ID-svindel: Kjell på 75 svindlet for store summer

[Økonom2015]

Noen kjappe kommentarer/presiseringer:

Kodebrikken er IKKE BankID. BankID er derimot passordet man bruker.  (Kodebrikke kan brukes uten BankID)

I svindelsaker ved bruk av BankID MÅ man altså ha kjennskap til det personlige passordet til offeret, og som ved alle andre passord, skal det ikke deles med noen, uavhening om det er barn/ektefelle/gode hjelpere.

 

Alternativet til signering med BankID er signering pr papir, hvor i de fleste tilfeller vil være mye letter å forfalske (så lenge det ikke er underskrevet i bankens lokaler)

[0laf]

Økonom2015 skrev (1 time siden):

Kodebrikken er IKKE BankID. BankID er derimot passordet man bruker.  (Kodebrikke kan brukes uten BankID

BankID er to ting, det er først og fremst en elektronisk identifikasjon som oppfyller visse krav til ID- og legitimasjonskontroll, samt at det også er et selskap med navn BankID Norge AS.

BankID er ikke hverken et passord eller en kodebrikke, men en "løsning".
 

Økonom2015 skrev (1 time siden):

I svindelsaker ved bruk av BankID MÅ man altså ha kjennskap til det personlige passordet til offeret, og som ved alle andre passord, skal det ikke deles med noen, uavhening om det er barn/ektefelle/gode hjelpere.

BankID har vel levert tjenesten på blant annet mobil, på kort, på fil og med kodebrikker, slik at det er teknisk mulig å få tilgang til andres BankID uten at de deler sitt passord frivillig.

Passordet må for eksempel tastes inn for å bruke løsningen, åpenbart, som gjør at det er mulig å stjele det på en rekke forskjellige måter, i tillegg til phising eller social engineering, hvor man får brukeren til å gi fra  seg informasjon selv.

Man kan infisere telefonen til brukeren med noe som registrerer tastetrykk e.l, eller man kan bruke en rekke metoder for å presentere en falsk nettside for brukeren osv.

Man har i andre land hatt tilfeller hvor utro tjenere har klonet sim-kort, for så å få tilgang til folks telefonnummer, inkludert lignende tjenester som BankID ved å bruke telefonnummeret på sim-kortet sammen med appen, jeg antar noe slikt er mulig i Norge også, dersom man jobber hos en teleoperatør eller lignende?

BankID har historisk sett vært ganske hovne, og har i de tilfellene hvor sikkerhetsproblemer har blitt påpekt totalt oversett det, og stått på sitt for å påse at deres løsning er "juridisk sikker", som altså betyr at den holder i retten ved erstatningssaker.

https://www.digi.no/artikler/bankid-eieren-ingen-sarbarhet/461113
https://www.digi.no/artikler/professor-far-hat-post-etter-bankid-kritikk/204795
https://www.digi.no/artikler/ber-myndighetene-stanse-bankid/204472
https://www.digi.no/artikler/nye-innbrudd-i-nettbanker-med-bankid/201782
https://www.aftenposten.no/meninger/debatt/i/PyxVe/nettbanken-ikke-trygg

Endret 24. februar 2020 av 0laf

[tigerdyr]

1 hour ago, Økonom2015 said:

Alternativet til signering med BankID er signering pr papir, hvor i de fleste tilfeller vil være mye letter å forfalske (så lenge det ikke er underskrevet i bankens lokaler)

Nettopp - og det var et særdeles viktig poeng for bankene med BankID; at man på den måten kunne skyve alt av risiko, ansvar og bevisførelse over på forbrukeren, den svakeste parten.  Man kan bare håpe på at domstolene etterhvert har innset at det er urimelig.  I praksis er det umulig for en almindelig person å huske hundrevis av passord, så derfor må det skrives ned og det må da nødvendigvis også oppbevares et eller annet sted.  Det stedet må både være lett tilgjengelig for en selv samtidig som det må være sikrere enn Fort Knox for alle uvedkommende.  Igjen, i praksis et umulig krav.