Nordmenn får tømt bankkontoen i bank-ID-svindel

[Redaksjonen.]

Nordmenn får tømt bankkontoen i bank-ID-svindel

[Zeph]

Fleire er blitt flinke på å ikkje sende lenker og advare mot lenker, men det er nok meir å hente på den type meldingar frå det offentlege, bankar osv. der bank-ID blir brukt.

Altså meldingar med lenker til sider der du skal logge inn med bank-ID. Helse Norge sender SMS med lenker, eg har fått frå DNB, FHI osv. Dei burde sende informasjon om at det er noko du bør sjekke ut, men at du sjølv går inn på nettsidene og loggar inn. Samtidig kan dei skrive at dei aldri sender lenker og om du får ein SMS eller e-post med lenker så er det svindel.

[Selvstendigsaas]

Bankid har også svakheter som burde vært fikset. Den mest alvorlige er at det kjøres i en iframe (ser iallefall sånn ut) her burde man faktisk blitt videresendt til bankid sånn at brukere kan se at adressen er f. Eks. Bankid.no, sånn at man med sikkerhet kan vite hvem man oppgir informasjonen til. 

Så burde det også vært (om det ikke er?) noen mekanismer som fanger opp mistenksom aktivitet. F eks. Hvis det like plutselig er en pålogging fra et annet land, så burde denne stoppes eller krevd flere koder for pålogging for å sikre at brukeren faktisk er den som får nye koder og at ikle bare noen har fått tak i en kode

[Roger Moore]

Zeph skrev (3 timer siden):

Fleire er blitt flinke på å ikkje sende lenker og advare mot lenker, men det er nok meir å hente på den type meldingar frå det offentlege, bankar osv. der bank-ID blir brukt.

Altså meldingar med lenker til sider der du skal logge inn med bank-ID. Helse Norge sender SMS med lenker, eg har fått frå DNB, FHI osv. Dei burde sende informasjon om at det er noko du bør sjekke ut, men at du sjølv går inn på nettsidene og loggar inn. Samtidig kan dei skrive at dei aldri sender lenker og om du får ein SMS eller e-post med lenker så er det svindel.

Det mest gøyale er jo når disse sender forkortede lenker…

[Dubious]

Trykker aldri på linker jeg får med SMS, så jeg har bare fått 2 doser vaksine, da de sendte 3. dose med link i SMS.
De første 2 kom på e-post, men jeg trykte ikke på der heller, men gikk inn på nettsiden manuelt, som ikke gikk med 3. dose.

Det er en uting at de sender link på epost og tekstmeldinger.
Du er aldri garantert at de kommer fra en seriøs avsender.

[KjeRogJør]

Når "etatene" selv sender linker på denne måten er jo bordet ferdig dekket for svindlerne. Fritt fram for å skape forvekslinger.

Toskete praksis, (nok?) en gave til kjeltringene.

Hva mener "etatene" om dette selv?

Ikke så rart at mange går fem på når man er vant til at det benyttes slike lenker.

Er det virkelig ikke mulig å få til noe bedre enn dette...???

 

 

 

Endret 23. mars 2022 av KjeRogJør

[qualbeen]

Selvstendigsaas skrev (3 timer siden):

Bankid har også svakheter som burde vært fikset. Den mest alvorlige er at det kjøres i en iframe (ser iallefall sånn ut) her burde man faktisk blitt videresendt til bankid sånn at brukere kan se at adressen er f. Eks. Bankid.no, sånn at man med sikkerhet kan vite hvem man oppgir informasjonen til. 

Så burde det også vært (om det ikke er?) noen mekanismer som fanger opp mistenksom aktivitet. F eks. Hvis det like plutselig er en pålogging fra et annet land, så burde denne stoppes eller krevd flere koder for pålogging for å sikre at brukeren faktisk er den som får nye koder og at ikle bare noen har fått tak i en kode

Ja, helt utrolig at widgeten får lov til å kjøre i en iframe-lignende løsning. Hvordan kan jeg evaluere om den er ekte, eller om jeg ser på en identisk klone?

En annen stygg svakhet, er at passordet ditt hos BankID ikke er case-sensitivt. 

Jeg vet ikke om en eneste annen aktør på hele kloden som har valgfri casing på passord. Dette SKAL være case-sensitivt!! 🤯

(Jeg referer her til ditt eget passord som benyttes ved signering og pålogging med kodebrikken. Ikke BankID på mobil.)

