Om jag förstått rätt så väljer man ut sina offer och tar reda på deras namn, adress, personnummer m.m. Man ringer upp offret och drar nån scam som slutar med att man ska logga in på sitt bankid. När man slagit sin kod så loggar man in åt bedragaren som ringt som då kan flytta runt pengar på ens konto och sen behöver ytterligare en inloggning eller liknande för att få ut pengarna till sig själva. Oftast med hjälp av swish eller liknande.
Hur kommer det sig att det jag loggar in på min mobil går över till deras? Syns det på vid inloggningen att det är något konstigt om man faktiskt läser vad man godkänner? Måste dom inte vara på mitt wifi eller ha ett bankid i mitt personnummer? Jag provade göra ett bankid med personnummer från en i familjen men det gick inte utan vidare.
Jag vill bara veta så jag kan förklara hur det går till för andra som bara vet att man inte ska ge ut uppgifter när nån begär det. Vill också förstå tillvägagångssättet för att se hur allvarligt bristande all säkerhet är för att lyckas med dessa bedrägerier.
Det fungerar precis som när du själv loggar in på din bank.
I bedrägeriet så påbörjas inloggningen istället på annan plats med ditt personnummer och de får dig över telefon, att godkänna inloggningen på din mobil istället via mobilt bankid eller knappdosa.
Du är inte medveten om att de påbörjat logga in på banken, utan de säger bara att du ska godkänna något över telefon.
Ni behöver inte vara på samma nätverk.
Min första tanke var man in the middle attack. Men trafiken är garanterat krypterad när den lämnar enheten, det blir ett extra steg men är inte omöjligt.
Jag hade gått tillväga på två sätt:
1. Hota till mig enheten och att personen köper bitcoins, dessa tumblar jag sedan.
2. Lurar någon till att acceptera och skriva in lösenordet, i antingen berusat tillstånd eller bara korkad.
BankID går via internet, inte via ditt lokala wifi. Alltså kan enheten du loggar in med på bankens sida vara i en helt annan del av världen än enheten där du loggar in på mobilt bank id.
Mobilt BankID är (var) uppbyggt som så att en request om auktorisering kunde göras på en hemsida med ett personnummer. (Detta kan jag som förövare påbörja)
För det mobila bankID som personnummer är kopplat till kommer en förfrågan om man vill auktorisera requesten. (Offret försöker logga in på sin internetbank, kollar sitt BankID men godkänner min request som ligger framför)
Efter bekräftelse ges den som ansökte om access tillgång till materialet. (Jag som förövare)
Det är därför bra att man nu (eller snart?) kommer införa krav på att scanna QR-koder och säkerställa att jag bekräftar rätt request.
Det finns lite olika sätt som bedragarna kör på.
1. Ringa upp offret och utge sig att vara ifrån myndighet (polis, skatteverket m.m), banken (kreditutgivare, säkerhetsavdelningen, kort), investerare (bitcoins, guld etc)
2. Annonser. Facebook/Blocket. Oftast lägenhetsannonser.
De lurar offret att det dragits pengar, en beställning på vara eller liknande.
Lägenhetsannonser så vill de ta en UC koll.
De får offret att legitimera sig genom att öppna BankID appen. Bedragaren har då redan ställt ledande frågor för att ta reda på vilken bank offret tillhör. De startar en inloggning och låter offret godkänna i bankID appen.
När de väl är inne i banken så för de över pengar mellan offrets egna konton och skriver ett meddelande som får offret att tro att bedragaren skickat pengar till offret.
Sedan vill de såklart ha tillbaka pengarna eftersom de skickat för mycket pengar. De får då offret att betala till en bitcoin wallet eller någon annan form av direktbetalning/swishning.
Det är mycket social engineering, som TS skrev så har de oftast koll på personen. Personummer/adress eller liknande som får offret att tro att det är säkert. Om jag utger mig att vara ifrån banken och det sedan står o bankID appen att man legitmerar sig emot sin bank så ger det en falsk trygghet. Riktar de då in sig mot äldre människor som inte ens vet hur ett bankid fungerar är det som att stjäla godis ifrån ett barn.
För att göra det enkelt för sig själv, godkänn inte något i ditt bankid på uppmaning av någon annan. Var inte naiv. Frågor på det?
Det är egentligen inte svårare än såhär:
1. Ring upp Hjalmar, säg att du ringer från Swedbank. Hans konto har blivit kapat och du måste verifiera att det är han.
2. Be honom öppna BankID-appen.
3. Försök logga in på sidan.
4. Be han verifiera från BankID.
5. Försök flytta över pengarna.
6. Be han verifiera igen.
7. Du har nu massa pengar och Hjalmar kommer glatt tacka dig för att ha hjälpt honom (länsa sitt eget konto.)
Att BankID vore osäkert är FUD och stämmer inte överens med verkligheten. Det är som vanligt med teknik att problemet är i stolen, inte i mobilen.
Sättet som BankID försöker att lösa detta på är att införa en QR-kod som Hjalmar i detta fall måste skanna för att verifiera att det är han som försöker logga in. Skyddet finns på så sätt i att QR-koden visas på scammerns dator, inte på Hjalmars, således kan han inte skanna den. Alltså är han säker. Har dock aldrig mött på en sida där jag måste skanna en QR-kod, så är oklart hur bra utrullningen av den tekniken gått.
Tack för alla svar. Det jag tycker är konstigt är att man bara behöver ett personnummer för att ens få försöka. Det är ett ID reggat på din mobil som måste aktiveras över bankens system, skulle man inte kunna göra en check för att detta ID faktiskt finns och stämmer överens med det personnummer du slår in? Därav kan du inte bara sitta med någons personnummer och lura till dig någon att logga in på deras egen enhet. Istället slår bankid ifrån hos bedragaren för den har inte registrerat detta på sin sida.
Hela bedrägeriet faller om man bara slutar använda personnummer som "användarnamn" och sen tillåter vilken enhet i världen att agera nyckel. Som nämnt i tråden så är väl inte systemet "osäkert" men kanske lättutnyttjat? Skulle användarvänligheten försämras så avsevärt att det inte är värt att genomföra min lösning måhända? Jag läste att man börjat kräva QR kod verifiering så det är väl det närmaste alternativet.
Flashback finansieras genom donationer från våra medlemmar och besökare. Det är med hjälp av dig vi kan fortsätta erbjuda en fri samhällsdebatt. Tack för ditt stöd!
