Säkerhetshål Bank-ID

Bankdosan är väl säkrare? Det krävs i alla fall mycket mer social engineering.

Om man inte aktiverat "utökat Mobilt BankID" i Internetbanken (Swedbank) så kan man inte lägga till konton. Då kan ingen tömma konton. Jag har inga behov av att kunna lägga till konton på mobilen.

Swish kan man begränsa till 1000 kr/v. Standard är 3000 kr/v.

Ja, det är frågan. Ett användarvänligt system är ju viktigt.

Dessa panthuvven är samma idioter som skulle lämnat över kontanter till vem som helst, så den procenten kommer alltid att kunna bli lurade. Hjälper inte med retinascanning eller fingeravtrycksavläsning för naiva och lågintelligenta kommer bara att göra som bedragarna säger.

Jag reagerade på möjligheten till slapp session hijacking den första gången jag använde mobilt bank-ID. En första ansats till lösning på problemet kunde ju vara att sajten man loggar in på så väl som telefonen visar en kort slumpkod så man vet att man förmodligen godkänner rätt session. Om det är detta som avses med säkerhetshålet är det verkligen inget stort scoop...

Även traditionella bankdosor (Vasco mfl) som bara matar ut koder har kapats på liknande sätt. Offret blir helt enkelt kontaktat via telefon eller sociala medier och ombett att ge ut koder från sin egen bankdosa då "polarens" har "gått sönder"...

...Som sagt... A fool and his/her money are soon departed.

Är det social engineeringhacket som nämns i tråden som är problemet är det så jävla enkelt fixat.

Man skriver in koden som vanligt i bankid.
Få i tillägg upp en genererad kod i bankid-appen, och en ruta i webbrowsern där man ska skriva in koden, och då kommer man in.

Ja detta är ju ett ännu enklare sätt. Det har de i bankid-motsvarigheten i Norge.
Två genererade ord "ROLIG GUTT" eller "BRUN BIL" etc, som kommer upp på både mobilen och sidan man loggar in mot.

Nej det är inte så enkelt att lösa, problem är dumma och naiva människor som tror på att folk säger till dem. Personerna som håller på med detta kommer självklart bara be om koden som dycker upp i appen. Istället för en tekniskt lösning så skulle man ta och omyndigförklara alla som går på det här så är problemet löst en gång för alla.

Utan att det sägs, antar jag att det är mobilt bank ID detta gäller. Använder det säkrare bank ID på fil.

Så länge man verkligen läser och kontrollerar vilken tjänst man loggar in på och att det är just den tjänsten man vill logga in på, så är det säkert.

Det är alltså inget egentligt säkerhetshål som bedragarna hittat utan det handlar om att man lurar folk att logga in på en viss tjänst och samtidigt (eller egentligen precis innan) begär bedragarna inloggning från en annan tjänst som med rätt tajming blir den som visas på den lurades mobila bankID. Den lurade läser inte texten på appen om vilken tjänst som denne loggar in på.

lite så att man får skylla sig själv ...

Att be om koden hjälper inte eftersom förbrytarens session har fått en annan kod. Så otroligt lätt att lösa. Till och med norrmännen har löst det.

Det kan vara farligt att dumförklara andra, man kan skära sig så förbannat på allt glas.

Jag förstår inte detta, även efter gått igenom hela tråden.

Hur kommer dom över mitt konto bara för jag loggar in vid samma tillfälle? Jag har ju en egen "licens" som bara är godkänd på min(a) apparater plus 6 siffrig kod. Hur kan bedragarna ens kommer i närheten av dessa uppgifter?

Även om dom slår samma personnummer så finns inte mitt bankid på deras apparat, varför skulle min inloggning funka för bägge? Eller har jag fattat helt fel?

Jag vet inga detaljer om det här fallet men man det låter som något liknande detta:

1. Du surfar till din bank och anger att du vill logga in med mobilt bankid och skriver in ditt personnummer på web-sidan.

2. Du tar upp din mobil och anger din kod i bankid-appen.

3. Du kommer in på din bank med din webbläsare

Din webbläsare har ingen koppling till till bankid-app utan kan t.o.m. köras från en annan dator. Detta innebär att även jag förstås kan göra samma sak som du i punkt 1 och då kan det bli så att du loggar in mig istället för dig själv.

BankID på fil är inte säkrare, eftersom det baserar sig på samma plattform. Prova logga in på Mobilt BankID med ditt personnummer så får du se att ditt BankID på fil startar och frågar efter legitimering. Även om du har kortläsare med BankID på kort anslutet.

En bedragare kan altså köra en "Mobilt BankID legitimering" mot ditt BankID på fil/kort samtidigt som du försöker logga in med "BankID på fil" manuellt.