Det har genomförts ett antal bedrägerier genom denna metod. Men i teorin behöver man inte ens ringa upp någon.Odjuret skrev:
Bäst vore det om man gjorde om Mobilt BankID att efter du angett ditt personnummer så genereras t.ex. en kod, denna kod är knuten till din inloggning och måste anges i samband med att du godkänner begäran via Mobilt BankID.
Det skulle eliminiera majoriteten av alla problem så länge som man tillåter inloggning via olika enheter/IP.
Det går ju dessutom att använda utan att ansluta sladden till kortläsaren, det blir väl mer som Swedbanks koddosa, men det blir ju en massa extra knappande jämfört med om man ansluter med sladd (testat handelsbankens)anders07 skrev:
Men vad är det som skett flera gånger? och hur ser det ut i teorin att man inte ens skulle behöva ringa upp någon först? För som jag ser att det fungerar att jag måste fysiskt använda mitt bank id och bekräfta med min kod. Så hur skulle någon i teorin kunna klara av det utan att kontakta mig? Och på vilket sött skulle din idé försvåra? Eftersom man oavsett måste ha kontakt med människan?DMOL skrev:
Vad jag förstått handlar det om att man kan vara inloggad med sitt bank-ID på två sidor samtidigt. Så det enda som behövs är att den som vill kapa ditt ID på nåt sätt vet att du kommer att använda det. Samtidigt som du loggar in på banken för att förnya ditt recept så loggar bedragaren in på din internetbank. Du får du upp två inloggningar i appen och kan förledas att tro att det blev fel på den första så du försöker igen.
Dock så står det väl alltid var man loggar in när man ska slå in sin kod i appen? Så läser man bara vad som står där så borde väl inte bedragarna kunna använda denna teknik?
Och när det gäller banköverföringar så brukar ju de dessutom behöva signeras separat med bank-ID.
Dock så står det väl alltid var man loggar in när man ska slå in sin kod i appen? Så läser man bara vad som står där så borde väl inte bedragarna kunna använda denna teknik?
Och när det gäller banköverföringar så brukar ju de dessutom behöva signeras separat med bank-ID.
Kör du med kort och dosa utan sladd så är det inte bänkAd utan en annan lösning som används.Snailman skrev:
Ska man vara lite petig så får folk gärna komma över mitt certifikat, men inte min privata nyckel.
Hela resonemanget spricker på att någon måste komma åt både din mobil och kod.... Annars måste man försöka fjärrstyra mig....Nerre skrev:
Vad jag vet är det inte möjligt att hacka mitt bank id eller fjärrstyra mig...
Allting som har hänt har varit att man lurat någon korkad att logga in åt någon med sitt egna bank id.
Fishing är det som varit.
Jag har Handelsbanken och loggar jag in och sedan loggar in med BankID på någon annan sida, t ex Skatteverket för att läsa hur mycket skatt jag skall betala, eller mitt OCR-nummer, så slutat Handelsbanken att fungera och jag måste logga in igen med BankId. Dessutom måste jag även om jag är inloggad godkänna alla överföringar till annat konto och alla betalningar med en separat inkoggning varje gång. Jag har bara BankID på kort/dosa. Verkar som att Handelsbanken varit rätt förskonade från bedrägerier. Och, ja, det står i signeringsrutan i BankID-appen vad det är du skall göra, som Nerre skriver måste man läsa ordentligt.
Det där stämmer inte, just nu är jag inloggad på fyra olika siter mha Handelsbankens BankID på kort, kortläsaren ansluten till datorn (en PC), siterna är handeldbanken.se, skatteverket.se, benify.se (Plusvalet/Personalkortet) och telia.seAnders_Nilsson skrev:
Däremot så blir man utslängd från banken efter en viss tids inaktivitet, det blir man från (nästan) alla (?) siter där man kan logga in med (mobilt) BankID, hur lång inaktivitetstiden är innan utloggning bestämmer siteägaren.
Det är alltså samma dosa med sladd och kort (handelsbanken) som man även kan använda utan sladden, det är möjligt bankid ej används då, minns ej.Fairlane skrev:
hsd
Medlem
· Kalmar län, Östra Götaland
· 6 817 inlägg
hsd
Medlem
- Kalmar län, Östra Götaland
- 6 817 inlägg
Felet gäller väl mobilt bank-id
Jag samma dosa. Med sladd används bankID, utan sladd används en Handelsbanken-lösning med delad hemlighet, som funkar just på Handelsbanken, men inte mot exempelvis skatteverket. Jag jobbar inom säkerhet själv och har aldrig hört om någon lyckad attack, bortsett från när man lurat någon att logga in eller signera. Privata nyckeln på fil är däremot inte så lyckat.Snailman skrev:
Frågan är bara vad de egentligen kan komma åt för att få tag på pengar... Det blir nog svårt att lura människan 2ggr. Är det lån de ska söka? Då måste man lämna något kontonummer att få pengarna insatta på... Å de kan vara lite avslöjande... Om man inte har någon "målvakt" Om de vill ta sig in på mitt bankkonto så tycker jag bara synd om dom... Där finns inte många kronor att hämta... Sedan så måste man på de flesta banker signera överförening...
Det är ett väldigt arbete för att lura någon via bank ID. Då bör man väl veta att det finns pengar att hämta.... Eller hur fungerar det egentligen? Hur får de tag på pengarna?
Sen tycker jag inte om när man säger att någon "kapar" ens bank ID. Så som media gör. Det är ingen kapning enligt mig. Det är lurendrejeri. Eller Fishing...
Det är ett väldigt arbete för att lura någon via bank ID. Då bör man väl veta att det finns pengar att hämta.... Eller hur fungerar det egentligen? Hur får de tag på pengarna?
Sen tycker jag inte om när man säger att någon "kapar" ens bank ID. Så som media gör. Det är ingen kapning enligt mig. Det är lurendrejeri. Eller Fishing...
Ja, de flesta funktioner idag kräver en extra signering, i alla fall på bankerna. Men jag läste en artikel om nån som hade jobbat med pensionsfonder och där gick det att byta fonder utan nån extra signering. (Det hade de sen gjort om just på grund av att många hade blivit lurade.)
@Odjuret
Nej ingen behöver komma åt varken din mobil, din kod eller ens kontakta dig.
Det räcker med ett personnummer.
Det man gjort nu är att ger användaren en varning när det förekommer två inloggningsförsök samtidigt.
Att det sedan går betydligt fortare att ringa upp personen än att vänta ut någon är en annan sak.
När det gällde Pensionsmyndigheten så var det serversidan som tillät två parallella sessioner samtidigt.
Nej ingen behöver komma åt varken din mobil, din kod eller ens kontakta dig.
Det räcker med ett personnummer.
Det man gjort nu är att ger användaren en varning när det förekommer två inloggningsförsök samtidigt.
Att det sedan går betydligt fortare att ringa upp personen än att vänta ut någon är en annan sak.
När det gällde Pensionsmyndigheten så var det serversidan som tillät två parallella sessioner samtidigt.