pengar vidare till utlandet, väldigt snabbt. Har man mobilt bank id kan de tvinga dig att fylla på ditt eget bankomatkonto och mata ut pengar “ihop” med dig.
Folk överlevde som sagt 90-talet (och tidigare) så det är inga problem, kräver bara en annan inställning.
Js okej då är det lite värre. Personligen har jag sällan mer än några tusenlappar på lönebanken tillgänglig just för att undvika större förlust om kortet blir kapat. Sälja av fonderna eller flytta pengar från separat bank tar ju lite tid.
Ja självklart går det, men borde ta lite mer tid. Men sen är jag också uppväxt med detta. Jag har t ex bara besökt en fysisk bank en gång, aldrig besökt skatteverket med mera i mitt 27 åriga liv.
