Gå til innhold
Trenger du råd om juss? Still spørsmål anonymt her ×

BankID R.I.P?


sk0yern

Anbefalte innlegg

qualbeen skrev (15 minutter siden):

Tøv!

Bankene må begynne å beskytte kundene bedre.

Her har svindlerne klart å hente ut store pengebeløp fra en kunde. Kunden har ikke selv initiert overføring. Det er åpenbart at banken gladelig lar seg lure, og ikke har gode nok sikkerhetstiltak.

Før internett og telefonbank måtte man fysisk møte opp. Gud bedre så tungvint det var..!! Men du måtte gjerne også legitimere deg. Personalet i banken sjekket id mot faktisk oppmøtt person. 

Nettbanken bør være helt sikker på hvem som prøver å logge seg inn. Det er (tydeligvis) for lett å lure folk til å bekrefte en BankID. Og det er ikke så rart; fra å være en ren nettbank-sikkerhets-dings, har BankID blitt den nye verifiseringen som brukes overalt. Banker, Nav/Altinn, søknader hos kommune, leie bil, kommunisere med skole og barnehage, lotto, etc. Listen er mye lengre. 

Fra et sikkerhetsmessig ståsted er det faktisk en risiko at BankID forbindes med tilforlatelige og mer allmenne pålogginger! Skepsis for å måtte bekrefte noe (f.eks over telefon) minskes. 

Ergo åpnes det opp for svindel.

Enkle tiltak banken kan gjøre for å begrense svindel:

  • flagge sesjoner fra nye/mistenksomme IP-adresser
  • Flagge sesjoner fra en ukjent nettleser
  • Pause overføring som fremstår mistenkelig. Kan f.eks sende SMS med krav om bekreftelse
  • Inkludere mer tekst som vises på mobilen, slik at offer ser at noen prøver å hente ut xxx kroner
  • Varsle bruker pr mail/sms om ukjent innlogging, slik vi er vant med fra andre leverandører
  • La brukere velge å deaktivere/sperre for all utenlandsbetsling på sine konti.

Hmm.. jeg har sett svindlere få folk til å fysisk gå i bank/minibank for å ta ut penger, for så å overføre til svindler de kun har hatt nett- og tlf kontakt med. Det er nok ikke mulig å sikre seg mot alt. Noen lar seg lure uansett. Sad but true.

Lenke til kommentar
Videoannonse
Annonse
qualbeen skrev (På 15.9.2022 den 1.09):

Tøv!

Bankene må begynne å beskytte kundene bedre.

Her har svindlerne klart å hente ut store pengebeløp fra en kunde. Kunden har ikke selv initiert overføring. Det er åpenbart at banken gladelig lar seg lure, og ikke har gode nok sikkerhetstiltak.

Før internett og telefonbank måtte man fysisk møte opp. Gud bedre så tungvint det var..!! Men du måtte gjerne også legitimere deg. Personalet i banken sjekket id mot faktisk oppmøtt person. 

Nettbanken bør være helt sikker på hvem som prøver å logge seg inn. Det er (tydeligvis) for lett å lure folk til å bekrefte en BankID. Og det er ikke så rart; fra å være en ren nettbank-sikkerhets-dings, har BankID blitt den nye verifiseringen som brukes overalt. Banker, Nav/Altinn, søknader hos kommune, leie bil, kommunisere med skole og barnehage, lotto, etc. Listen er mye lengre. 

Fra et sikkerhetsmessig ståsted er det faktisk en risiko at BankID forbindes med tilforlatelige og mer allmenne pålogginger! Skepsis for å måtte bekrefte noe (f.eks over telefon) minskes. 

Ergo åpnes det opp for svindel.

Enkle tiltak banken kan gjøre for å begrense svindel:

  • flagge sesjoner fra nye/mistenksomme IP-adresser
  • Flagge sesjoner fra en ukjent nettleser
  • Pause overføring som fremstår mistenkelig. Kan f.eks sende SMS med krav om bekreftelse
  • Inkludere mer tekst som vises på mobilen, slik at offer ser at noen prøver å hente ut xxx kroner
  • Varsle bruker pr mail/sms om ukjent innlogging, slik vi er vant med fra andre leverandører
  • La brukere velge å deaktivere/sperre for all utenlandsbetsling på sine konti.

Dette må selvfølgelig ses i sammenheng med brukervennligheten.
Uansett er argumentasjonen til høyesterett pussig:

Sitat

Ho var, i den situasjonen ho vart presentert for av svindlarane, ikkje klar over at ho etter avtala ikkje kunne gje koden og passordet til tilsette i banken. Når ho ikkje var klar over pliktbrotet, handla ho heller ikkje forsettleg.

