Hur går en bankid-kapning till?

Problemet med att spåra är att ingen vet att ett brott begåtts. Rent juridiskt så har du bara den unga kvinnans utsago samt ett lån som tagits i hennes namn.
Polisen vet inte om det är hon själv som tagit lånet. Läser du i artikeln så är försäkringsbolaget kritiskt tänkande och skeptisk till att så inte är fallet.
Det är skillnad på juridik och moral.

Rent tekniskt så är det nog inte supersvårt att skapa ett mobilt bankid som en kopia på någons identitet.
Det enda som behövs är förmodligen bara den där aktiveringskoden i slutet av processen.

Det här är så viktigt att understryka. Aftonbladet utelämnar alltid vital information i sina artiklar, det ger fler klick då. Så att utgå från det som står i artikeln är dömt att leda till felaktiga slutsatser.

Tjejen har uppenbart gjort något galet, typ loggat in när någon annan ringt henne alternativt gett ut pinkoden för kortet till någon närstående som sen kunnat skapa ett nytt bankid.

En fråga är hur galet som är ok galet. Tex detta att BankID finns i mobilen. Der uppmuntra ju till att använda BankID överallt. Och så alla tjänster som använder det, tex för nått så simpelt som att köpa bussbiljett.

Det betyder att människor förväntas använda BankID i offentliga miljöer bland andra. Till detta kommer också jätteskörmar på mobilen. Allt detta förenklat ju betydligt för utomstående att se när BankID-signering görs. Man tänket att man sitter och slår in koden för att köpa en bussbiljett och så sitter man istället och öppnar dörren till sitt bankkonto för passageraren bakom.

Och då kan jag tycka att utvecklarna och ansvariga för BankID inte riktigt tänkt igenom det hela för hur användare förväntas hantera tjänsten.

Ja, precis som jag skrev? En främling?

Kan det inte vara så enkelt att hon sålt en mobil som hon inskaffat sig med abonnemang men råkat ha bankid installerat på via tex. Google / Samsung backups eller liknande - funktionen och som sedan köparen märkt "ahaa, här är alla hennes uppgifter, mejl m.fl, beställer nytt bankid bara så tar jag lån också".

Räcker i så fall med att ha tillgång till hennes mobil som hon själv använder och lyckas logga in hennes bank för att beställa ett extra bankid till luren som sen används för att ta lån osv.

Bankid är inte bara en kod, du skapar ett certifikat på mobilen som i kombination med din kod verifierar att du är du (synkat till din bank). Bara koden är inget att ha såvida de inte får tag i mobilen eller certifikatet, men ur den aspekten är ju kontokortet inte mer säkert om de nu ändå skulle komma över saken fysiskt.

Men kontokort låter dig väl ”bara” komma åt just kontokortet och inte hela din internetbank.

Det är inte appen i sig utan certifikatet (en fil som skapas) på mobilen, men certifikatet ligger kvar tills du deaktiverar det på bankid:s hemsida så visst, hon kan ha sålt en mobil med certifikatet kvar och i så fall behöver de bara koden. Dock står det i artikeln att ett nytt bankid skapades så det finns nog en enklare förklaring bakom.

Ja, så är det rent generellt. Men det är Nordea som verkar ha slapp säkerhet för att skapa nya bankid (skapa mobilt bank id... med mobilt bankid...), min bank kräver dosa, kort och kod. Vissa saker kan jag inte heller göra med enbart mobilt bankid, men antalet sådana funktioner har minskat över tid till fördel för det mobila.

Fast det står ju vad du signerar i bankID-appen, som man alltid bör läsa först.

Sedan, ska passageraren ha tillgång till ditt personnummer, samtidigt som passageraren ska ha koll på din telefon, se till att du köper en biljett eller gör något annat som kräver bankID, och så ska passageraren tajma personen med att trycka logga in samtidigt.

Personligen gömmer jag min telefon från folk när jag behöver använda bankID.

Det är ju bra att du gömmer den. Men för många tror jag att detta tas på ungefär samma allvar som att godkänna cookies på webbsidor. Det går naturligtvis att skylla det på slarviga människor men jag tycker också att tekniken och designen uppmanar till oförsiktighet.

Vad jag har läst på reddit verkar amerikanska banker mycket osäkrare. De har inget liknande BankID, inte ens av staten. Bankerna använder endast vanliga lösenord eller i bästa fall SMS eller mejl som 2fa. Amerikas största bank, Bank of America, har inte ens hårdvaru 2fa.
https://twofactorauth.org/#banking

SMS 2fa för bankinloggning är idiotiskt. Man kan ganska lätt kapa ett nummer med social engineering.

Mejl 2fa kan vara säkert på så sätt att man har 2fa på inloggningen till mejlkontot, men ofta är man konstant inloggad på mejlkontot. Dock har nog många sitt mobilnummer inlagt hos Google för att kunna logga in igen om man glömt lösenordet.
Man kan dock inaktivera "Kontosäkerhet och återställning av lösenord" för mobilnummer eller helt ta bort numret.