Forum Mjukvara Moln- och internettjänster Tråd Inlägg

Hur kapas BankID och mobilt BankID? Hur skyddar man sig egentligen?

1
Skriv svar
Permalänk
Medlem

Hur kapas BankID och mobilt BankID? Hur skyddar man sig egentligen?

Jag har precis kollat på detta klipp på Youtube: https://www.youtube.com/watch?v=wVVHu2MOgRw

"...du kan starta ditt mobila bank-id nu så har jag skickat en signal till dig nu."

Vad är det för signal han har skickat och hur hjälper det honom att kapa gubbens BankID?

Redigera
Citera flera Citera
Permalänk
Medlem

Personnummer är inte hemliga uppgifter och vem som helst kan slå upp detta på ex. ratsit.se.

Det han gör är att fylla i gubbens personnummer och trycker logga in.
Sedan ber han offret att starta mobilt bankID som i sin tur kommer säga logga in på Swedbank.

Gör man det så har man släppt in boven bland ens bankkonton.

För att skydda sig så läser man vad som står i BankID-appen och tänker logiskt. Har jag själv startat det här?

Visa signatur

Primär maskin: iPad Pro 12,9tum 2022 med Magic Keyboard.
Sekundär maskin: Ryzen 9 5900x, Radeon 7900 XTX, 32GB RAM, monitor: OLED42C24LA
2st NUC 9 Pro Kit - NUC9VXQNX Ubuntu server för diverse.
PSN ID:iller Xbox live:illerG Wii U:illerG Switch:iller

Redigera
Citera flera Citera
Permalänk
Lego Master

Social engineering, folk är sjukt lätta att "hacka" om man kan snacka och vilseleder lagom mycket. Inget system är bättre än människorna som förväntas veta vad dom gör i andra änden.

Visa signatur

* Vänsterhänt högerskytt med tummen mitt i handen.
* A franchises worst enemies are its biggest fans.
* 🖥️ i5 12600K | Z690 | 32GB | RTX 3070 | Define R6 | 48" 4K OLED | Win11 | 💻 Surface Go 3
* ⌨️ G915 Tactile | ⌨️ G13 | 🖱️ G502 X | 🎧 Pro X | 🎙️ QuadCast | 📹 EOS 550D | 🕹️ X52 Pro | 🎮 Xbox Elite 2
* 📱 Galaxy Fold4 | 🎧 Galaxy Buds Pro | ⌚ Galaxy Watch5 Pro | 📺 65" LG OLED | 🎞️ Nvidia Shield

Redigera
Citera flera Citera
Permalänk
Hedersmedlem

Ett av de stora problemen med mobilt bank-ID är att den bara legitimerar åt ena hållet.

Den låter banken legitimera att kunden är den han utger sig för att vara (så länge BankID:t inte är kapat) men det finns inget sätt för kunden att veta att han pratar med banken...

När jag ringer till min bank, t.ex. SEB, och det är lång kö (vilket det ofta brukar vara) och ber om en återuppringning, så ber jag SEB att ringa tillbaka på mitt nummer. Då vill de alltså, efter att de själva ringt upp, att jag legitimerar mig med mobilt BankID. Det finns här en chans att en scammer ringer mig och utger sig för att vara SEB medan jag väntar på att de ringer upp. Enda sättet att skydda sig är att alltid vänta i telefonkö och inte be om att bli uppringd. Jobbigt.

P.S. Flyttade ut ditt inlägg ur Linux-forumet där det inte hörde hemma /Mod

Visa signatur

Akta dig för XY-Problemet, sätt alltid dina frågor i ett sammanhang!

Redigera
Citera flera Citera
Permalänk
Medlem

Nu med qrkod (på dator) för att ta sig in på banken så hade ju i princip all phishing slutat

Skickades från m.sweclockers.com

Redigera
Citera flera Citera
Permalänk
Medlem

Som jag förstår det så är det inte ett hack utan personen loggar på inte bara 1 utan 2 ggr på tjuvens uppmaning.