Hva med en situasjon der man finner et kreditt/bankkort, ringer personen som eier kortet, og utgir seg for å være fra banken. 
"Vi har fått med oss at du har mistet kortet ditt, gi oss pin-koden slik at vi kan sperre det".
Hvis kunde da gir fra seg pin, er dette et pliktbrudd kunde burde være klar over?

Lenke til kommentar
qualbeen skrev (På 15.9.2022 den 1.09):

Tøv!

Bankene må begynne å beskytte kundene bedre.

Her har svindlerne klart å hente ut store pengebeløp fra en kunde. Kunden har ikke selv initiert overføring. Det er åpenbart at banken gladelig lar seg lure, og ikke har gode nok sikkerhetstiltak.

Før internett og telefonbank måtte man fysisk møte opp. Gud bedre så tungvint det var..!! Men du måtte gjerne også legitimere deg. Personalet i banken sjekket id mot faktisk oppmøtt person. 

Nettbanken bør være helt sikker på hvem som prøver å logge seg inn. Det er (tydeligvis) for lett å lure folk til å bekrefte en BankID. Og det er ikke så rart; fra å være en ren nettbank-sikkerhets-dings, har BankID blitt den nye verifiseringen som brukes overalt. Banker, Nav/Altinn, søknader hos kommune, leie bil, kommunisere med skole og barnehage, lotto, etc. Listen er mye lengre. 

Fra et sikkerhetsmessig ståsted er det faktisk en risiko at BankID forbindes med tilforlatelige og mer allmenne pålogginger! Skepsis for å måtte bekrefte noe (f.eks over telefon) minskes. 

Ergo åpnes det opp for svindel.

Enkle tiltak banken kan gjøre for å begrense svindel:

  • flagge sesjoner fra nye/mistenksomme IP-adresser
  • Flagge sesjoner fra en ukjent nettleser
  • Pause overføring som fremstår mistenkelig. Kan f.eks sende SMS med krav om bekreftelse
  • Inkludere mer tekst som vises på mobilen, slik at offer ser at noen prøver å hente ut xxx kroner
  • Varsle bruker pr mail/sms om ukjent innlogging, slik vi er vant med fra andre leverandører
  • La brukere velge å deaktivere/sperre for all utenlandsbetsling på sine konti.

Du har flere gode poeng, som å la brukere velge å sperre for all utenlandsbetaling eller å sende sms med bekreftelse.

 

Likevel tror jeg at det må sterkere lut til når folk er så blottet for sunn fornuft som offeret i denne Olga-svindelen.

Systemene som må innføres for å forhindre lignende svindel (offeret gir fra seg hinsides med sensitiv informasjon), vil lage livet så surt for de 99,999% andre i banken at ingen kommer til å bruke den banken.

 

Typisk sak det hele klassen blir straffet fordi èn person ikke klarer å oppføre seg.

  • Liker 1
Lenke til kommentar
Costa Flesk skrev (På 20.9.2022 den 15.14):

Systemene som må innføres for å forhindre lignende svindel (offeret gir fra seg hinsides med sensitiv informasjon), vil lage livet så surt for de 99,999% andre i banken at ingen kommer til å bruke den banken.

Det er vel selve kjernen her.
Forbrukerrådet flagger dette som en sier for forbrukerne, men er det egentlig det?
Det er de andre kundene i denne banken som må dekke regningen for at denne kunden gir fra seg bankid'en sin til fremmede over telefonen.

Lenke til kommentar
Dubious skrev (4 timer siden):

BankID er trygt, men en kan ikke hindre idioter fra å gi ifra seg passordet. 

Har de gitt fra seg passordet så burde de dekke tapene selv. 

Du gir jo selv gledelig fra deg passordet ditt hver eneste gang du (tror du) logger inn i nettbanken! Eller Altinn/NAV/Lånekassen, etc.. 

Jeg trenger bare å sette opp en enkel webside med identisk utseende som en av aktørene nevnt over, sende ut en kreativ sms, og vipps, så vil passordene renne inn.. 

Det er ikke alltid så enkelt som å skylde på brukerne. Noen ganger har uheldige valg fra leverandør forårsaket skyld. Hvor trygt er det for eksempel at innloggingsfunksjonen til Lånekassen eller norsk tipping kan gi tilgang til banken?

Hva om jeg ønsker hjelp til med noe ellers uskyldige greier inne på kommunens nettsider. F.eks. bestille meg et ekstra søppelspann i oppkjørselen. Kan man ikke dele ut brukernavn/passord for å få noen andre til å gjøre dette for en? Hvor sikkert er egentlig det?

Husk, sikkerhet handler om mer enn kun teori. Menneskelig psyke er en svært viktig brikke også! BankID har gjort noen rare valg opp i gjennom tidene. 

