Hur ofta förekommer att e-legitimation kapas?
I en annan tråd gjordes ett påstående att e-legitimation ofta kapades/kopierades
https://www.byggahus.se/forum/threads/folkbokfoeringsbedraegeri.285243/#post-2583961
Eftersom alltmer bygger på e-legitimation som bas för att logga in på banker och många myndigheter, så är det intressant att få insikt i hur säker e-legitimation egentligen är.
Är det någon med insikt från bankvärlden eller annan relevant källa som kan berätta hur ofta det förekommer bedrägeri med stulen e-legitimation?
Och hur skyddar man sig bäst för att drabbas?
https://www.byggahus.se/forum/threads/folkbokfoeringsbedraegeri.285243/#post-2583961
Eftersom alltmer bygger på e-legitimation som bas för att logga in på banker och många myndigheter, så är det intressant att få insikt i hur säker e-legitimation egentligen är.
Är det någon med insikt från bankvärlden eller annan relevant källa som kan berätta hur ofta det förekommer bedrägeri med stulen e-legitimation?
Och hur skyddar man sig bäst för att drabbas?
Det som jag har läst om är att det har gått att göra detta men att det är omständligt.
Först så skaffar du dig ett falskt id-kort i offrets namn men med ditt eget foto på. Sen så går du till en helt annan bank än den som offret använder och blir kund där, t.ex. genom att öppna ett bankkonto. Sen så använder du din kundrelation till den nya banken så att du kan skaffa en till e-legitimation, som då har blivit utfärdad oberoende av att offret redan har haft en e-legitimation hos sin gamla bank. På det sättet så kan du skaffa en giltig e-legitimation i en annan persons namn.
Men som du säkert förstår så finns det en massa olika steg i processen där bedrägeriet kan upptäckas, och förhoppningsvis så har bankerna börjat samarbeta så att de uppdagas om någon försöker skaffa flera olika e-legitimationer oberoende av varandra.
Först så skaffar du dig ett falskt id-kort i offrets namn men med ditt eget foto på. Sen så går du till en helt annan bank än den som offret använder och blir kund där, t.ex. genom att öppna ett bankkonto. Sen så använder du din kundrelation till den nya banken så att du kan skaffa en till e-legitimation, som då har blivit utfärdad oberoende av att offret redan har haft en e-legitimation hos sin gamla bank. På det sättet så kan du skaffa en giltig e-legitimation i en annan persons namn.
Men som du säkert förstår så finns det en massa olika steg i processen där bedrägeriet kan upptäckas, och förhoppningsvis så har bankerna börjat samarbeta så att de uppdagas om någon försöker skaffa flera olika e-legitimationer oberoende av varandra.
Tja, oavsett... Det finns ingen eller väldigt väldigt liten chans att nån lyckas kapa din e-legitimation. Det ända sätt som jag fungerar är som skrevs ovan, id kapning, då skapar man en ny e-legitimation.
Jag skulle inte oroa mig för den biten.
Så för att minska risken för att din e-legitimation kapas, så finns det ingen mjukvarulösning, utan det blir en hårdvarulösning på det hela och rekommendationen blir att skaffa lås på brevlådan.
Det finns så mycket mer att oroa sig för som det är större risk att man råkar ut för....
Jag skulle inte oroa mig för den biten.
Så för att minska risken för att din e-legitimation kapas, så finns det ingen mjukvarulösning, utan det blir en hårdvarulösning på det hela och rekommendationen blir att skaffa lås på brevlådan.
Det finns så mycket mer att oroa sig för som det är större risk att man råkar ut för....
Jag jobbar med IT säkerhet och har jobbat på många banker och med betallösningar.
Det finns inget sätt att direkt kapa ett bankid elektronisk.
Det man kan göra är som beskrivet ovan.
Dock måste man ju nuförtiden skriva på papper som postas hem och banken postar till adressen kopplad till personnummer så den som vill kapa id och komma över inloggning måste minst tre gånger länsa postlådan.
Det finns inget sätt att direkt kapa ett bankid elektronisk.
Det man kan göra är som beskrivet ovan.
Dock måste man ju nuförtiden skriva på papper som postas hem och banken postar till adressen kopplad till personnummer så den som vill kapa id och komma över inloggning måste minst tre gånger länsa postlådan.
