Det här med Bank-ID

"Vi vill uppmärksamma våra användare av Mobilt BankID på att det har förekommit bedrägeriförsök då användare har blivit kontaktade och uppmanade till att logga in eller på annat sätt ge ifrån sig sina inloggningsuppgifter."

Lite mer kring hullaboloon – https://www.expressen.se/dinapengar/varningen-visar-om-nagon-...

Så ja typ och där har du en poäng med att tidigare implementation (som sagt alla implementationer kan vara sårbara eller nyttjas på fel sätt, gäller koddosorna och allt sånt också) lämnade lite att önska, fast nej inte maskinellt. Var främst andra tjänster än banktjänster också. Du ser hur som helst också på datorn att det avbryts.

Eftersom det var PPM som drabbades främst, och att de lyckades lura folk helt utan att de själva försökte logga in så införde också PPM åtgärder, annars skulle bedrägerierna ha fortsatt på samma sätt. "Numera kräver Pensionsmyndigheten två inloggningar med mobilt bank-ID för att skydda spararnas premiepensionskonton." – https://www.expressen.se/dinapengar/nytt-larm-om-bank-id--nu-...

Eftersom ett flertal i tråden, inklusive TS, verkar tro att man själv får stå för allt om man blir lurad genom BankID, så kan jag bara påpeka att ARN kom förra året med fyra vägledande beslut.

Länk till pdf.
Länk till ytterligare en pdf.

Har man inte varit grovt vårdslös så fick banken stå för allt över 12.000kr.

Vill man inte läsa besluten från ARN så har Expressen en genomgång av de fyra besluten, där banken förlorade i tre av dem.

Gissar att det var bland annat de här som gjorde att banker kräver att en qr-kod skannas när man använder mobilt bankid (iallafall första gången) för att autentisera sig på en stationär dator.

@filbunke: Banken står nog för 0 kr om bedragaren skaffat giltig ID-handling och därför kan skaffa bankid, bankdosor och allt utan offrets inblandning. Du kan nog också anses grovt oaktsam om du legitimerar och signerar saker du inte läser efter du blivit uppringd, så utfallen i verkligheten behöver inte vara att 3/4 får ersättning. Även om de talar om 12 000 kr som självrisk så finns det ju ingen försäkring. Sen får offren nog räkna med att processa om de vill ha någon ersättning.

Läste du besluten?

Fallet som nekades ersättning är väl ganska standard?

"....Den reklamerade transaktionen om 120 000 kr kunde ske genom att MF vid ett flertal tillfällen lämnade ut koder med hjälp av sin personliga säkerhetsdosa och möjliggjorde för bedragaren att logga in sig på MF:s internetbank, signera beställning av ett nytt BankID och signera höjning av beloppsgräns för Swish. Med hjälp av det nya BankID:et kunde bedragaren signera Swish-betalning till en av bedragaren angiven mottagare."

Offret skulle ju t.ex. kunnat vara kund i en bank där du kan skapa nytt bankid med bankid:t, så att du inte ens behövde blanda in dosan.

Edit: För övrigt, ARN hanterade 865 ärenden förra året rörande bankid-bedrägerier mot banker/kunders konton – mot banker fick bara 18 procent rätt och helt eller delvis ersättning. Man kan helt enkelt anta att offret är grovt oaktsam om offret legitimerar någon annan efter de får ett samtal och att de signerar utan att läsa vad de signerar, rent generellt.

Hur som helst tycks ARN:s tolkning tala emot TS agerande, ARN har bedömt att vara oaktsam med bankid är mindre allvarligt än att vara oaktsam med koddosan om man ska se till fallen som diskuteras och som varit uppe i media.

Andra myndigheter menar att det är betydligt allvarligare att begå bedrägerier med bankid eftersom det inte bara är en säkerhetslösning skyddad av en personlig kod utan också en legitimationshandling och verktyg för digitala underskrifter.

Eftersom åklagare inte verkar vilja följa lagstiftarnas intention så har ju t.ex. företag som lurat kunder att legitimera sig för olika tjänster sluppit straff också. Så det är såklart tveeggat vilket som.

Är inte arns beslut bara en rekommendation?

Skickades från m.sweclockers.com

Självklart, och kolla inlägget ovan hur ofta ARN dömer till den utsattes fördel.

Alla banker som ger ut bankid följer däremot ARNs rekommendationer, det är god sed att göra så. Ingen av de elva banker som ger ut bankid vill hamna på Råd & Röns svarta listan för den delen.

En bankanställd på en lokal bank har förskingrat miljoner från bankkunder, och nej banken har inte ersatt alla drabbade. Den bankanställde ska ha lurat kunder att överföra pengar till konton denne kontrollerade, till personen denne var skyldig pengar o.s.v. Denne hade också tillgång till konton i och med att denne var kontaktperson med befogenheter åt ett antal.

Så inte ens om en bankanställd med tillgång till dina konton begår brott kan du inte räkna med att bli ersatt. [Edit: I det här fallet ska nu alla ha blivit ersatta enligt banken]

Så klart, man har ju ett eget ansvar också. Man ska inte låta sig luras att föra över pengar till andras konton eller skuldsatta personer.

Men man kan tycka att första steget borde vara tydligare i säkerhetsappen, alltså när man loggar in på internetbanken. Att det borde stå inloggning och inte legitimering. Då skulle det kanske vara något lite svårare att luras.

