Annons

Risken att bli lurad

Produkter
(logga in för att koppla)

Sten-Åke Sändh

Aktiv medlem
Folk är i allmänhet ärliga, ärligare än de flesta tycks tro.
Jag har köpt och sålt hundratals prylar och kan inte påminna mig något bedrägeri.
En gång sålde jag två Canongluggar för en kompis räkning. Nyinflyttad till Sverige ville hon enbart göra affär via postförskott. Vikarien på postinlämningen gjorde fel och skickade objektiven utan något krav. Ett par dagar senare ringde en kille från Upsala och undrade hur han skulle betala, nu när objektivet kommit fram. Nästa dag upprepades samma sak, fast nu var köparen från Göteborg.
Vi kan leva på de sätt vi vill och göra vilka val vi vill. Antingen litar vi på varandra, eller också väljer vi nojjans väg.

Visst men uppenbarligen så finns det ju en del som använder Fotosidan som sockerbit:

David skriver ju av anledning har jag förstått: "Vi har flera fall där desperata missbrukare inte bryr sig om att deras namn syns. "

Det finns möjligen målvakter på flera marknader än den där man säljer sig som front för parkeringsböter. "Freedom is another word for nothing else to lose" och om det gått så långt, så finns det nog inte så mycket mer som biter på problemet utom system som inte tillåter och bjuder in till myglet. Folk som inte fruktar samhället straff är i princip immuna för dessa. Med det sagt så är det upp till var och en hur man hanterar detta.

Det är väl det det här handlar om mer än alla de som faktiskt har gott uppsåt. Jag minns händelser jag med där folk varit oväntat ärliga jag med. En gång var jag på Copacabana och badade. Jag bodde i närheten och började gå hem i badbrallorna. Mina jeans hade jag slängt över axeln och när jag gjorde det ramlade en del sedlar ut i sanden efter mig. En liten gatukille som såg detta tog inte pengarna utan samlade ihop dem och kom springande med dem.

.... men vid ett annat tillfälle blev jag av med 16 000 spänn från mitt kort på en italienskägd maffiabar i Ras Nungwi på Zanzibar. Det gick enligt polisen till så att den som snott kortet spelade poker med det på Ladbrookes mot en annan kompisspelare och genom att konsekvent förlora så hamnade pengarna hos kompisen tvättade och klara. Tydligen ett rätt vanligt förfarande numera att använda spel och dobbelinrättningar som tvättomater. Detta var dock innan min bank Nordea tog sig samman och skärpte upp kortsystemen.

Efter Ras Nungwi skrapar jag alltid bort CIV-koderna på mina kort och numera har jag även spärrat för uttag via blipp då jag inte känner för att erbjuda småbusets gratis blippande med mina kort om de eventuellt kommer på driven av misstag.

Det är tråkigt att vi inte lever i något Shangri-La och de flesta som blivit blåsta på ett eller annat sätt som har någon självbevarelsedrift ser nog till att täppa till de hål man ser i systemen och fortfarande finns förvånande många sådana som inte minst handelns effektiviseringskrav skapat. Ett annat som faktiskt också inbjuder till brott är Swish med mobilt bank ID i botten där man krympt säkerheten till en sexställig "permanent" kod.

Om man exv. jämför den med Nordeas bankdosors funktion med personkonto, så måste man där först uppge sitt personnummer och sedan genereras först en sexställig publik kod av banken som bara gäller 40 sekunder. Man måste sedan knappa in denna och dessutom skicka in en fyrställig personlig kod. Därefter genereras en nioställig kod som i praktiken är giltig 40 sek minus den tid det tar att hantera processen. Som de flesta förstår så är Mobilt Bank-ID och Swish i sig en ordentlig sänkning av säkerhetsribban.

Åtminstone Nordea har nu default att man inte kan handla med den låga säkerhetsnivå som gäller på nätet (nummer+giltighetstid+CIV) utan att göra ett aktivt val att tillåta detta. Man kan numera även begränsa uttag så att de enbart kan göras i Sverige istället för Europa eller rent av hela världen. För Swisch och Mobilt Bank-ID kan man åtminstone reglera via webb hur stora uttag man godkänner men man kunde inte stänga av blippandet med mindre än att ringa in och be dem över telefon efter att ha uppgivit säkerhetskod.

