Phisher

Unnskyld meg, men sikkerheten er jo ENDA dårligere enn det kommer fram i denne artikkelen.

Det er overhodet INGEN beskyttelse for man-in-middle angrep for BankID Norge.

BankID tillatter at skjema for BankID kjører på webservere hos de som ønsker løsningen, så bruker er ikke vant til at man må taste inn dette på domenet bankid.no. Alle kan legge sitt eget UI på toppen på sine egne domener.

Hvem som helst kan altså lage en fake in logging side (phishing akkurat som med brukernavn/passord) hvor en ber brukerene taste inn sine data med BankID i den tro de gjør det mot BankID, men i virkeligheten gis det direkte til man-in-middle som så bruker det på den ekte BankID siden.

Dette fungerer BÅDE med personnr/kode fra brikke OG på mobil hvor de to ordene feks "SULTEN SNEGLE" etc returneres til bruker og sendes til mobil slik:

- Den ekte brukeren går til en phishing side og taster inn sitt mobil-nr og fødselsdato.

- Dette blir sendt til phishing siden og IKKE til BankID

- Det er Man-in-middle siden som da sender det samme mobil-nr og fødselsnr til BankID og får tilbake feks "SULTEN SNEGLE" i sitt UI.

- Dette "SULTEN SNEGLE" returneres så til den ekte brukeren på den falske siden (med en delay på bare 1-2 sekunder mens de kjører en "spinner" på det falske BankID UIet som INGEN normal bruker reagerer på)

- Når brukeren så får SULTEN SNEGLE opp på sin mobil og godkjenner innlogging er det man-in-middle som det blir åpnet for.

På normal fødelsenr/kodebrikke er det ENDA enklere... Så det er NULL mer sikkert med BankID enn brukernavn/passord....