Som offret själv säger i det inspelade bedrägerisamtalet, hon vet inte vad hon legitimerar. Det står bara legitimering.

Ska du byta namn på ID-korten till inloggningskort också?

Nej, bara appen.

Varför? Det är bättre att folk vet att det är en värdehandling istället.

Ja ok, det skulle man kunna förtydliga kanske. Det står redan i passet. Passet är en värdehandling står det. Men det saknas på mitt körkort, trots att det finns plats. Det borde kanske stå där också då.

Folk vet nog att de inte får låna ut körkortet...

Ja, men de vet inte alltid vad bank-id:t används till över telefon.

Det kan vara att banken behöver veta vem de pratar med, eller att en bedragare försöker logga in på internetbanken. Men det står bara legitimering oavsett.

Det borde kanske stå legitimering i det första fallet, och inloggning i det andra fallet. Så att det blir tydligare.

Det finns bara två sätt att använda BankID – ena är legitimering och andra är signering/underskrift. Bevisligen läser inte alla vad som kommer upp på skärmen och det är redan möjligt att ha (och förekommer redan) olika meddelanden för legitimering mot kundtjänst och för internetbanken.

Vill du ha något inloggningsverktyg för banken är det bättre att de släpper en egen app.

Eller så har banken bara några extra steg själva, du kan inte lägga över allt ansvar på legitimerings och signeringsmetoden. De kan slå på kravet på QR-koder också, så riskerar du inte att släppa in någon i banken (utan att du är utsatt för en mer avancerad attack), men att släppa in någon i internetbanken är inte det som gör skada utan det är ju att signera registreringen av nytt konto och överföring till dito.

Att blanda in andra saker än legitimering och signering i värdehandlingen bankid vore inte en bra idé, eftersom det inte är något du ska låna ut och skulle förvirra ytterligare. Att låna ut ett lösenord är inte brottsligt även om det kanske bryter mot några villkor för tjänsten i fråga, men att låna ut BankID är brottsligt och medför alltid risker.

För mn del så brukar jag ha upp till 3 olika inloggningar på gång samtidigt. Har inga problem med det.

Skulle vara kul att veta varför han behövde legitimera sig då han blivit uppringd.

Byt bank, tillåter de att du loggar in flera instanser samtidigt har de inget säkerhetstänk.

Skickades från m.sweclockers.com

Han mena nog inte 3 olika instanser på samma bank. (varför i hela friden skulle man göra det ?)
Men man kan ju logga in på Banken, tradera, avanza, svenskaspel samtidigt exempelvis

Om du skall kasta en ID-handling så skall den fragmenteras i så små delar som möjligt så att ingen annan kan använda den ens med klister.

Men som jag ser det - alla former av ID-stöld borde det vara "capital punishment" på.

Körkort kommer att upphöra att gälla som id-handling 1 januari 2022 och troligen kommer även bank id att påverkas eftersom lagen även omfattar en ny statlig e legitimation.

Pass och det föreslagna statliga identitetskortet uppfyller de säkerhetskrav som bör ställas på identitetshandlingar och täcker de behov av identitetshandlingar som finns hos landets invånare. Endast dessa handlingar ska därför godtas som fysiska identitetshandlingar i de situationer som kräver en säker identifiering.
Avsikten är dock att handlingarna på sikt ska vara de enda identitetshandlingar som används även i andra situationer där det finns behov av att göra säkra identitetskontroller, exempelvis vid utlämnande av försändelser vid postutlämningsställen.
Körkortet kommer alltså inte att vara en statlig identitetshandling med den föreslagna regleringen. Anledningen till detta är att körkortet inte uppfyller de säkerhetskrav som bör ställas på identitetshandlingar.
En statlig e-legitimation på det statliga identitetskortet
Den ökade digitaliseringen gör det allt svårare att klara sig i samhället utan tillgång till en e-legitimation. Det är därför viktigt att alla ges möjlighet att skaffa en säker e-legitimation. En säker elektronisk identifiering bidrar också till att motverka den identitetsrelaterade brottsligheten. Med en säker grundidentifiering som görs av en myndighet vid ett personligt besök minskar risken för att fel person får tillgång till e-legitimationen.
Vi föreslår att en statlig e-legitimation på högsta tillitsnivå får finnas på det statliga identitetskortet. E-legitimationen ska även kunna användas för att skapa en elektronisk underskrift. Den kan utfärdas till personer som har fyllt 13 år och som är svenska medborgare eller folkbokförda i landet.
Polismyndigheten ska utfärda de statliga identitetshandlingarna
Vi föreslår att Polismyndigheten ska ha det huvudsakliga ansvaret för utfärdandet. Genom att låta en myndighet ansvara för utfärdandet av de statliga identitetshandlingarna uppnås stora samordningsvinster. Det skapar förutsättningar att göra processen mer enhetlig och säker, att förbättra handlingarnas säkerhetsnivå och att åstadkomma bättre kontroll.
Den personliga inställelsen är central för säkerheten i utfärdandet. Det krävs därför normalt att sökanden inställer sig personligen både vid ansökan och vid utlämnande av id-kortet.

https://www.regeringen.se/4961ec/contentassets/689f5a032b4f4a...

Intresset för bank id lär nog minska dramatiskt för de flesta behöver ju ha den nya id handlingen så även om det kanske inte blir tvång på e id via den så varför skulle man välja bort det, några år efter att de nya bestämmelserna börjat gälla lär inte många sakna den statliga id handlingen för den lär ju bli ett måste att ha.