Klara sig utan Bank-ID

Hur mycket icke-offentlig information kommer du åt där och hur mycket skada kan du ställa till utan ytterligare interaktion med appen på telefonen?

Du förstår fortfarande inte. Användaren vet bara att inloggningen misslyckades på sin egen dator, inte hur eller varför. Användarens dator är inte inblandad i själva attacken alls, bortom att användaren tror att den legitima sidan på skärmen är den som initierade förfrågan på telefonen.

Vet dessutom inte varför du ska slumpa personnummer, skulle du lyckas logga in blint kan du ändå inte göra något, och varför skulle du lyckas? Skriver användaren in uppgifterna samtidigt i sin internetbank så får de upp en varning.

Läs inlägget du citerade långsamt. Har fetmarkerat den relevanta biten nedan.

Det är alltså inte något som ser ut som en legitim sida. Det är den faktiska legitima sidan som kommer direkt från banken utan modifikation, varken före, under eller efter inloggningsförsöket.

Läs mina tidigare inlägg.

Ja, men vi har redan gått igenom i tråden att varken detta eller MITM är effektivt.

Jag vet inte varför det ska gissas heller, slumpmässiga försök kan jag förstå (om det hade gått att kapa på det sättet), men personnummer kan du hämta hem, och du kan härleda till vilken bank som är mest trolig utan större problem.

Att kalla det klassiska säkerhetshålet i Mobilt BankID för MITM är inte riktigt korrekt heller eftersom det implicerar att trafiken går via en utomstående part. Tekniskt sett är det en utomstående part inblandad men det är bara i tid som jag skulle kalla det för att de står mellan dig och banken, ingen av datapaketen från din telefon går till attackkoden eller vice versa. Inte riktigt säker på hur det skulle bli två separata former av attacker heller, kan du förtydliga vad du menar med "varken detta eller MITM"?

MITM syftar på nätfiske, oavsett om det är genom attack på datorn eller genom att lura användaren att gå in på en förfalskad sida. Det är nog ett effektivt sätt att komma in, men det kan bli svårt att få ut några pengar.

https://www.google.com/search?newwindow=1&ei=RaGaXKaaAu-krgSh...

https://www.svt.se/nyheter/lokalt/stockholm/paret-blastes-pa-...

Det är en autentising som görs, inte en signering. Dvs dom vill veta vem dom pratar med. Så vida det inte handlade om att du ska signera själva uppsägningen men det brukar snarare spelas in då via telefon. Om inte så försigås det normalt ändå av en autentisering då dom kanske behöver lämna ut personliga uppgifter innan uppsägningen kan ske osv. Bara att bekräfta att du har ett bensinkort där till någon okänd som ringer in är förmodligen ett brott enligt banksekretess (om dom nu är bank men många är det numera) och GDPR.

Ditt personnummer har dom nog redan om du är kund

Det gör den. Det står dessutom vad du signerar. I princip alla "brister" med bankid kan åtgärdas genom att folk läser vad fn det står på skärmen.

Skickades från m.sweclockers.com

Att sitta och gissa om någon försöker logga in är inte MITM, men MITM har diskuterats på två sidor i tråden redan.

Som sagt jag menar inte @lappen81s attack, det är bara social manipulation.

https://www.svd.se/120000-drabbade-av-telenors-miss är väl ett exempel som fick viss publicitet.

Kanske inte det värsta utfallet man kan tänka sig, men ändå.

BankID är en bättre lösning än 2FA över sms oavsett som vi pratar MITM eller att sitta och gissa för att försöka ta över inloggningar, kan du fånga smsen tar du bort gissningarna och skyddet mot att starta upp ett nytt inloggningsförsök är i princip obefintligt med en engångskod.

Risken för vad du pratar om är i princip obefintlig. Om de inte hade haft koll på och avbrutit samtidiga inloggningar så hade det varit aningen värre, men ändå inte särskilt farligt då det krävs mer än en inloggning för att kunna göra något mer än att titta på en persons konton. Det står också klart och tydligt vart man loggar in med bankid:t, om jag försöker logga in till exempelvis Kivra eller min bank och det står att jag ska identifiera mig för skattemyndigheten eller försäkringskassan så kommer jag förstås inte att godkänna det.

