Hur går en bankid-kapning till?

BankID har alltid varit ett enda stort säkerhetshål.
Någon hittade jätte-säkerhetshålet som någon inkompetent programmerare på dagisnivå lagt in i koden, och kom fram till att man kan lura till sig pengar.

Alla apparater har ju ett unikt ID-nummer, telefonnummer, IP-adress eller liknande.
Men idioterna som skapade Bank-ID har aldrig insett det mest elementära inom banksäkerhet och IT-säkerhet. Att kontrollera att all kommunikation går mellan rätt apparater. Att kontrollera att ingen tredje apparat, IP-adress, telefonnummer blir inblandad i transaktionen.

Det är så klantigt och allvarligt att jag anser att bankerna bör dumpa skitföretaget Bank-ID helt och endast använda Dosa utan sladd och med kod.
Och spärra alla tredje personers IP-adresser inklusive skitföretaget BankID under transaktionen. Bara två apparater, bara två IP-adresser osv.

Om det varit i USA skulle jag stämma skitföretaget Bank-ID för att de gjort det möjligt att tömma mitt konto. Genom en allvarlig säkerhetsbrist i sitt skitprogram. På samma sätt borde bankerna vara ersättnigskyldiga om de fortsätter att använda undermåliga Bank-ID-program.


Alla som blivit lurade på pengar borde förbereda en gruppstämning mot bankerna och BankID.
Jag kan rent tekniskt inte se något annat än att det är bankerna och Banki-ID som felat och därför är ersättningskyldiga. Därför att deras undermåliga program inte kontrollerar att rätt apparater och IP-adresser är inblandade i transaktionerna. En åtgärd som rent tekniskt är enkel och självklar.

Jag har QR på Nordea.

Som jag har förstått det så går det till så att de ringer några samtal eller skickar sms. Ofta så är mottagaren medveten om att det är ett begrägeriförsök.

Vad sedan många gör är att logga in på Internetbanken för att kolla om något har hänt med kontot. Det är då bedragaren som loggar in, då de redan hade påbörjat inloggningen.

Sedan när de är inloggade så beställer de nytt bankID till en ny enhet.

Det börjar dock täppas till.

1. Dels så kräver många banker nu att man skannar en QR kod i webläsaren istället för att trycka in personnummer. Och BankId har även fått tillgång till position. Så de kan analysera om det är troligt att telefonen och datorn är på samma plats.

2. Min bank tillåter inte att första inloggningen efter en beställning av nytt Bank ID sker med Bank ID. Utan har man beställt ett nytt bank ID så måste första inloggningen efter det ske med bankdosa.

Men som jag förstår det så väljer bankerna själva hur säkra de vill vara.

Finns även fall där Bank ID används felaktigt. Ex. vid pågående samtal så ger man sen kod flera gånger, och läser inte informationsmeddelandet, om att ex. ny beställning av bank id, tecknande av lån, överför belopp XXX tusen till konto XXX. Samma som kan hända med attesteringar av fakturor hos företag eller myndiheter. Personerna är vana att bara acceptera och läser inte innehållet.

Och även tjänster som inte är designade bra. Pensionsmyndigheten hade ett sämre system förut. BankID krävdes vid inloggning, men sedan kunde man byta fonder utan att signera. Bedragarna använde detta till att få personen att logga in så att deras premiepension kunde flyttas till dyra fonder.

Ja hur funkar det? Någon som vet?

(Iof har det inget med trådens sak att göra..)

Testade det och ett av numrena var registrerade med swish på en medelålders kvinna. Kunde inte hitta något samband mellan offret och den här kvinnan på Facebook iaf. Undrar om hon kan vara skyldig?

Funkar som i.. hur bedragaren ska få offret att scanna koden som bedragaren har framför sig? Det går inte (såklart) med ett simpelt samtal utan något mer avancerat krävs i så fall. Men du behöver QR-koden för att logga in på banken, du behöver inte QR-koden för något annat, så som att öppna ett nytt bankid (hos Nordea i varje fall). Så frågan är ju snarare om bedragaren kan gå runt själva inlogget som kräver QR-koden (kanske kan han skicka en "Öppna nytt bankid"-request direkt som inte kräver QR? Vet ej.

QR-kod scanningen vid nytt bank-id har varit effektivt och motverkat det här.

Är det seb du pratar om?

Målvakt?

Ja, att ID-kapning skulle vara ovnaligt i Förenta Staterna stämmer nog inte, jag har hört att det sker i omfattande mängd där.

Möjligen förstås inte kapning av bankkonton riktigt, utan mer vanligt med kontokortsbegrägerier, tecknade av lån eller checkkrediter i någon annans namn.

Mycket beror väl på att de inte har något något nationellt personregister. Visserligen så finns Social Security number, men det är inte helt säkert. Ex. så var större delen av numret innan 2011, kopplat till födelsedestat och postnummer för adressen som kortet skickades till. De sista siffrorna ett löpnummer i följd.

Så bara genom att söka i offentliga uppgifter. Var någon är född och ungefärlig dag, så kunde man i princip få fram hela numret.

De som drabbas mest är som jag förstås de med egen adress, typ villor. Då de får postlådan rensad, på nya checkhäftet eller nya kreditkortet.

Används BankID på ett säkert sätt så skyddar det bra. I annat fall så är låst brevlåda att rekommendera i sverige med.

Ja, det är det SEB har begränsat inloggningar ifrån nya bankid ett tag. Och nyrligen börjat kräva QR-kod eller att BankID är installerat på enheten.

oj vad du är snabb på att idiotförklara andra😂Du kan ju endast ha en app åt gången med samma användarnamn så kod via sms kan du ha tillgång till men du kommer aldrig kunna logga in rent praktiskt sålänge du inte har telefonen också.Dvs tvingar till dig personens mobil och koder och inte är du skyddat mot ett sånt brott med Bank ID heller.Däremot kan inte banken SKYLLA IFRÅN SIG om nån jävel hackar sönder deras app , det blir ju uteslutande deras fel och de bli skadeståndsskyldiga och det är rätt isare så.