[lars4012]

Klaget selv til en offentlig instans som sendte linker i en mail og fikk beskjed om at "men den var jo fra dem, så den kunne jeg stole på". Det samme har både arbeidsgiver og diverse tjenesteleverandører gjort. Har t.o.m. fått linker på mail fra banker jeg bruker.
Her skal skatteetaten ha skryt for i deres mail var det ingen linker, kun beskjed om å besøke deres nettsider for skattemeldingen.

[Viking1]

Dessverre ser vi til stadighet at store, kjente selskap benytter underleverandører til utsendelse av alt fra markeds- og spørreundersøkelser til infomailer etc, der underleverandøren benytter såkalt short-URL helt ukritisk.  Dette gjør det umulig for mottager å avgjøre om eposten er falsk eller ekte uten først å klikke seg inn på lenken.
Ved gjentatte henvendelser til både banker, forsikringsselskaper, boligselskaper og butikk-kjeder, ser vi at de som har ansvaret for kampanjene eller utsendelsen stiller seg helt uforstående til "problemet" og mer enn gjerne forsikrer innringer om at "Nei, hos oss kan du være helt trygg. Bare klikk i vei." 
Det forverrer problemene at selv de store institusjonelle selskapene ikke har mer kunnskap om dette, og det gjør det veldig lett for kriminelle å utnytte deres navn i sine angrep.

[Gjest Slettet+6132]

Jeg har litt penger, men de er spredd på ulike banker. Min hovednettbank med bankkort får tilført to ganger pr mnd fra en annen bank der det ikke er kort eller nettbank- der går inntektene inn også. Noe er i fond i en tredje bank. Dermed er tilgangen begrenset og begrenset hvor penger kan sendes, og hvor mye, og hvor fort. Den kontoen som har tilkoblet kort får bare tilført en liten sum og er et debetkort. Kredittkortene har minste kredittgrense, unntatt et som jeg bruker daglig. De med lav kredittgrense kan jeg tilføre en litt større sum til hver og dermed heve taket midlertidig f eks på ferie. I grunn enkelt og greit.

Jeg kan ikke finne smutthull der det går an å lure ut mere enn en mindre sum på kort tid. Alle kredittkortene har fått fjernet kontrollkoden på kortet. Jeg handler mye via PayPal - det anbefales - men sjekk at autobetaling er avslått etter betaling av abonnementer og hos ukjente. 

[Karstein H]

En annen form for BankId-svindel, er basert på social engeneering. 
Banken ringer, telefonnummer stemmer med banken, svindler spør etter fødselsdato, som ikke er sensitive opplysninger. Han har da telefonnr og fødselsdato. 
Så trenger han å overbevise deg om at kredittkortet ditt har blitt misbrukt. 
For å stanse transaksjonene må du autentisere deg med bankId på Mobil. Svindleren starter pålogging i nettbanken med tlfnr og fødselsdato., og ber deg om å autentisere deg, når mobilen ber om det! Du logger dermed svindleren inn i nettbanken....
Når svindleren er dyktig, er det svært lett å falle i denne fellen. Så vil han gjerne at du bytter til Visa, som er sikrere enn MasterCard, samt at han også må rydde opp i at noen har fått aktivert bankens mobilapp på en annen telefon, ved at han må slette og reaktivere mobilbank-appen. Du må bare oppgi aktiveringskoden, når den kommer på SMS. Han vil altså gjerne få aktivert mobilbank på sin telefon, samt få tilsendt kredittkort, som han stjeler fra postkassa di.

Dette moduset for BankId-svindel leser man ikke om noe sted.

Råd 1: Ikke autentiser deg med BankId, annet enn når du selv er i gang med å logge inn i nettbank, hos skattevesenet eller annet sted. 
Råd 2: Reserver deg mot kredittvurdering. Finn oppskriften hos Datatilsynet. Hindrer lånesøknader i ditt navn, hvor noen stjeler lånepapirene fra postkassa di.
Råd 3: Låsbar postkasse
Råd 4: Mistenker du akutt svindel: stopp posten en periode, eller få den videresendt til noen andre.
 

[Lars Hegna]

Den største svakheten av de alle er at BankIDs brukervilkår gjør deg ansvarlig for bankid sin dårlige sikkerhet. Jeg anbefaler ingen å benytte bankid. Skriftlig signatur er jo tryggere (for deg)