Hur går en bankid-kapning till?

I dagens AB kan man läsa om Wilma, som fick sitt bank-id kapat:

https://www.aftonbladet.se/a/0neE1o

Man blir ju onekligen lite mörkrädd när man läser artikeln. Kan det verkligen vara så enkelt att kapa någons bank-id? Wilmas egna förklaring låter ju också lite märklig. ”Någon måste ha sett när jag loggade in på internetbanken”. Hur kan någon ”se” när man loggar in med antingen bankdosa eller mobilt bank-id och sen göra samma sak?

Varför repeterar du samma sak som denna tråd handlar om?

Tråden handlar väl inte om just det här specifika fallet som jag länkade till?

Är bara nyfiken på hur det har gått till rent tekniskt. Att bedragare ringer upp och utger sig för att vara från banken och uppmanar brottsoffret att logga in med bank-id är ju känt, men så har det ju uppenbarligen inte gått till i det här fallet.

Ah ser nu att två trådar slagits ihop... Du är ursäktad.

På mobila enheter, dvs där du loggar in från samma enhet, då skickas informationen som normalt finns i QR-koden, via inter-app kommunikation.
Dvs om du t.ex. loggar in i Nordea-appen på din telefon, kommer nordea-appen skicka över challenge-värdet lokalt.
Det gör att BankID och appen måste finnas på samma enhet.


Jag tror inte det utan troligtvis har hon skrivit på facebook "Ja nu ska vi ut och paddla från fredag till söndag".
Och sedan har en bedragare snappat upp detta, sett hennes personliga kod över axeln när hon loggat in med "förenklad inloggning", och sedan använt "Förenklad inlogging" för att beställa en BankID brevkod till hennes folkbokföringsadress.
Sedan åkt hem till henne och vittjat brevlådan.


Så du menar nu att man inte kan logga in med något BankID alls? Dvs att man måste ha den där lilla dosan? (dvs att kortläsaren med kabel + BankID-kortet inte är nog längre)
Det är väl bara nya BankID som är "låsta" ett tag (och inte nya BankID på kort, de är alltid öppna)

Så som jag förstår det som så är alltid inloggning med BankID på kort tillåtet. Känner ett flertal personer som bara har kortläsaren med kabel i datorn via SEB, och inte deras "lilla" dosa.

https://www.nordea.se/privat/produkter/mobilbank-internetbank/mobilt-bankid.html

1. De har fått reda på den förenklade inloggningskoden. Hur vet man inte, det kan vara ifrån någon minneslapp, eller så har någon övervakat när man loggar in på Internetbanken.
2. De beställer nytt bankid. Och har hackat e-postlådan eller så beställer de bekräftelsekoden med post. De har sedan uppsikt över brevlådan.
3. De aktiverar sedan appen och kan börja ta lån eller köpa saker.

Det man kan göra är att ha en låst brevlåda som inte kan öppnar av obehöriga. Samt att spärra bank-id direkt när man får en avisering om att ett nytt bankid är beställt.

I detta fall så var det på kvällen, så kundtjänsten hade stängt. Men det finns ett dygnet runt öppet spärrnummer att ringa, alt så kan man spärra själv dygnet runt på Internetbanken. Att vänta tills banken har öppnat nästa vardag är ofta för sent.

Såg att de har ändrat lite nu. Förut så krävdes den lilla dosan.

Men nu krävs det att första inloggningen med nytt mobilt bankid sker med bankid på kort, den lilla koddosan eller en smskod. Alt ett besök vid ett bankkontor.

Jag tänkte nog på hur det var innan de införda bankid på kort.

https://seb.se/privat/verktyg-for-din-ekonomi/mobilt-bankid

Troligtvis är bankerna medvetet vaga med hur detta går till, de vill inte sprida kunskapen. De ersätter kunderna och förösker täppa till luckorna men de vill inte vara för detaljerade i sina råd till sina kunder för de vill inte 1) Sprida kunskapen. 2) De vill inte att kunderna skall veta hur sårbara de är. 3) De vill skydda det egna varumärket, om folk får veta allt som sker kanske de tappar förtroendet för banken.


Jag tror de allra flesta bara använder mobilen nuförtiden. Man ser också att första alternativet alltid är "mobilt bank-ID" så man får själv ändra till dator.

Har ICA-Banken och där krävs att man scannar QR-kod innan man loggar in i internetbanken.

Hur hon själv tror det hela gått till är inte jätteintressant. Det relevanta är hur det faktiskt gick till.

Till 99% är risken att hon legitimerade sig till fel sak vid fel tillfälle bara, antagligen via phishing. Detta förstår dock inte Wilma.

Kan i alla fall tycka att någon borde sätta tjejen under förvaltarskap.
Får man en pushnotis som säger att någon skapat ett BankID i ens namn så väntar man inte en hel dag, utan givetvis går man in och spärrar BankIDt.

Jösses vad idiotiskt, vänta tills kundservice har öppnat. (Och även om spärrservice skulle ha stängt så kan man ändå LOGGA IN SJÄLV OCH SPÄRRA!).

Tradera har denna "Tjänst". Men skiten fungerar inte, i varje fall inte på min lur som refuserar qr-koden.