Redigera
Citera flera Citera
Permalänk
Medlem

Man angriper svagaste länken (saken mellan stol och tangentbord) såklart.

Vet ej hur det ser ut på andra banker men på Handelsbanken så står det vad man godkänner. Så summa pengar och vart. Så folk måste skita i den rutan "äh, 100k till Kalle det låter okay, det godkänner jag".

Så minst två gånger ska man godkänna med kod innan någon får dina pengar. Varav andra gånger står det tydligt att man godkänner att skicka pengar!

Visa signatur

i9 11900k ||32GB 4000MHz CL15||ASUS ROG STRIX Z590-E||Noctua NH-D15s
Intel Arc a750 ||Samsung 980 pro|| EVGA Supernova G3 850W
Asus xonar essence STX|| Lian-Li O11 Dynamic XL
Asus VG27AQ 165Hz IPS, Sennheiser HD650, Logitech g502 Hero, fUnc f30r, Vortex TAB90M, Audio-Technicha ATR2500x-USB
Server: x10SL7-F, Xeon E3 1230v3, 32GB Samsung ECC ram, 6x3TB WD RED, FD Node 804.

Redigera
Citera flera Citera
Permalänk
Hedersmedlem
Skrivet av HenrikM:

Nu med qrkod (på dator) för att ta sig in på banken så hade ju i princip all phishing slutat

Skickades från m.sweclockers.com

Gå till inlägget

QR-koden är inte vattentät på något sätt dock. Det är inte särskilt svårt att kopiera en QR-kod i realtid från den riktiga sidan, och visa den för personen som ska bli lurad.

Visa signatur

Akta dig för XY-Problemet, sätt alltid dina frågor i ett sammanhang!

Redigera
Citera flera Citera
Permalänk
Medlem

Jag har också fascinerats av hur det går till. Det finns givetvis folk som är duktiga på att övertyga offret, men det krävs ju ändå en liten process för att tömma ett konto.

Vi säger att jag blir uppringd. Personen på andra sidan luren säger att han/hon kommer från t.ex. Swedbank och att jag måste logga in för att förhindra ett bedrägeri. Jag tror på detta och gör som personen säger.

Jag startar mitt bank-ID varpå jag får texten "Jag legitimerar mig mot Swedbank". Eftersom jag tror att det är banken som ringer ser jag inte konstigt med detta. Tjuven är nu inloggad på mitt bankkonto och kan titta runt där så mycket han vill. Men vad mer kan han göra i det här steget? För att kunna göra en överföring måste det ju ske ett godkännande till med hjälp av mitt bank-ID.

Han förbereder en överföring och säger att jag måste legitimera mig igen. Det är här jag inte förstår hur offret inte kan reagera. När jag i detta steg skall legitimera mig får jag inte längre det ospecifika meddelandet "Jag legitimerar mig mot Swedbank", utan det står uttryckligen att jag godkänner en överföring med X antal kronor från ett konto till ett annat. Hur kan offret inte reagera på detta, utan fortfarande legitimera sig trots att detta övertydligt står på mobilskärmen?

https://www.svt.se/nyheter/inrikes/studenter-luras-pa-pengar-...

Detta är ju bara ett exempel. Även om man tror att man måste verifiera sin identitet med bank-ID för en kreditupplysning så måste man väl ändå reagera när det tydligt står att man genomför en överföring?

Det är ju inte bara gamla eller folk som har språksvårigheter som går på detta, utan folk i alla åldrar. Har jag missat något? Räcker det att bedragaren kommer in på kontot första gången? Kan han sedan göra en överföring utan ett andra godkännande?

