Kompis bankid kapat

Eftersom dom säger sig använda signering av kreditavtalen via BankId är det knappast troligt om inte någon helt låtit bli att läsa vad dom signerat (vilket tyvärr inte är så ovanligt som man skulle kunna tro).

Precis, skulle redan varit infört enligt de första kraven men tyvärr var inte alla som nyttjar BankId i sina tjänster så snabba att uppdatera sina tjänster som man skulle kunnat önska. Gäller för övrigt inte bara banker utan alla som nyttjar BankId för autentisering/signering.

Om ni inte redan gjort det och saknar kopia på kreditavtalen så begär att få det hemskickat via vanlig post till din väns mantalsskrivningsadress. Och var tydlig med att ni kommer anmäla företaget ifall dom vägrar göra det. Är det så att din vän av något skäl själv känner sig obekväm att sköta detta och att han litar på dig så be att få en fullmakt att du får representera honom i detta ärende.

Vadå enbart personnummer? Oavsett hur många enheter du har det på kan du fortfarande inte använda det utan kod/biometri. Ditt installerade bankid kommer inte bli kapat utan att du själv hjälper till.

Det skiljer sig från utgivare till utgivare, i praktiken alltså beroende på vilken bank du är kund i.

@improwise:
Ah det kan förklara en del. Trodde dock det där var en standard. Känns ju betydligt säkrare att bara kunna ha det på en enhet. Finns ingen orsak att behöva ha det på 3-8 st. Bara mer potentiella problem.

Hoppas det löser sig för TS.

För en normal privatperson räcker det ofta med en eller kanske två enheter men det kan finnas mer komplicerade användningsfall än så. Hur som helst är det nog knappast där den svagaste länken i kedjan finns då man ändå behöver låsa upp BankID:t innan användning.

Trojaner existerar, även i app store, så att undvika att "hjälpa till" är inte alltid lätt.

Att roota/jailbreaka mobiler är möjligt, det vet alla som hänger på ett forum likt detta.

Det har förekommit remote exploits som används för att installera övervakningsmjukvara. Övervakningsmjukvaran kan (eftersom den har root) naturligtvis övervaka vilka processer som körs och se vilka "knapptryckningar" som görs när en viss process är igång och alltså få ut PIN-koder.

Att installera mjukvara som kan fjärrstyra en mobil enhet är trivialt, det kan naturligtvis också göras programmatiskt, speciellt om man har root.

Så att det är tekniskt möjligt att använda någon annans BankId (på någon enhet där ute) borde vara ställt utom rimligt tvivel. Det svåra är ju att få till attackvektorn, speciellt om man är ute efter en viss specifik person. Men om man bara är ute efter att sprida ett stort nät och attackera en app som är vitt spridd (Bank-Id) så är det ju inte allt för komplicerat att hitta offer. Det bör räcka att "tipsa" på ett forum om någon viss mjukvara som innehåller en trojan. Mjukvara för att roota mobiler skulle till exempel vara en perfekt täckmantel.

Det krävs naturligtvis kunnande och tid för att sätta ihop en verktygslåda för att få till en hel attackkedja, men med tanke på att det sedan bara är att börja föra över pengar så är det ju inte otänkbart att någon kommer på tanken att lägga några månaders jobb för att åtminstonde attackera gamla ouppdaterade Android-telefoner med kända säkerhetshål. Att stater skulle kunna skaffa sig förmågan i syfte att sabba ett annat lands finansiella system är troligt.

Jag är osäker på om QR-koder helt kan omöjliggöra sådana attacker, men som nämnts i tråden är det inte universellt implementerat än och då är det ju ändå kört för ett visst offer, så länge det finns minst en långivare som inte kräver QR-kod.

@KAD: Dock är väl förmodligen inte den normala måltavlan för denna typ av attacker de som tenderar att jailbreaka/roota sina telefoner. Så det är nog snarare typ vi som hänger på SweClockers som behöver oroa oss för just den typen av attacker (ett stark skäl till att jag numera helt slutat roota och jailbreaka, riskerna är för stora i förhållande till vad det ger). Sen har så klart BankID en hel del inbyggda skyddsmekanismer som av naturliga skäl inte direkt är kända för allmänheten.

QR kodens syfte är väl primärt att säkra att den som nyttjar BankID:t också har fysisk tillgång till den enhet (skärm) som loggar in, just för att förhinda "Man in the middle" (eller iaf åt det hållet) attackerna som är vanliga för BankID bedrägerier. Implementationen i övrigt är inte så annorlunda mot den där man själv matar in sitt SSN (vissa tjänster kräver SSN och QR kod men det är inte i linje med hur det ska vara, iaf som det var senaste gången jag läste kraven).

Nä precis men finns det sätt att hjälpa användare som behöver så är det ju inte fel att använda dem.
Alltid användaren som är den "svagaste länken"

Inte alltid men i detta fall är det nog så. Dock med ett viktigt undantag, ID Kapningar där bedragarna lyckas kommar över ett "riktigt" BankID på egen hand genom att "hacka distributionskedjan". Det verkar dock blivit mer ovanligt vad jag hört (att man kan komma över andras BankID alltså).

Vilket faller in under mitt inlägg om att han kunde ha blivit bedragen.

Men inte ditt påstående om att man måste komma åt enheten med BankID installerat eller "lösenordet" för BankID:t att kunna utföra bedrägerierna.

"Så vad är mest troligt: att någon inte vet vad de sysslar med och blivit lurad av någon annan person / gjort bort sig och inte vågar erkänna än att någon random skulle ha "hackat" hans BankId för ynka 15 k??"

Om du ringer någon och bedrar dem har du "åtkomst" till det.

Aja hoppas i alla fall att det löser sig: antingen genom en livsläxa eller att han lyckas få tillbaka pengarna... förhoppningsvis båda två!

@JeanC: Jag kommenterar det du skriver, om du menar något annat än så vet jag av naturliga skäl inte Det är skillnad på att ha åtkomst till en person och lura dom eller ha åtkomst till den enhet där BankID är installerat. Det är för övrigt inte min kompis (vad jag vet).

Men vi har nog rätt ut detta nu, låt oss hoppas det löser sig på ett bra sätt för den/de drabbade.

I normalfallet bör det vara lika säkert som PIN-kod, förmodligen säkrare, förutsatt att man nu har en någorlunda säker fingeravtrycksläsare på enheten där det används.

Vore spännande att få åtkomst till loggarna från denna tidpunkt, är ju inte precis första gången det varit strul med BankID för man gjort fel.

Du menar strul med användarna av BankID antar jag här och inte själva BankID i sig (mer reservation för att någon kommit över ett BankID dom inte skulle ha men det är knappast ett tekniskt problem)?

Det är nog osannolikt då slagningen mot UC eller motsvarande brukar ske automatiskt. Dock har jag för mig att det aktuella bolaget har några låneprodukter som inte kräver kreditupplysning, eller iaf inte den stora kreditupplysningen. Om lånet återbetalas via AG kontrolleras normalt även att det tillhör låntagaren (för övrigt ett av få sätt att göra den kontrollen).

Fick din polare till slut någon brev med en förklarning på det inträffade eller hänger ärendet fortfarande kvar i luften? Intresserad.