Skal vi angripe en teknisk svakhet, er jeg fortsatt forbløffet (og litt forbannet?) på at passordet ditt er case-insensitivt!! Om du bruker store, små eller mix spiller ingen rolle. Den matcher og godtar all mulig casing av input ..! 🤯

 

Dersom jeg skal dreie diskusjonen tilbake til topic, så er det jo åpenbart at banken ikke aner hvem som faktisk er logget inn. Joda, de har fått med seg at brukernavn/passord/to-faktor stemmer overens. Men dersom jeg i fem år på rad har betalt regninger fra en IP på norsk jord, er det ikke da litt spesielt dersom jeg plutselig prøver å gjennomføre mange utbetalinger fra en PC på Jamaica?Dersom dette er betalinger med IBAN-nummer og det hele, burde ganske mange røde lamper begynne å blinke!

Med BankID-app håper jeg hvertfall de klarer å sjekke om telefonen er sånn halvveis i geografisk nærhet av den maskin som etterpå blir tildelt en gyldig sesjon. Med BankID-på-mobil er det jo tydelig at dette mangler helt!?!

Noe svindel er altså lett å oppdage, sånn egentlig. Men banken må gjøre litt mer enn å snu ryggen til hele problemet, slik de gjør i dag. 

Det er kanskje billigere for banken å ta tapet ved en evnt svindel, enn å utvikle bedre løsninger? (Hvertfall blir det billigere for banken, dersom svindleren selv ender opp med regningen!)

Endret av qualbeen
  • Liker 1
Lenke til kommentar
qualbeen skrev (På 21.9.2022 den 23.00):

Dersom jeg skal dreie diskusjonen tilbake til topic, så er det jo åpenbart at banken ikke aner hvem som faktisk er logget inn. Joda, de har fått med seg at brukernavn/passord/to-faktor stemmer overens. Men dersom jeg i fem år på rad har betalt regninger fra en IP på norsk jord, er det ikke da litt spesielt dersom jeg plutselig prøver å gjennomføre mange utbetalinger fra en PC på Jamaica?Dersom dette er betalinger med IBAN-nummer og det hele, burde ganske mange røde lamper begynne å blinke!

Med BankID-app håper jeg hvertfall de klarer å sjekke om telefonen er sånn halvveis i geografisk nærhet av den maskin som etterpå blir tildelt en gyldig sesjon. Med BankID-på-mobil er det jo tydelig at dette mangler helt!?!

Obligatorisk bilde: Internet_dog.jpg

Du er jo inne på kjernen av problemstillingen med digital id.
I dette tilfellet aner vi ikke hvilken IP svindlerne benyttet for å logge inn i nettbanken til kunden. Det kan absolutt ha vært med en norsk IP.
Man kan selvfølgelig sperre betalinger mot utland, dersom dette bryter et kjent mønster. Det vil dog føre til at banken vil måtte har flere folk på kundesentere, for å hjelpe folk som får problemer.

Dette koker ned til hvor balansegangen sikkerhet/brukervennlighet skal gå.
For 99.9% (?) av befolkningen er nåværende nivå trolig ganske passende, men så har vi den siste lille gjengen som ikke takler det.
Spørsmålet er om jeg som kunde bør få en mye dårligere løsning, som følge av at disse få egentlig ikke bør bruke digitale betalingstjenester.

Lenke til kommentar
sk0yern skrev (10 timer siden):

Obligatorisk bilde: Internet_dog.jpg

Du er jo inne på kjernen av problemstillingen med digital id.
I dette tilfellet aner vi ikke hvilken IP svindlerne benyttet for å logge inn i nettbanken til kunden. Det kan absolutt ha vært med en norsk IP.
Man kan selvfølgelig sperre betalinger mot utland, dersom dette bryter et kjent mønster. Det vil dog føre til at banken vil måtte har flere folk på kundesentere, for å hjelpe folk som får problemer.

Dette koker ned til hvor balansegangen sikkerhet/brukervennlighet skal gå.
For 99.9% (?) av befolkningen er nåværende nivå trolig ganske passende, men så har vi den siste lille gjengen som ikke takler det.
Spørsmålet er om jeg som kunde bør få en mye dårligere løsning, som følge av at disse få egentlig ikke bør bruke digitale betalingstjenester.

Hvor mye dårligere ville din nettbank bli, dersom utenlandsbetaling var sperret som default? (Slik en del bankkort har fått regionsperre. Var jo ikke sånn før. Null stress allikevel..!)

Men joda, brukervennlighet og sikkerhet går sjeldent hånd i hånd. Kjent problemstilling – vrient å løse.

