Ja, ditåt fungerar det.bakterie skrev:Ok. Nu läste jag länken, men den gav ju i princip ingenting. Dock så kan jag gissa vad det handlar om. Gissningsvis tas något fingeravtryck när bankid:t genereras och detta sparas hos finansiell idteknik (eller vad de heter) och kanske bakas in i certet. När man sedan försöker använda certet så tar bankid-programmet ånyo ett fingeravtryck och servern jämför det med vad den förväntar sig.
Så för att attacken ska funka måste man dessutom modifiera appen till att ljuga om fingeravtrycket. Då blir det snäppet klurigare än jag väntade mig.
Är jag nära?
(Lite ot: såg precis Citizenfour på svtplay, så nu åker stora foliehatten på igen.)
hsd
Medlem
· Kalmar län, Östra Götaland
· 6 817 inlägg
hsd
Medlem
- Kalmar län, Östra Götaland
- 6 817 inlägg
Banken ser att det finns bankid och vilken bank har Du dessutom avvikande adress så blir det svårtDonald-Duck skrev:
Att det blir svårt får man ju innerligt hoppas. Men frågan är om det är omöjligt???hsd skrev:
Det är väl om det finns en minsta lilla möjlighet, som bedragaren ser sin chans.
Ibland kan man ju förvåna sig hur mycket energi som kan läggas ner av de oärliga att berika sig på andra :x
Det är väldigt få saker som är omöjliga, problemet är oftast att de resurser man måste lägga ner på det gör att det inte lönar sig.
Vem vill lägga flera hundra mantimmar på nåt som på sin höjd ger ett par hundra tusen? Då är det bättre att lägga 10 minuter på nåt som ger en tusenlapp.
Vem vill lägga flera hundra mantimmar på nåt som på sin höjd ger ett par hundra tusen? Då är det bättre att lägga 10 minuter på nåt som ger en tusenlapp.
Mobilt BankID är bl.a. sårbart för dubbellinloggningattack.
Appen uppdateras nu med bl.a. varning.
Appen uppdateras nu med bl.a. varning.
Inte för att jag förstår vad du menar?anders07 skrev:
Men om det finns ett fungerande bankid installerat på en dator, så är det bara att klona hårddisken, montera den klonade hårddisken i en annan dator, så har den nya datorn ett fungerande bankid
Givetvis måste man ha sin kod i båda fallen, för att kunna använda den.
Jag har själv testat detta, men det var ett par år sedan.
Har också testat att installera mobilt bank id på en pc som kör ett program som emulerar en ipad. Klonar man den disken, borde den metoden som nämns på sidan 2 sättas ur spel.
En ny regel de infört är att man inte får förvara koden till bankid i samma rum som datorn, för att man ska få ersättning numera.
Redigerat:
Men det du skriver är inte att kapa.Snailman skrev:
Det bygger på att jag fått tag på hårdvaran... Dvs mobil eller dator. Det är lätt att stjäla dina kontanter om jag har din plånbok... Så om jag först stjäl din mobil så kan jag stjäla ditt bank id... Fördelen är ändå att om jag stjäl din mobil så måste jag få fatt på din kod.
Det har nästan alltid funnits krav på aktsamhet när det gäller att förvara sin kod eller lösenord. Många banker ersätter när utsatts för fishing... Då om något är man oaktsam ensligt mig....
Sen har vi de människor som skriver koderna på en lapp i plånboken.... Den är åxå bra
Men hur vanligt är det? Det bygger på att någon har lyckats fixa fram ditt bank id eller ringer upp någon å får den människan att logga in åt någon annan...DMOL skrev:
Jag har svårt att se att sist nämnda blir någon större framgång... Jag skulle inte logga in åt någon som ringer mig, om jag inte känner människan väl... Knappt då
..
Man behöver inte ha fått tag på hårdvaran, har man lyckats få nån att installera ett fjärrstyrningsprogram, så kan man ju installera ett backupprogram och köra en backup av hårddisken, eller om offret redan gör backuper, ladda ner en av dessa.Odjuret skrev:
För det fösta så är det skillnad på Mobilt BankId och e-leg/bankId på fil. e-leg/bankid på fil ligger på en hårddisk, ja, men kräver fortfarande ett lösenord för att användas. Mobilt bankid kan bara nyttjas om man kommer åt någons mobil samt deras sexsiffriga kod.
Om din dator blir kapad/fjärrstyrd kan en ev. förövare logga din kod genom en key-logger och sen bryta sig in och stjäla din hårddisk (fast då lär han nog ta hela din dator) och sen utnyttja ditt e-leg/bankid bäst han vill tills du blockerar det.
Om någon tittar dig över axeln och ser både din PIN kod (för du använder väl en?) och din inloggning till bankid och sen stjäl din mobil kan förövaren också utnyttja ditt mobila bankid.
Detta lär oss en viktig sak!
Ha ALDRIG ditt lösenord eller kod för e-leg/bankid sparat på samma dator du använder det på och inte heller en lapp i närheten av datorn!
Knappa ALDRIG in din kod för Mobilt BankId där någon kan se eller täck noga för skärmen så ingen kan tjuvkika!
Får förövaren inte din kod/lösenord kan inte e-leg eller Mobilt bankid nyttjas.
Dessvärre kan man inte skydda sig mot att någon stjäl koden via en Trojan och keylogger men det är högst osannolikt at råka ut för en som sen dessutom bryter sig in och stjäl din dator...
Om din dator blir kapad/fjärrstyrd kan en ev. förövare logga din kod genom en key-logger och sen bryta sig in och stjäla din hårddisk (fast då lär han nog ta hela din dator) och sen utnyttja ditt e-leg/bankid bäst han vill tills du blockerar det.
Om någon tittar dig över axeln och ser både din PIN kod (för du använder väl en?) och din inloggning till bankid och sen stjäl din mobil kan förövaren också utnyttja ditt mobila bankid.
Detta lär oss en viktig sak!
Ha ALDRIG ditt lösenord eller kod för e-leg/bankid sparat på samma dator du använder det på och inte heller en lapp i närheten av datorn!
Knappa ALDRIG in din kod för Mobilt BankId där någon kan se eller täck noga för skärmen så ingen kan tjuvkika!
Får förövaren inte din kod/lösenord kan inte e-leg eller Mobilt bankid nyttjas.
Dessvärre kan man inte skydda sig mot att någon stjäl koden via en Trojan och keylogger men det är högst osannolikt at råka ut för en som sen dessutom bryter sig in och stjäl din dator...
Det hjälper dem inte om de kommer över min mobil, jag har inget mobilt bankid på den, det var därför jag var tvungen att stoppa in det på en emulator nyligen, då de tydligen vill tvinga på en det numera.
Det finns ytterligare en variant av BankID på fil, där filen ligger lagrad på ett kort och att man kopplar en kortläsare till datorn som kan läsa filen på kortet, både SEB & Handelsbanken har den varianten.anders07 skrev:
Där måste bedragaren komma åt att göra en kopia av filen på kortet samtidigt som användaren har kortet i kortläsaren.