I slutänden är det ju upp till oss alla tillsammans både "service providers" och alla deras användare vilka smörgåsbord vi faktiskt bjuder bedrägeribuset på. De ställen där säkerhetsribban upplevs ligga lågt och där bedrägerierna upplevs ge stort utbyte mot låg risk kommer förmodligen dra till sig mer bedrägeribus än de som har en genomtänkt och praktiskt genomförd plan för att stoppa detta.

... och för mig känns det naturligt att inte utsätta mig för onödiga bedrägerier av egen försumlighet , okunnighet och dumhet eller min egen onödiga naivitet. Genom det har mina möjligheter ökat att behålla en öppen och i grunden tillitsfull hållning till de jag möter i livet.

Sedan bor jag i Skärgården och där har vi åtminstone under drygt 10 år varit utsatta för en aldrig sinande ström av stölder av både båtar, verktyg och en hel del annat. Min egen båt stals exv. för ett par höstar sedan och har aldrig återfunnits. Mycket går via tjuvexpressen från Kappelskär till Baltikum. Men tack vare Coronen så har det hittills varit lugnt över ett år nu - peppar peppar. Länge leve Coronan! I någon mån har nog detta fått mig att minnas min pappas ord: Man kan faktiskt inte tro varenda bov om gott! Så folk i Skärgården är numera betydligt mer på sin vakt än när jag kom dit på 60-talet. Då var det få som låste sina hus. Så är det inte numera.
 
Senast ändrad:

Melker Humala

Aktiv medlem
Ett annat som faktiskt också inbjuder till brott är Swish med mobilt bank ID i botten där man krympt säkerheten till en sexställig "permanent" kod.

Om man exv. jämför den med Nordeas bankdosors funktion med personkonto, så måste man där först uppge sitt personnummer och sedan genereras först en sexställig publik kod av banken som bara gäller 40 sekunder. Man måste sedan knappa in denna och dessutom skicka in en fyrställig personlig kod. Därefter genereras en nioställig kod som i praktiken är giltig 40 sek minus den tid det tar att hantera processen. Som de flesta förstår så är Mobilt Bank-ID och Swish i sig en ordentlig sänkning av säkerhetsribban.
Fast nu är det ju så att bankID är en lösning med ett certifikat som du använder för att legitimera dig. den personliga koden är för att låsa upp ditt certifikat på den enhet du installerat det på. Bankdosan har ju inget certifikat i sig och måste därför använda ett något krångligare förfarande.

En lösning med certifikat tycker jag är att föredra det är inte bara en sexställig kod.
 

Sten-Åke Sändh

Aktiv medlem
Fast nu är det ju så att bankID är en lösning med ett certifikat som du använder för att legitimera dig. den personliga koden är för att låsa upp ditt certifikat på den enhet du installerat det på. Bankdosan har ju inget certifikat i sig och måste därför använda ett något krångligare förfarande.

En lösning med certifikat tycker jag är att föredra det är inte bara en sexställig kod.
Det är fullständigt ointressant säkerhetsmässigt i praktiken vad som finns bakom den personliga koden. Det är fortfarande en enda sexställig kod som folk sällan eller aldrig ändrar och det är det som är det verkliga problemet. Koderna är väl heller inte sällan något av barnens födelsedatum eller datumet man gifte sig eller något annat publikt och enkelt att knäcka utan att ha jobbat inom underrättelsetjänsten. Med bankdosan ändras koderna den publika koden alltid och den gäller bara i ett fönster på 40 sek. Sedan behövs initialt även ett personnummer som matchar och dessutom en publik kod ovanpå det. Det är en väldig massa fler villor för att en vanlig baktransaktion ska ske mot ett personkonto än när man bara förlitar sig på mobilt Bank-ID. Har du missat den våg av bedrägerier som gjorts med Bank-ID?

Bank-ID finns därför att handeln tyckt att det är ett effektivare och enklare sätt att hantera authentuseringen än på andra sätt. Det finns inte primärt för att det skulle vara särskilt säkert, för det är det faktiskt inte. Bank-ID=sänkt säkerhetsribba.

