ARN. "Privatpersoner kan få stå för hela beloppet om Bank-id kapas"

Internet- och mobilbanken varnar om dubbla inloggningsförsök har gjorts. Iallafall i Swedbank, det kommer då upp en varningstext.

Kontaktlösa funktionen går att ta bort i såväl Swedbank som Nordea.

Fast då får de väl inte med sig några kortuppgifter via trådlösa betalningen? Är bara betalningar upp till 200 kr som funkar eller något sånt.

Nej det är inte så dom gör. Har de väl kommit in på internetbanken skapar de ett nytt BankID som de kopplar till ett oregistrerat mobilnummer. Sedan kan de göra vad de vill med offrets pengar. Mobilnumet går inte att spåra.

Offret tror att det är sin egen inloggning han/hon kvitterar. I själva verket är det bedragarens förberedda inloggning som denne kvitterar. Den säkerhetsluckan har många banker vid det här laget täppt igen. På så sätt att offret får en varning om att en "inloggning redan pågår. Försök senare."

Jag vet inte hur min bank hanterar det, och jag hade inte hört talas om detta förut. Jag har däremot stört mig på den allt vanligare frågan vilken enhet det är jag vill logga in med mitt bank-ID. Och jag kan varken ta bort kontaktlösa funktionen på mitt vanliga VISA från min bank, eller från mitt AMEX. Har kollat.


Varningen var att kortets uppgifter kan läsas av, och därefter användas som vilket skimmat kort som helst. Här t ex:

https://www.svt.se/nyheter/lokalt/up...t-nya-bankkort

Tömde mammas konto själv då hon börjar bli virrig. Hennes konto har nu bara mindre belopp, typ 20-30K. Lika bra så tyckte mamma.

Ok, intressant, hur många gånger behöver offret skriva in sin kod, för att skurken ska kunna klara sig på egen hand sen?

Jag såg att en del skurkar skickat pengar till swish konton och sådant, men då hade de kanske redan skapat en egen BankId...

Fall 2 så handlar det om en säkerhetsdosa, inte bank-id på mobilen t.ex.
Med dessa bank-dosor kan man inte se vad man godkänner.
Går till så här
1 Starta inlogg på hemsidan, får en kod på hemsidan
2 Knappa in koden i bankdosan, få upp en kod på dosan
3 Använd den koden för att logga in på sidan
4 Starta en transaktion, få en kod på hemsidan, knappa in den på dosan, få fram en ny kod.
5 Denna nya kod används för att godkänna transaktionen.

Självklart helt och hållet hans fel, samtidigt helt annorlunda än det jag tog upp.

I fall 4....
"NN har medverkat till bedrägeriet genom att på uppdrag av en okänd person vid två tillfällen inom ramen för samma händelse logga in på sin internetbank och också godkänna ett nytt mobilt bank-ID"

Denne har alltså GETT UPP sitt mobila bank-id genom att godkänna bedragarnas mobil istället för hans egen.
SJÄLVKLART kommer det inte att synas på offrets bank-ID om överföringen, han gav dem ju total tillgång till hans bank genom att föra över tillgången till dem, de kom upp på deras bank-id!

Banken skriver "NN har medverkat till bedrägeriet genom att på uppdrag av en okänd person vid två tillfällen inom ramen för samma händelse logga in på sin internetbank och också godkänna ett nytt mobilt bank-ID."
Alltså har mannen godkännt ett nytt mobilt bank-id, det kom upp på hans dator exakt vad det var han gjorde.
Att han inte förstod vad det var är en annan femma, men kan man inte det bör man nog se över om man ska ha en god man.


Som sagt, jag säger att man kan lägga in mer varningar och sådant i bank-id så folk tänker till en gång extra innan man godkänner.

Med det sagt, i samtliga fall så har man
1. Agerat väldigt dumt då man gett upp personliga koder, t.ex i exemplet med bankdosa, samma nivå som att be dig om ditt Flashback konto och låtsas att jag är Admin.

2. Inte läst/Förstått vad det är man godkänner, t.ex godkänner ett nytt mobilt bank-id.

Tycker själv att offren har varit oerhört dumma och får skylla sig själva, sen om banken ska stå för pengarna och så är en annan femma.

Förvisso men denhär tråden handlar inte om bankkort utan bank-id.

SEB har enligt mig sämst skyddsmöjligheter för kortkunder av alla banker! Hos SEB kan man inte stänga av kortet för utlandsköp och köp på internet.

Det är betydligt enklare än så här...

"Kaparen" använder en dator och går in på t.ex. www.nordea.se. Kaparen går sedan till inloggningssidan och trycker på logga in med mobild bankID (eller logga in med bankID från annan enhet).

Kaparen ringer sedan upp sitt offer och drar nån historia om att komma från banken och han säger sedan att han tänker skicka offret en inloggning via BankID.

Kaparen skriver då in personnumret som offret har och offret ser i sin bankID app att det är från banken och trycker in sin pin.

Nu kan kaparen göra allt då det är kaparen och inte offret som är inloggad på datorn.



Det RIKTIGT SKRÄMMANDE!! i detta är att många myndigheter OCH internetoperatörer gör så här med helt legitima skäl! De låter sin kund legitimera sig med Mobilt BankID via telefon!

Har varit med om det här själv vilket är helt otroligt. Förvisso ringde jag själv in till banken och hade frågor om bostadslån och låneansökan.

Kundtjänst bad då mig att logga in henne så hon kunde se min ansökan.

Nu var jag inte direkt orolig då jag gjorde en ansökan i en ny bank angående bolån så på detta konto fanns inte ett öre och att jag själv ringt in till banken.

Men med detta sagt så är det ju väldigt fel av dem att använda dessa arbetsmetoder.
För ringer då en som spoofat sitt nummer som tydligen går på något sätt så det ser ut som att banken ringer och förklarar att vi tror att du blivit utsatt för ett bedrägeri eller dyligt. Visst fasiken så får personen i fråga panik och försöker logga in själv. Då har redan bedragaren fyllt i personnummer och blir inloggad. På detta sätt har någon med lite sociala skills möjlighet att sätta en person i ekonomisk kris. Vilket är helt sjukt.

Fast å andra sidan när man tänker på det så var det förr vanligt att man fick knappa in sin PIN när man skulle identifiera sig med bankens kundtjänst per telefon. Dock var det ju så att du hade en begränsning på PI så att du inte kunde göra något annat än att se ditt saldo etc. Med Mobild BankID kan du göra allting med ditt konto, och så måste det vara om bankernas mobila app skall fungera. Du kan ju inte stoppa in en dosa i en Iphone.

Skämtar du eller? Det var ju exakt det som var innebörden i det jag skrev...