Nej. Och innan du talar om för mig att jag har fel kan du ta med i beräkningen att jag just testade på 2 olika banker och ett försäkringsbolag. Det enda som står är "Jag legitimerar mig".

Alla "lyckade" bedrägerier har handlat om telefonsamtal där "bankmannen" ber användaren identifiera sig med sitt bankid minst två gånger varav den andra inte är en identifiering utan exempelvis ett godkännande av en stor transaktion eller ett nytt bankid. Detta står dock tydligt i id-appen så "bankmannen" måste lyckas få personen att inte se detta på något vis. En del läser förstås inte vad det står i appen utan gör allt som man ber dem om, och det är ju tråkigt för dem förstås, men det betyder ju inte att lösningen är osäker.

Min bank tillåter heller inte beställning av nytt mobilt bankid med ett mobilt bankid utan man måste logga in med hjälp av dosa eller bankid på kort och sen få en kod via sms till sitt registrerade mobilnummer, men jag vet inte om det gäller alla banker.

Det skulle upptäckas direkt, så 🤷‍♂️

Risken för vad du pratar om är i princip obefintlig. Om de inte hade haft koll på och avbrutit samtidiga inloggningar så hade det varit aningen värre, men ändå inte särskilt farligt då det krävs mer än en inloggning för att kunna göra något mer än att titta på en persons konton. Det står också klart och tydligt vart man loggar in med bankid:t, om jag försöker logga in till exempelvis Kivra eller min bank och det står att jag ska identifiera mig för skattemyndigheten eller försäkringskassan så kommer jag förstås inte att godkänna det.

Alla "lyckade" bedrägerier har handlat om telefonsamtal där "bankmannen" ber användaren identifiera sig med sitt bankid minst två gånger varav den andra inte är en identifiering utan exempelvis ett godkännande av en stor transaktion eller ett nytt bankid. Detta står dock tydligt i id-appen så "bankmannen" måste lyckas få personen att inte se detta på något vis. En del läser förstås inte vad det står i appen utan gör allt som man ber dem om, och det är ju tråkigt för dem förstås, men det betyder ju inte att lösningen är osäker. Min bank tillåter heller inte beställning av nytt mobilt bankid med ett mobilt bankid utan man måste logga in med hjälp av dosa eller bankid på kort och sen få en kod via sms till sitt registrerade mobilnummer, men jag vet inte om det gäller alla banker.

Att banken ber en att identifiera sig med mobilt bankid i ett telefonsamtal är inget konstigt dock. Jag har fått göra det några gånger när jag har ringt upp banken själv men jag skulle förstås aldrig göra det efter att ha blivit uppringd.

Känns som att denna bedrägerimetod bör vara lika enkel med en dosa.

Dock ger ju en dosa by default mer befogenheter än bankid (iaf med min bank)

Så jag förstår inte riktigt vad som är alternativet om man inte anser bankid vara tillräckligt säker. Är det att inte använda internetbanken alls?

Fast vad ska du då använda? Några banker kör certifikat som alternativ förvisso.

Om du inte kör internetbanken så är enda rimliga chansen att betala räkningar brevgiro. Brevgiro är självklart inte säkrare.

Så det enda alternativet är att betala räkningar på plats hos banken, om man vill ha högre säkerhet än bankid?

Känns som att denna bedrägerimetod bör vara lika enkel med en dosa.

Dock ger ju en dosa by default mer befogenheter än bankid (iaf med min bank)

Så jag förstår inte riktigt vad som är alternativet om man inte anser bankid vara tillräckligt säker. Är det att inte använda internetbanken alls?

Skickades från m.sweclockers.com

Men sunt förnuft kan man inte luta sig mot. Det finns otroligt många som inte besitter den egenskapen. Dessutom kan man besitta sunt förnuft inom vissa områden men inte inom andra.

Däremot borde man kunna kräva att folk läser vad som står på skärmen när de skall skriva under/signera någonting. Men det är väl för jobbigt...

Så det enda alternativet är att betala räkningar på plats hos banken, om man vill ha högre säkerhet än bankid?

Fast ska du betala 100 kr per räkning eller vad de som har personlig service på kontor tar? Ingen använder det alternativet längre, och det är ju bara att fixa ett falsk ID-kort (eller riktigt under falska premisser) för att ta sig förbi säkerheten där.