Visst kan även slarvigt hanterade kort fortfarande vara ett problem men där kan man faktiskt skydda sig mot att bedragare som handlar utomlands där säkerheten ofta bara hänger på Kortnummer+giltighetstid+CIV-kod genom att skrapa bort CIV-koden och spärra uttag utanför Sverige via sin bankwebb. Det glada, vilda och aningslösa 90-talet är förbi då firman jag jobbade på då ofta langade in firmakortet i baren på våra kickoffer när man i sann 90-talsanda lät ölen flöda fritt helt utan begränsningar och det spelade ingen större roll om baren låg i Sverige, övriga Norden, Frankrike, Tyskland eller Ungern bara för att ta några ställen vi var på. Vilka gör det idag?
 
Senast ändrad:

PMD

Aktiv medlem
Det är fullständigt ointressant säkerhetsmässigt i praktiken vad som finns bakom den personliga koden. Det är fortfarande en enda sexställig kod som folk sällan eller aldrig ändrar och det är det som är det verkliga problemet.
Vad skulle kunna hända om någon får nys om koden till ditt BankID?
 

afe

Aktiv medlem
Mobilt bank-ID är knutet till telefonen, så någon som råkar ha min kod måste också ha min telefon OCH kunna ta sig förbi låsskärmen för att ha någon glädje av det. För att kunna installera mitt bank-ID på en ny telefon krävs inloggning med dosa.

De bedrägerier som gjorts med mobilt bank-ID är främst att folk blivit lurade att logga in sig med bank-ID på obskyra sajter, men det är väl ofta samma människor som också skulle gå på att betala en bluff-faktura (oavsett legitimeringslösning) ;)
 

fotobollfoto

Aktiv medlem
Mobilt bank-ID är knutet till telefonen, så någon som råkar ha min kod måste också ha min telefon OCH kunna ta sig förbi låsskärmen för att ha någon glädje av det. För att kunna installera mitt bank-ID på en ny telefon krävs inloggning med dosa.

De bedrägerier som gjorts med mobilt bank-ID är främst att folk blivit lurade att logga in sig med bank-ID på obskyra sajter, men det är väl ofta samma människor som också skulle gå på att betala en bluff-faktura (oavsett legitimeringslösning) ;)
Metoden som bedragare använt är att logga in på din bank så långt att det är dags att identifiera sig med Bsnk-id. Sedan tar de ringt dig och med diverse olika anledningar fått fig att öppna bank-id och slå in din kod. Vips så kom de in på din bank. Identifierade som du.

Min Bank har starkt försvårat den manövern genom att den mobila enheten måste scanna en QR-kod på den sida du vill logga in på. Det går alltså inte att logga in på en sida som du faktiskt inte själv surfar till.

Vad jag vet är alla bank-id bedrägerier baserade på ungefär ovan beskriven metod och bygger på godtrogenhet hos användaren.
Ungefär som att om någon ringer och vill ha koden till bankomatkortet så är det klart att man delar ut den 🤓
 

Abe Normal

Aktiv medlem
Det här har tagits upp tidigare på FS. Tycker det är en missvisande kritik mot både bankID och även Swish. Ska oegentligheter ske måste bedragaren förutom koderna komma över enheten som ägs av innehavaren och alltid bör man ha en kod på sin mobila enhet. Förstår inte riktigt problemet?

Jag handlar mycket på nätet och måste alltid verifiera köp antingen med BankID eller en kod via mobilen. Man kan nog säga att säkerheten aldrig har varit så hög som den är idag. De bedrägerier som ändå sker är ofta mot äldre människor som inte har riktig koll och blir lurade.
 
Senast ändrad:

Sten-Åke Sändh

Aktiv medlem
Det är riktigt som Petter N påpekat att de flesta bedrägerier med Bank-ID mot bank i avsikt att stjäla pengar gått till så att någon annan än den som "äger" ett personnummer först startat en banksession i personnummerägarens "namn" (d.v.s. genom att använda dennes personnummer).

Det är också riktigt att en del försökt parera detta på olika sätt men som man kan läsa i nedanstående länk så är ju det grundläggande designproblemet fortfarande kvar och det är att det är möjligt att starta en påloggningssession med Bank-ID med exv. en dator och sedan slutföra inloggningen från en telefon med Bank-ID

Länken nedan beskriver status 2018 och när jag testar Nordea så kan jag fortfarande starta en session i min dator och slutföra inloggning från en helt annan enhet exv. min telefon. Jag vet att jag har kunnat logga in så förut utan att behöva skanna av en QR-kod på min PC men Nordea verkar åtminstone numera koppla ihop PC-sessionen med Bank-ID -appen i telefonen via Bank-ID.