Någon som vet får mer än gärna upplysa mig, för jag är verkligen förundrad över detta fenomen.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Thomas Torsson:

Han förbereder en överföring och säger att jag måste legitimera mig igen. Det är här jag inte förstår hur offret inte kan reagera. När jag i detta steg skall legitimera mig får jag inte längre det ospecifika meddelandet "Jag legitimerar mig mot Swedbank", utan det står uttryckligen att jag godkänner en överföring med X antal kronor från ett konto till ett annat. Hur kan offret inte reagera på detta, utan fortfarande legitimera sig trots att detta övertydligt står på mobilskärmen?

Gå till inlägget

Du förutsätter att offret faktiskt läser vad som står på skärmen, men då överskattar du nog mångas uppmärksamhet. Som så många andra lurendrejerier så kommer den stora majoriteten av de som blir uppringda inte bli lurade, men då och då får de tag på någon som är distraherad av annat, litar blint på "banken", eller bara totalt saknar sunt förnuft. Och det är allt som krävs för att det ska vara lönsamt.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av pv2b:

QR-koden är inte vattentät på något sätt dock. Det är inte särskilt svårt att kopiera en QR-kod i realtid från den riktiga sidan, och visa den för personen som ska bli lurad.

Gå till inlägget

Qrkoden ändras var 30e sekund

Skickades från m.sweclockers.com

Redigera
Citera flera Citera
Permalänk
Hedersmedlem
Skrivet av iller:

Personnummer är inte hemliga uppgifter och vem som helst kan slå upp detta på ex. ratsit.se.

Det han gör är att fylla i gubbens personnummer och trycker logga in.
Sedan ber han offret att starta mobilt bankID som i sin tur kommer säga logga in på Swedbank.

Gör man det så har man släppt in boven bland ens bankkonton.

För att skydda sig så läser man vad som står i BankID-appen och tänker logiskt. Har jag själv startat det här?

Gå till inlägget

Men innebär inte detta att det är sårbart mot en slags race condition? Du ska logga in på banken, och samtidigt (sekunden före) försöker någon annan logga in på din bank. Du får en legitimeringsförfrågan från banken, använder PIN/fingeravtryck, och så är tjuven inne...?

Visa signatur

Asus ROG STRIX B550-F / Ryzen 5800X3D / 48 GB 3200 MHz CL14 / Asus TUF 3080 OC / WD SN850 1 TB, Kingston NV1 2 TB + NAS / Corsair RM650x V3 / Acer XB271HU (1440p165) / LG C1 55"
Mobil: Moto G200

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Thomas:

Men innebär inte detta att det är sårbart mot en slags race condition? Du ska logga in på banken, och samtidigt (sekunden före) försöker någon annan logga in på din bank. Du får en legitimeringsförfrågan från banken, använder PIN/fingeravtryck, och så är tjuven inne...?

Gå till inlägget

Är inloggningen på en annan enhet än den som BankID är installerad på så kräver nästan alla banker att du scannar Qrkoden som visas på skärmen. Sen denna säkerhetsmojäng införts så har noll bedrägerier anmälts

Skickades från m.sweclockers.com

Redigera
Citera flera Citera
Permalänk
Hedersmedlem
Skrivet av HenrikM:

Är inloggningen på en annan enhet än den som BankID är installerad på så kräver nästan alla banker att du scannar Qrkoden som visas på skärmen. Sen denna säkerhetsmojäng införts så har noll bedrägerier anmälts

Skickades från m.sweclockers.com

Gå till inlägget

Swedbank kräver inte det, åtminstone. Jag loggar alltid in på datorn, med mobilt BankID (på mobilen, uppenbarligen). Fyller bara i personnummer på datorn, och sen fingeravtryck på mobilen.

Visa signatur

Asus ROG STRIX B550-F / Ryzen 5800X3D / 48 GB 3200 MHz CL14 / Asus TUF 3080 OC / WD SN850 1 TB, Kingston NV1 2 TB + NAS / Corsair RM650x V3 / Acer XB271HU (1440p165) / LG C1 55"
Mobil: Moto G200

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Thomas:

Swedbank kräver inte det, åtminstone. Jag loggar alltid in på datorn, med mobilt BankID (på mobilen, uppenbarligen). Fyller bara i personnummer på datorn, och sen fingeravtryck på mobilen.