Lenke til kommentar
qualbeen skrev (45 minutter siden):

Hvor mye dårligere ville din nettbank bli, dersom utenlandsbetaling var sperret som default? (Slik en del bankkort har fått regionsperre. Var jo ikke sånn før. Null stress allikevel..!)

Men joda, brukervennlighet og sikkerhet går sjeldent hånd i hånd. Kjent problemstilling – vrient å løse.

For min del må gjerne utenlandsbetaling være av.
Jeg aner dog ikke andel av kundene som i løpet av en femårsperiode gjør en utenlandsbetaling, og dermed måtte tatt kontakt med kundesenter for å åpne for dette. Plunder og heft for kunder, plunder og heft for banken.
Svindlere bruker dog ofte "mules", der de overfører penger til en annen norsk konto, får folk til å ta ut penger og overføre via Payex eller lignende.
Bankkort er et artig eksempel. Her lager kundene frivillig plunder og heft for seg selv, for å beskytte banken :)
Blir kredittkortet ditt urettmessig brukt i Argentina, så er det banken som dekker tapet, ikke du.
Hvem kjenner ikke noen som har stått i utlandet og hatt problemer med å betale for seg, nettopp fordi de har glemt regionsperren?

 

 

Lenke til kommentar
sk0yern skrev (47 minutter siden):

Bankkort er et artig eksempel. Her lager kundene frivillig plunder og heft for seg selv, for å beskytte banken :)
Blir kredittkortet ditt urettmessig brukt i Argentina, så er det banken som dekker tapet, ikke du.

... Sagt med andre ord: med en gang banken må dekke tapet, ja da implementeres det sikkerhetsalgoritmer sporenstreks!

Ser dere ikke det? 

  • Hvis kunden må dekke hele (eller hvertfall størsteparten) av tapet, gidder ikke bankene løfte en finger for å løse dette.
  • Hvis banken kan lide økonomisk tap, kommer det straks en løsning på plass..!
Lenke til kommentar

Hvis påstanden din om at bankene ikke gjør noe når kunden får skylden stemte så hadde de tviholdt på den fysiske brikken siden det har vært jævlig mange saker hvor folk ikke oppbevarte brikken godt nok (f.eks. han idioten som reiste på ferie imens bankidbrikka lå i ulåst skap på JOBBEN og kollega tok opp lån i hans navn)... Og siden de ikke tviholder på fysisk brikke så stemmer ikke påstanden din..

Lenke til kommentar
qualbeen skrev (3 timer siden):

Hvis kunden må dekke hele (eller hvertfall størsteparten) av tapet, gidder ikke bankene løfte en finger for å løse dette.

Når vi snakker om finger, skal id med finger eller ansiktsgjenkjennelse bli mulig med appen. Svindlere utvikler metoder for å lure ansiktsgjenkjennelse. Når folk alltid bærer med seg Bank Id-appen på mobil, er det også mulig å tvinge fremmede utendørs til å bruke ansikt eller finger til å åpne appen. Trenger ikke engang å lokke eller true dem bort til en Minibank. I et skikkelig mafialand kan en også bli brukt som en muppet for deres bankkonto. Matis fra Litauen tar seg en tur oppom Edna for å sende hennes pass og bilde til registrering i banken, slik som banken har krevd å få det. Deretter tar han igjen kontroll over kontoen. 

Lenke til kommentar
qualbeen skrev (12 timer siden):

... Sagt med andre ord: med en gang banken må dekke tapet, ja da implementeres det sikkerhetsalgoritmer sporenstreks!

Ser dere ikke det? 

  • Hvis kunden må dekke hele (eller hvertfall størsteparten) av tapet, gidder ikke bankene løfte en finger for å løse dette.
  • Hvis banken kan lide økonomisk tap, kommer det straks en løsning på plass..!

Det er åpenbart en forenkling.
Regionsperre er noe kunder tror de trenger, og dersom de bruker det "feil", skylder de på seg selv. Det er tross alt de selv som har aktivert det.
Dersom banken innfører mer plunder og heft for å gjennomføre betalinger, vil kunde bli misfornøyd og eventuelt bytte bank.

Lenke til kommentar

Bli med i samtalen

Du kan publisere innhold nå og registrere deg senere. Hvis du har en konto, logg inn nå for å poste med kontoen din.

Gjest
Skriv svar til emnet...

×   Du har limt inn tekst med formatering.   Lim inn uten formatering i stedet

  Du kan kun bruke opp til 75 smilefjes.

×   Lenken din har blitt bygget inn på siden automatisk.   Vis som en ordinær lenke i stedet

×   Tidligere tekst har blitt gjenopprettet.   Tøm tekstverktøy

×   Du kan ikke lime inn bilder direkte. Last opp eller legg inn bilder fra URL.

Laster...
  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...