Om jag däremot gör exakt samma sak mot min "Min Myndighetspost" i datorn, så finns inga andra stopp än att authenticera med Mobilt Bank-ID om man nu väljer det och det gör mig rätt brydd för Mobilt Bank-ID används nu överallt och det är alltså fortfarande möjligt att komma åt webbsidor med persondatakopplade tjänster på precis samma sätt som beskrivs i länken nedan.

Jag prövade även att starta en session på Klarna från min PC och sedan autentisera mig med Mobilt Bank-ID i telefonen och det gick bra det med.

Sedan avslutade jag med att gå till Skatteverkets sida. Startade en inloggningssession där med även den med Bank-ID och det gick hur fint som helst det med utan några ytterligare säkerhetsbarriärer behövde forceras. Det är alltså helt möjligt för någon att lura de män med bra ekonomi som är födda på 30-talet och förväntas vara lite lagom gaggiga. De är tydligen favoritoffren.

Ibland får ju buset hjälp av tidningarna som skriver vilka som får tillbaka mest på skatten och är man lite fräck så startar man en session mot Skatteverket och exv. lägger dit sitt ett annat bankkonto än det befintliga om man lyckas komma in, så kanske skatteåterbäringen skickas någon helt annanstans än den borde.

Bankbedrägeri genom Mobilt BankID - Konsument.se

Min poäng i detta är att Mobilt Bank-ID idag öppnar en väldig massa dörrar och långtifrån bara bankers där ID-kapas. Det är uppenbarligen så vanligt att det nu börjat uppstå en del företag som har som affärsidé att hjälpa folk som utsatts för ID-kapningar.

ID-Skydd | Skydda dig & få hjälp mot ID kapning! | MinUC.se

Under 2019 anmäldes 245 000 bedrägeribrott, där identitetsbedrägerier var den näst mest anmälda bedrägeritypen enligt statistik från BRÅ. Så det har är ingen liten verksamhet som pågår 24-7. Men trots det verkar den här tråden andas just den aningslöshet som är den perfekta grogrunden för att det här ska kunna fortgå ett bra tag till. Det vore intressant att se siffrorna för 2020 också.

Jag tycker personligen att det är rätt oroande att särskilt Finans Tech-företagen ofta tagit så lätt på detta. Jag tvingades för bara en månad sedan att polisanmäla Klarna för att de skulle åtgärda att någon annans fakturor sändes till mig i mitt namn fast jag inte handlat något. Någon hade "råkat uppge min mailadress av "misstag" trodde tjejen jag först pratade med på Klarna. Jag undrar fortfarande hur det ens är möjligt. Jag är dock inte särskilt förvånad över att Klarna uppenbarligen fortfarande tillåter inloggning från flera olika enheter samtidigt.

Jag kan ju tänka mig att en del äldre inte förstår hur de kan bli av med sina pengar bara för att de knappar in sin kod i sin mobila Bank-ID-app i telefonen när de inte ens startat någon inloggning mot banken själva. Det är ju det som är så försåtligt när någon annan faktiskt kan starta en inloggningsession i ens namn mot både banker, finansbolag, myndigheter och gud vet vad och få den autentiserad av någon inte ont anande någon helt annanstans.

Bankerna är väl de som haft störst incitament att göra något åt problemen men som jag visat med mina få exempel, så kan fortfarande Skatteverket, Klarna och Min Myndighetspost nås med processer som initieras och avslutas på helt olika platser via helt olika enheter. Där verkar status fortfarande vara ungefär som det beskrevs av Konsument-se 2018. Där skrevs dessutom att "självrisken" för kunderna vid dessa bankbedrägerier var 12 000 kronor. Bankerna behöver inte ta hela smällen för bedrägerierna trots att det ju på många sätt är mobila Bank-ID-systemens design som gjort dessa bedrägerier möjliga i den stora omfattning de faktiskt sker.
 