Gå till inlägget

Då faller de utanför "nästan alla banker" då.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Thomas:

Swedbank kräver inte det, åtminstone. Jag loggar alltid in på datorn, med mobilt BankID (på mobilen, uppenbarligen). Fyller bara i personnummer på datorn, och sen fingeravtryck på mobilen.

Gå till inlägget

Ring Swedbank och att de inför det

Skickades från m.sweclockers.com

Redigera
Citera flera Citera
Permalänk
Hedersmedlem
Skrivet av HenrikM:

Qrkoden ändras var 30e sekund

Skickades från m.sweclockers.com

Gå till inlägget

Ja, det är ju inte direkt svårt att göra en applikation som kopierar en QR-kod var 30:e sekund.

Visa signatur

Akta dig för XY-Problemet, sätt alltid dina frågor i ett sammanhang!

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av pv2b:

Ja, det är ju inte direkt svårt att göra en applikation som kopierar en QR-kod var 30:e sekund.

Gå till inlägget

Ska du skicka qr koden till offret och be dem skanna den med telefonens kamera? Via mail som brukar ta mer än 30 sekunder att få fram? Via mms så att de måste bryta loss kameran från skärmen på telefonen?

Skickades från m.sweclockers.com

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av keyser:

Då faller de utanför "nästan alla banker" då.

Gå till inlägget

SEB och Forex har det inte heller.

Skickades från m.sweclockers.com

Redigera
Citera flera Citera
Permalänk
Hedersmedlem
Skrivet av HenrikM:

Ska du skicka qr koden till offret och be dem skanna den med telefonens kamera? Via mail som brukar ta mer än 30 sekunder att få fram? Via mms så att de måste bryta loss kameran från skärmen på telefonen?

Skickades från m.sweclockers.com

Gå till inlägget

Nej, jag skickar dem en länk till en webbsida som visar QR-koden, som hämtas live från bankens riktiga sida.

Eller till och med en länk som har någon slags proxy som ligger framför bankens riktiga webbsida, sen hijackar jag deras HTTP-session. Eller så presenterar jag ut en virtuell webbläsare genom en HTML5-baserad RDP-klient på en terminalserver, och hijackar den grafiska inloggningen bara.

Det här är inte superavancerat på något sätt. Finns hundra sätt att göra detta på med varierande teknisk sofistikering. Du kan ju till och med be användaren att köra TeamViewer... eller något jävla WebEx-möte/Skypemöte eller vafan som heslt.

Visa signatur

Akta dig för XY-Problemet, sätt alltid dina frågor i ett sammanhang!

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av HenrikM:

Är inloggningen på en annan enhet än den som BankID är installerad på så kräver nästan alla banker att du scannar Qrkoden som visas på skärmen. Sen denna säkerhetsmojäng införts så har noll bedrägerier anmälts

Skickades från m.sweclockers.com

Gå till inlägget

Min bank kräver det bara när jag gör överföringar, inte vid inlogg. Så det kan skilja sig på sådant vis.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av pv2b:

Nej, jag skickar dem en länk till en webbsida som visar QR-koden, som hämtas live från bankens riktiga sida.

Eller till och med en länk som har någon slags proxy som ligger framför bankens riktiga webbsida, sen hijackar jag deras HTTP-session. Eller så presenterar jag ut en virtuell webbläsare genom en HTML5-baserad RDP-klient på en terminalserver, och hijackar den grafiska inloggningen bara.

Det här är inte superavancerat på något sätt. Finns hundra sätt att göra detta på med varierande teknisk sofistikering. Du kan ju till och med be användaren att köra TeamViewer... eller något jävla WebEx-möte eller vafan som heslt.