Besserwisser
· Västra Götalands
· 10 758 inlägg
Njae, man ställer ju om adressen så att man får posten till sig själv, och sedan så går man och lägger tillbaka den man inte är intresserad av hos den riktiga adressaten. (Så bra som PostNord, CityMail och vad de nu heter är på att leverera post så höjer få på ögonbrynen åt det). Om man har spärrat sin adressändring så att man behöver bank-ID för att kunna göra det, så har man dock fått angriparen i en trevlig hönan-och-ägget-situation...anders07 skrev:
Sedan så är som sagt bankid ett hyffsat bra system. Inte tu tal om det. Men mer än tjugo år som forskare och arbetande inom IT-säkerhetsområdet så drar jag mig för att gå så långt som att säga att det "finns inget sätt att direkt kapa ett bankid elektroniskt".
Jag kan tänka mig några sätt, men de är så krångliga och kräver så mycket insats att de inte är realistiska angreppsvektorer. Vilket iofs är det man strävar efter när man designar sådana här system. Det finns andra lättare sätt. Det är alltid enklare att slå mot där säkerheten är svag, inte stark.
Som antyddes ovan är det en väldigt bra idé att aktivera adressändringsspärren hos Skatteverket. Sitter på telefonen nu och orkar inte googla upp det, men man loggar bara in där och aktiverar ett alternativ som gör att det krävs e-leg för adressändring. Annars krävs det ju bara att man skickar in en för hand underskriven blankett.
Seså, iväg och spärra!
Seså, iväg och spärra!
Nu vet inte jag vad du menar med "direkt", men så länge tekniken bygger på mjuka certifikat så borde väl följande principiella angreppssätt fungera:anders07 skrev:
1. Skaffa tillgång till offrets dator/mobiltelefon, t.ex via dagens 0-day.
2. Sno filen med det mjuka certifikatet.
3. Installera en keylogger och vänta på att offret använder sitt id. Då får du lösenordet.
4. Profit!
?
Jobbar med e-id lösningar dagligen och enklaste sättet att kapa ett e-id är antagligen att komma åt personens internetbank genom olika spionprogramvaror och ladda ner ett nytt e-id till sin egen dator/mobil. Det är ju då dock bara en tidsfråga innan det slutar att fungera eftersom det kapade e-id slutar att fungera när personen inte kan använda sitt eget.
Att tekniskt sett "sno" ett e-id är i dagsläget för omständligt, när det finns andra enklare lösningar. Jag har hört talas om modeller för att utnyttja en pågående "session" men det har då gällt inloggning och inte signering (dvs. den elektroniska motsvarigheten till ett id-kort. Inte din underskrift/signatur). Det skulle det isåfall göra det möjligt att få åtkomst till information men sällan mer då detta kräver e-signatur.
Kontentan är att din e-identitet och e-signatur är långt mer säker än den fysiska motsvarigheten så länge du håller dina lösenord för dig själv.
Att tekniskt sett "sno" ett e-id är i dagsläget för omständligt, när det finns andra enklare lösningar. Jag har hört talas om modeller för att utnyttja en pågående "session" men det har då gällt inloggning och inte signering (dvs. den elektroniska motsvarigheten till ett id-kort. Inte din underskrift/signatur). Det skulle det isåfall göra det möjligt att få åtkomst till information men sällan mer då detta kräver e-signatur.
Kontentan är att din e-identitet och e-signatur är långt mer säker än den fysiska motsvarigheten så länge du håller dina lösenord för dig själv.
Läs på om modern två-faktors påloggning och token-hantering så förstår du bättre.bakterie skrev:
Det icke tekniska svaret har du här: https://support.bankid.com/sv/fragor-svar/tekniska-fragor/varfor-fungerar-inte-mitt-bankid-nar-jag-har-bytt-dator
Jag tänker inte gå in på mer tekniska förklararingar här, det får du söka upp själv.
Du har många intressanta timmars läsande framför dig!
Redigerat:
Har Bank-Id på kreditkorts format och separat USB ansluten kortläsare med kod som ingen "keylogger" kan läsa. Det lär väl vara det säkraste om man nu öht kan anse Bank-Id systemet som osäkert.
Varje transaktion utanför mina egna konton måste verifieras med ny kod inmatning.
Varje transaktion utanför mina egna konton måste verifieras med ny kod inmatning.