Senast ändrad:

Sten-Åke Sändh

Aktiv medlem
Det här har tagits upp tidigare på FS. Tycker det är en missvisande kritik mot både bankID och även Swish. Ska oegentligheter ske måste bedragaren förutom koderna komma över enheten som ägs av innehavaren och alltid bör man ha en kod på sin mobila enhet. Förstår inte riktigt problemet?

Jag handlar mycket på nätet och måste alltid verifiera köp antingen med BankID eller en kod via mobilen. Man kan nog säga att säkerheten aldrig har varit så hög som den är idag. De bedrägerier som ändå sker är ofta mot äldre människor som inte har riktig koll och blir lurade.
Nej de behöver inte alls ha enheten. Det har räckt med att prata omkull en offret ifråga så de autenticerar sig och det har de uppenbarligen varit bra på . De startar själva en inloggningsession på exv. en dator och låter offret inte ont anande slutföra inloggningen via sin telefon. De träffas aldrig fysiskt eftersom systemet tillåter kommunikation mot det från flera olika håll samtidigt. Om flera sessioner öppnats så är det den som först öppnats som släpps igenom och de som öppnat den är ju bedragarna.

Rånrisken med banken på fickan är även den ett problem men man kan ju alltid begränsa uttagen och man kan även stänga av blippet så man slipper finansiera småbusets upprepade 200 kronorsinköp om kortet stjäls eller man tappar bort det av misstag.
 

PMD

Aktiv medlem
Det är också riktigt att en del försökt parera detta på olika sätt men som man kan läsa i nedanstående länk så är ju det grundläggande designproblemet fortfarande kvar och det är att det är möjligt att starta en påloggningssession med Bank-ID med exv. en dator och sedan slutföra inloggningen från en telefon med Bank-ID
Hur avhjälper man det genom att ersätta en "sexställig kod som folk sällan eller aldrig ändrar och det är det som är det verkliga problemet" med något annat? I den typ av bedrägerier du refererar till ovan avslöjar ju ingen den sexställiga koden för en bedragare. Hur skulle det hjälpa om BankID-innehavaren ändrade koden regelbundet?
 

PMD

Aktiv medlem
Länken nedan beskriver status 2018 och när jag testar Nordea så kan jag fortfarande starta en session i min dator och slutföra inloggning från en helt annan enhet exv. min telefon. Jag vet att jag har kunnat logga in så förut utan att behöva skanna av en QR-kod på min PC men Nordea verkar åtminstone numera koppla ihop PC-sessionen med Bank-ID -appen i telefonen via Bank-ID.
Det är en feature och inte en bug! Poängen är att man inte ska behöva ha BankID installerad på en dator för att kunna använda den för t.ex. sina bankärenden. Om man identifierar sig med BankID i telefonen kan man använda vilken dator som helst.
Om jag däremot gör exakt samma sak mot min "Min Myndighetspost" i datorn, så finns inga andra stopp än att authenticera med Mobilt Bank-ID om man nu väljer det och det gör mig rätt brydd för Mobilt Bank-ID används nu överallt och det är alltså fortfarande möjligt att komma åt webbsidor med persondatakopplade tjänster på precis samma sätt som beskrivs i länken nedan.

Jag prövade även att starta en session på Klarna från min PC och sedan autentisera mig med Mobilt Bank-ID i telefonen och det gick bra det med.

Sedan avslutade jag med att gå till Skatteverkets sida. Startade en inloggningssession där med även den med Bank-ID och det gick hur fint som helst det med utan några ytterligare säkerhetsbarriärer behövde forceras. Det är alltså helt möjligt för någon att lura de män med bra ekonomi som är födda på 30-talet och förväntas vara lite lagom gaggiga. De är tydligen favoritoffren.
Folk blir lurade av skurkar som ringer på och säger att de har ett ärende från någon kommunal förvaltning och vill kolla mätare, avloppsrör, fläktsystem eller vfsh. Efter att skurken har lämnat lägenheten så märker den om bor där att smycken och andra värdeföremål är borta.

Mot godtrogenhet hjälper inga sofistikerade tekniska system.

Ibland får ju buset hjälp av tidningarna som skriver vilka som får tillbaka mest på skatten och är man lite fräck så startar man en session mot Skatteverket och exv. lägger dit sitt ett annat bankkonto än det befintliga om man lyckas komma in, så kanske skatteåterbäringen skickas någon helt annanstans än den borde.
Inte utan att den som har fått tillbaka en massa på skatten hjälper till. Om man inte förstår den teknik man använder så ska man inte använda den.