Gå till inlägget

Så du kräver att de redan sitter vid sin dator. Och att de följer efter till en webbsida för att skanna qr koden..
Hela grejen med att phishing lyckas är att man stressar offret till att gå in i mobilid och signa.

Skickades från m.sweclockers.com

Redigera
Citera flera Citera
Permalänk
Hedersmedlem
Skrivet av HenrikM:

Så du kräver att de redan sitter vid sin dator. Och att de följer efter till en webbsida för att skanna qr koden..
Hela grejen med att phishing lyckas är att man stressar offret till att gå in i mobilid och signa.

Skickades från m.sweclockers.com

Gå till inlägget

Du har nog en poäng. Jag har tänkt utifrån "hur går jag förbi det här" inte "vilket scenario förhindrar detta".

Visa signatur

Akta dig för XY-Problemet, sätt alltid dina frågor i ett sammanhang!

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Thomas:

Men innebär inte detta att det är sårbart mot en slags race condition? Du ska logga in på banken, och samtidigt (sekunden före) försöker någon annan logga in på din bank. Du får en legitimeringsförfrågan från banken, använder PIN/fingeravtryck, och så är tjuven inne...?

Gå till inlägget

Nej, sker två legitimeringsförsök mer eller mindre samtidigt så avbryts båda försöken. Dessutom måste du signera betalningen, signera att nytt bankkonto i överföringar läggs till o.s.v. när det gäller Swedbank och sparbankerna. Du är grovt oaktsam om du loggar in och sen signerar två olika saker åt någon annan.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av HenrikM:

Ring Swedbank och att de inför det

Gå till inlägget

Systemet de använder stödjer redan QR-kod, de använder inte funktionen än bara.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av pv2b:

Du har nog en poäng. Jag har tänkt utifrån "hur går jag förbi det här" inte "vilket scenario förhindrar detta".

Gå till inlägget

Har tänkt mycket på hur vi ska skydda en släkting som har fått en hjärnska från sjukdom.
Men det löste sig självt då hen blev extremt paranoid till på köpet...

Skickades från m.sweclockers.com

Redigera
Citera flera Citera
Permalänk
Medlem

@jasm
fast i videoklippet du länkar , så går ju faktisk inte mannen på det. han säger ju att "tror du jag ger ut mitt bankid på nätet, till dig din idiot"
så de for nog jobba på många samtal innan någon åker dit. Men att en del gör det vet jag och förundras över.

Visa signatur

Får får får? Nej! Får får Lamm.

Redigera
Citera flera Citera
Permalänk
Medlem

Ännu ett exempel.

https://www.svt.se/nyheter/inrikes/ungdomar-har-blivit-telefo...

Visa signatur

Primär maskin: iPad Pro 12,9tum 2022 med Magic Keyboard.
Sekundär maskin: Ryzen 9 5900x, Radeon 7900 XTX, 32GB RAM, monitor: OLED42C24LA
2st NUC 9 Pro Kit - NUC9VXQNX Ubuntu server för diverse.
PSN ID:iller Xbox live:illerG Wii U:illerG Switch:iller

Redigera
Citera flera Citera
Permalänk
Medlem

Hur kan det fortfarande fungera? Kanske dags att klippa ihop en informationskampanj på max 5 sekunder (så de inte tappar koncentrationen), som man kan sprinda på Snapchat med hjälp av någon influencer...

Redigera
Citera flera Citera
Permalänk
Medlem

En lösning på problemet kan ju vara att man förutom säkerhetskod måste knappa in totalbeloppet som skall betalas/överföras i bank-id appen för att godkänna.
Men nånstans så får folk skylla sig själva som inte läser innan de godkänner, även om jag har förståelse för t.ex. äldre som ofta har problem med ny teknik.

Redigera
Citera flera Citera
1
Skriv svar
Senaste nyheterna
Hårdvara
Mjukvara
Övrigt
Nytt i forumet
Datorkomponenter
System
Ljud, bild och kommunikation
Spel och mjukvara