Bedragare ägnar sig åt ett ny angreppsvektor mot mobilt Bank-ID. Man ringer upp och hävdar att man ringer från banken och att Bank-ID:t verkar kapat och ber användaren verifiera att så inte är fallet med sitt Bank-ID.
Förutsättningarna är att bedragarna har en persons personnummer och telefonnummer, samt i de mer avancerade fallen även kan spoofa uppringade telefonnummer (relativt enkelt görbart via t ex IP-telefoni – säkerheten på nummerpresentationen är obefintlig och består i att uppringande växel säger vad det är för nummer som ringer, och detta kan om man kontrollerar tekniken sättas till precis vad som helst).
Man ringer tilltänkt offer, försöker logga in på någon lämplig tjänst där Bank-ID krävs, och presenterar sig för offret i stil med följande
“Hej, jag heter Nnnnn NNNN, och ringer från [banken]. Vi misstänker att ditt mobila Bank-ID har kapats. Kan du bekräfta att så inte är fallet genom att logga in eller bekräfta med ditt Bank-ID?”
Offret tar upp appen och bekräftar med sitt Bank-ID, och bedragarna har fått den inloggning eller transaktionsbekräftelse de var ute efter, vilket kan vara allt från en adressändring, underskrift och utbetalning av ett lån, till inloggning på Internetbanken.
Man ska aldrig acceptera att bekräfta något med Bank-ID över telefon, särskilt inte när någon ringer upp. Torde egentligen vara självklart, men tål att påminnas om. Och glöm inte att faktiskt titta på vad du bekräftar när du väl använder mobilt Bank-ID på telefonen, så du inte bekräftar en annan transaktion eller inloggning än den avsedda.
13 kommentarer
"Man ska aldrig acceptera att bekräfta något med Bank-ID över telefon, särskilt inte när någon ringer upp. Torde egentligen vara självklart, men tål att påminnas om. Och glöm inte att faktiskt titta på vad du bekräftar när du väl använder mobilt Bank-ID på telefonen, så du inte bekräftar en annan transaktion eller inloggning än den avsedda."
Det är inte så lätt när banken själva använder sig av dessa tillvägagångssätt.
Jag och frugan skulle ta ett lån på bostaden och Nordea ville då dra igång en kundigenkänning pga penningstvättlagen bla bla bla.
De ringer upp och presenterar sig och ber mig identifiera mig själv via mobilt bankid. Detta var i samma veva som det stora "hacket" förra gången (logga in på två ställen samtidigt med mobilt bankid) så jag sade något i stil med "Men är det inte exakt så här man INTE ska göra med ett mobilt bankid?". Fick ett oförstående svar tillbaka om det var så här rutinerna såg ut och att de måste vara säkra på att de verkligen talar med rätt person. Satt vid datorn så jag kunde kolla upp numret och det var Nordea som ringde men det kändes inte bra att bra att slå in pinkoden på mobilt bankid.
Den här kommentaren har tagits bort av skribenten.
Google har löst det delvis med sin mobila inloggning. När man använder mobilen för att bekräfta inloggning (variant av mobilt bankid) så visas en siffra på "datorn" som man måste ange på mobilen. Visserligen kan bedragaren säga, slå in "59" nu så helt säkert blir det inte utan en fysisk sladd/NFC mellan enheterna.
BankID har gjort en dålig implmentering. Jämför man med Google´s 2-factors så känns den mera robust, då det är den som kopplar upp sig mot appen.
Hur är Bank-Id sämre på detta?
Du ser i appen vilken tjänst det är som begär verifiering.
Ja, men om bedragaren nu vet vilken bank du har så loggar ju de in istället för dig, det ser exakt lika ut i appen…
Provade detta nu. Om "du" vill lura mig, så kommer jag se att Swedbank begär verifiering i min app. Och jag logga in med kod eller finger avtryck.
Nu är du inloggad på min bank med mitt id.
Sen när du vill ta luringen vidare, så kommer du be mig att godkänna en överföring till ett annat externt konto.
Även detta ser jag i Bank-id appen, då står det i klartext vad det är som jag godkänner.
Om jag godkänner utan att läsa är jag lurad, men informationen finns där att se.
Var kan man läsa om detta nya sätt? Har det nått vanliga nyhetssidor`?
Känner mig rätt säker. Jag har två eller tre "smarta" telefoner som jag inte använder. Min uråldriga vikbara Samsung klarar nog inte bank-ID. Vill inte ens försöka. Min go'aste dator (WXP) verkar vara för gammal för bank-ID.
Det här skriver jag under viss intern protest från en burk med W10. Så frustrerande att mina sedan W95 stegvis förfinade skärmfärger inte går att överföra.
Från den datorn tror jag att jag registrerat mig för datorbundet bank-ID, men jag missade nog okarakteristiskt att notera lösenordet. Stor sak i det, jag har hittills inte råkat ut för något fall där jag tyckt mig behöva använda ID:t
Enkelt att skydda sig mot, ta namnet på uppringaren, vilket bankkontor de sitter på, googla fram numret till banken och be att få ringa tillbaks till vederbörande. Har de spoofat numret så kommer du till den riktiga banken och så var det problemet löst. Folk är för godtrogna helt enkelt…
Finns tjänster för detta. (Inte testat)
https://idkollen.se
Sa att jag skulle låta bli, men jag kan inte.
Du är medveten om att när den här typen av problem inträffar inom ditt bejublade statliga system så är konsekvensen att man skriver om det på bloggar, och när det händer inom krypto så är konsekvensen att det omöjliggörs?
För en ingenjör är det ju liksom skillnaden i karaktäristik för vacker för att inte beskriva. Det organiskt ödodliga vs det statiskt döende.
Jag erkänner Cornu, det var jag. Jag ville bara få min e-bok signerad. :p