Betalningar via Zaver, id kapning?

Beställde ett par stenskivor från stenskivor.se, de har tydligen Zaver som betalningstjänst, så jag fick ett sms med en länk där jag sedan kan välja betalningalternativ.

Det enda avgiftsfria betalnings alternativet är "Direkt banköverföring", väljer man det så får man sedan välja sin bank följt av att de vill man ska logga in med bank-id.

Problemet uppstår här eftersom bankid inte är för att logga in till Zaver, utan det är en inloggning direkt till banken, i det här fallet Länsförsäkringar. Så Zaver försöker logga in på banken med min identitet, det triggar alla varningsflaggor som finns för mig, och jag misstänker att om jag skulle fortsätta denna inloggningen och det händer något så skulle banken anse att jag agerat grovt oaktsamt.

Har någon annan erfarenhet av detta? Är det bara jag som är överdriver säkerhetsmedveten?

Försökte prata med deras kundtjänst (Zaver), men det enda de kan göra är att föreslå att jag ska betala extra för att få en faktura istället med ett vanligt bankgiro att överföra till.

 

Jag misstänker att det är så det är tänkt att fungera, men det finns ju ingen möjlighet för mig att se om så är fallet innan jag har loggat in, och då är det ju redan för sent så att säga.

A och O för alla inloggningar med t.ex bank-id är ju att de ska vara initierade av dig själv, du ska aldrig klicka på t.ex en länk i ett mail för att komma till bankens sida utan du går alltid via den vanliga addressen som du skriver in i webläsaren osv.

Att göra så som de valt här öppnar ju upp för att på en illa-sinnad webplats göra samma sak, utan att slutanvändaren har någon möjlighet alls att veta att så är fallet förrän efter inloggningen redan skett.

 

För att jag har precis gett en tredje part access till min bank inloggning, litar man på Zaver är det såklart inget problem, men varför skulle man göra det?

 

Nej, du är en allmän inloggning som har initierats. Hade det varit ett godkännande för att överföra X kronor till mottagare Y så hade jag inte haft något problem med det.

 

Behöver kanske vara tydlig med att jag egentligen inte tror Zaver har tänkt råna mig, men deras upplägg är precis samma som om någon hade velat göra det.

Det är ingen egentlig skillnad på det här och när folk blivit uppringda och ombedda att logga in på sin internetbank, sen är så såklart så att de faktiska överföringarna brukar kräva ytterligare godkännande. Men bara för att det finns flera lager av säkerhet betyder inte det att man ska skita i det första lagret.

Att sen bygga tjänster som fungerar på det här sättet normaliserar tillvägagångssättet och ökar sannolikheten att bedragare lyckas när de bygger liknande "tjänster". Nästa gång man får ett mail/sms med en url där man sen blir ombedd att logga in på sin bank så tänker man att det väl är ok, så har jag ju gjort tidigare utan problem.

 

Oavsett, efter kontakt med stenskivor.se har vi löst betalningen utan att gå via Zaver.