[Edit: stafvel]
 
Senast ändrad:

Abe Normal

Aktiv medlem
Precis som sägs i inlägget ovan, man måste tänka själv. Det handlar mer om att bli lurad, klassiskt bondfångeri. Min uppfattning är att säkerheten har blivit bättre.

Polisens egna råd enligt länken ovan...

  1. Om någon ringer upp och ber dig logga in på din internetbank med mobilt bank-id är det alltid ett bedrägeri som pågår.
  2. Klicka inte på länkar eller bifogade filer i mejl och sms som verkar märkliga. Det är så bedragarna kommer åt kortuppgifter.
  3. Lämna inte ut inloggningsuppgifter eller kortinformation om du är osäker på mottagaren.
 
Senast ändrad:

fotobollfoto

Aktiv medlem
Om vi ska prata säkerhetshål så finns det fortfarande företag som säljer och levererar på kredit mot att kunden uppger ett personnummer.
Ingen legitimering eller identifiering behövs.
Jag minns att jag förvånades över detta när jag köpte en tv i butik för tio år sedan. De kollade inte ens legitimation. Jag gick därifrån med en tv för tjugo tusen.

För några veckor sedan köpte jag en kastrull på webben hos cdon. Allt jag behövde för att slutföra beställningen var att ange mitt personnummer. Detta var visserligen ett köp under tusen kronor. Men det kändes ungefär som internets barndom då det enda som behövdes var ett kreditkortsnummer.

Uthämtning hos postombud krävde visserligen legitimering. Men med förslagna bedragare går det nog att sätta upp en kedja av steg där jag blir betalningsskyldig mot cdon. Någon annan får kastrullen, och bedragaren får pengar.
 

fotobollfoto

Aktiv medlem
Det där är ett dåligt råd. Det borde lyda: Lämna inte ut inloggningsuppgifter eller kortinformation.
Det är lite svårt att handla med kort utan att lämna ut kortuppgifterna. Oavsett ifall det sker med slip-maskin, magnet, blip eller inknappning i formulär, så måste betalmottagare få kortuppgifterna.

Inloggningsuppgifter håller jag med om. Dessa ska ingen annan få tillgång till.
 

jag&bilden

Aktiv medlem
Uthämtning hos postombud krävde visserligen legitimering. Men med förslagna bedragare går det nog att sätta upp en kedja av steg där jag blir betalningsskyldig mot cdon. Någon annan får kastrullen, och bedragaren får pengar.
Senast i tisdags stod jag i kön till Ica varpå person framför mig lämnade fram sitt pass som ID handling för att hämta ut ett paket.
Tjejen i kassan konstaterade snabbt - och helt korrekt - att passets giltighetstid löpt ut varpå personen svarade med att hen inte hittade sitt vanliga ID-kort.
Varpå tjejen i kassan - helt inkorrekt - gick och hämtade försändelsen och lämnade ut den.

Det började så bra men slutade så fel.
 

fotobollfoto

Aktiv medlem
Senast i tisdags stod jag i kön till Ica varpå person framför mig lämnade fram sitt pass som ID handling för att hämta ut ett paket.
Tjejen i kassan konstaterade snabbt - och helt korrekt - att passets giltighetstid löpt ut varpå personen svarade med att hen inte hittade sitt vanliga ID-kort.
Varpå tjejen i kassan - helt inkorrekt - gick och hämtade försändelsen och lämnade ut den.

Det började så bra men slutade så fel.
Hos mitt postombud är de rätt så noga att kolla att det faktiskt är jag på bilden. De frågar också efter mitt namn medan de håller i kortet.
Men visst har man i många sammanhang sett att det enda som görs är scsnning av streckkoden på baksidan.

Så fysisk legitimering är nog den sårbaraste av alla tekniker.
 

PMD

Aktiv medlem
Det är lite svårt att handla med kort utan att lämna ut kortuppgifterna. Oavsett ifall det sker med slip-maskin, magnet, blip eller inknappning i formulär, så måste betalmottagare få kortuppgifterna.
Inte alla kortuppgifterna. PIN-koden bör man i allmänhet hålla för sig själv.
 
ANNONS