Säkerhetshål Bank-ID

Det där provade jag nästan direkt när jag skaffat bank-id. Det slog mig nästan direkt att det skulle kunna gå. Men det gick inte, minns inte riktigt vad det stod men den avbröt inloggningen. Nu provade jag nog mot samma ställe, kanske har de gjort det mot två olika. T.ex. om de ber dig gå in på Försäkringskassan och så är de själv hos din bank.

Vi får se om det kommer mer info om vad det handlar om. De ville inte berätta hur de gjort på nyheterna på tv. Man hade dock kommit in på journalistens bank när de demonstrerade det hela.

Skall det behövas en uppdatering. Detta borde vara drivet av APIet.
Själv har jag inte fått någon update.

Har man inte mobilen kopplad via sitt wifi-nätverk utan via telenätet så är det olika ip på mobil och dator.

På jobbet så har man ofta inte ens möjlighet att köra samma IP på mobilen så löningen måste bli en annan.

Gäller det bara Bank ID-appen?

Social engineering kan knappast klassas som säkerhetshål. Det hade varit en sak om man kunde hålla inloggningen till banker via bankid uppe utan tidsbegränsning och därigenom skapa tusentals sektioner med folks personnummer och komma åt bankkonton, det hade varit ett säkerhetshål. Detta är ju bara bedrägeri via social engineering.

Jag använder oftast mobilt bank-id i min iPhone 4S, och har inte heller fått någon uppdatering. För övrigt tycker jag att mobilt bank-id funkar förbaskat bra, trots att jag var en aning skeptisk innan jag bestämde mig för att prova.

Det är väl inte något allvarligt nytt säkerhetshål?

Förefaller vara baserat på att det här bedrägeriet "falcon funds" på något sätt (ingen aning om det tekniska, aldrig använt det själv) kunde logga in på folks pensionsvalskonto och flytta folks pengar till deras egna scam-fond.

Det är från Kalla Fakta 24 maj 2016 och är baserat på intervjuer med folk som sysslade med bedrägeriet under 2015. PPM stoppade insättningar till fonden Februari 2016, så allt är från innan dess.

Måste vara ett gammalt säkerhetshål som man struntat i att göra något åt.
http://www.di.se/artiklar/2016/5/23/...sionspengarna/

Ja, min uppfattning efter att ha sett nyheterna igår kväll är också att detta handlar mer om att folk ringer och ber en (Naturligtvis inte direkt utan inlindat i olika ursäkter) ta fram sitt bank id och logga in. Gör man det förtjänar man nästan att bli av med sina pengar, man skulle ju inte knappa in sin kod i bankomaten om någon på stan bad en göra det.

Men jag undrar dock eftersom de själva säger att en uppdatering är på väg ut om det verkligen är detta. Det är ju trots allt inget man kan lösa med teknik om man inte kräver att bägge parter till exempel befinner sig på samma nätverk men det innebär ju att man inte kan logga in på en dator om mobilen inte har Wi-Fi på (Då den i så fall är ansluten via mobilnätet och därmed har en annan IP än datorn).

Testade fö. med den uppdaterade appen hos PPM, där kan man mycket riktigt vara inloggad på två ställen samtidigt. Visserligen får man numera en varning i appen men likväl kommer man in och kan vara inloggad på två ställen vilket man inte kan hos några av de banker jag är kund hos. Det kanske mer är PPM som bör se över sin implementation snarare än att peka finger åt andra...

Det skulle väl räcka att inloggningssidan på datorn visar en kod som man skriver in i appen så att det är klart vilken inloggning man verifierar. Man kunde ha en QR-kod som man fotar som alternativ.

Frågan är hur krångligt man skall göra det bara för att skydda människor utan kritiskt tänkande.
Dessa skulle väl plikttroget skriva in koden som bedragaren läser upp eller fota en QR-kod han mejlar.

Nej man förtjänar inte att bli av med sina pengar. Banken måste någon gång behöva ta ansvar så folk inte kan bli av med pengarna genom kasst system, som vi har idag och har haft sen bankdosan infördes

Det borde ju rimligtvis räcka med att man får upp en engångskod när man ska verifiera sin inloggning som man även måste skriva in i bank-id appen?

Nej, jag såg själv det där programmet och det har att göra med att Konsumentkraft ringer upp äldre, ovetande människor och föreslår att de ska föra över sina pensionsfonder.
Konsumentkraft har med sina skalbolag i bla skatteparadiset Malta etablerat fonder med höga räntor och avgifter som rånar de äldre på avkastningen.

När det gäller Bank-ID så tror jag hellre på att det har att göra med en avsiktlig skript-injektion i appen som är till för att kapa och lagra känslig information.
Ni kanske känner till att sökmotorn Google Chrome har varit extra utsatt för malware-skript som lägger till cookies till en massa onödiga skitsajter och vilseleder användaren.