Recension: Bedrägeriförsök?

Tror att det går till så här. Dom har fått reda på personnummer samt vilken bank jag har. Skriver in personnummer och inloggning med bank id. Sedan swishar dom en symbolisk summa som dom sedan påstår skickat fel. Tanken är är att jag logga in på Swish se överföringen och när man klickar sedan på bank id så ligger inloggning redo för dom att logga in man slår in koden av bara farten i tron att det är till Swish (inte ofta jag läser vad man signar in när jag själv vet att jag slagit in mitt personnummer) och så har man gett dom acces till konto där dom kan länsa kontot till måltavla som sedan tar ut pengarna.

 

Fast för signering krävs väl ytterligare en BankID-verifiering?

 

Har också tänkt att det måste gå till på något liknande sätt. Men måste inte bedragaren då lyckas förmå offret att använda bank-id ytterligare en gång, när själva överföringen görs?

 

Jo det har du rätt i.

 

Stämmer så är det. I princip kan dom va inne på kontot med inte få ut några pengar. Som sagt säkert jag som nojja upp mig igår. Men värt att tänka på

 

Jag skulle tro att de ringer för att försöka snacka omkull offret och därmed signera flera gånger. Jämför med hur bedragarna har gjort tidigare år.

 

Ja så kan det vara han ringde minst 15 gånger. Många varningklockor som ringer. Som @bernard sa så ser man ju namnet till den man swishar

 

Oj, här gäller det att vara på sin vakt

 

Ett annat alternativ, man ber dem bara swisha 9:- till för ett frimärke och postar en hundring

 

De har ju redan kommit in på första inloggningen i din bank. När du försöker andra gången att logga in på swish så har de lagt till en betalning som går till dem. Du är inte uppmärksam igen utan godkänner en utbetalning från din bank istället för att godkänna inloggning på swish. Jag kan skicka dig en hundring och visa hur det går till.

 

Oj , jösses

 

Det är nog olika beroende på bank, på Swedbank måste man godkänna nya konton, antingen via koddosa eller utökat bank-id med engångskod.

 

Wow då kanske det var ett bedrägeriförsök. Men hur kommer dom in i första hand?

 

Ja, att få fram någons personnummer är inte världens svåraste.

 

Det finns en historik i Bank-ID-appen över alla inloggningar. Jag vet inte om den loggar "avbrutna inloggningar" också.

Det är värt att undersöka om avbrutna inloggningar syns eller inte, jag ska kolla framöver, skriver svar isf, du får gärna undersöka om du har tid.

Tänk bara på att det tar en liten stund innan en inloggning dyker upp i loggen, vänta 15 minuter eller något.

 

I mitt tycke ett extremt osannolikt scenario. En användare som flera gånger underlåter att läsa texten han/hon godkänner förtjänar nästan att bli av med sina pengar. Banken skulle med rätta kunna kalla det "grov vårdslöshet" och vägra betala tillbaka pengar som försvunnit, misstänker jag.
Det ska tilläggas att när man initierar Bank-ID från en app på sin telefon (t.ex. Swish eller bankens app) så är det appen som startar Bank-ID, och appen skickar samtidigt över all data som behövs för inloggningen till Bank-ID. Att Swish skickar över dig till Bank-ID och förmedlar all data som du ska godkänna den vägen, men Bank-ID då väljer att visa en helt annan inloggning än den Swish skickat över, t.ex. bedragarens inloggning från bankens webbsida, borde inte kunna hända. Det vore en teknisk miss av episka proportioner. Som jag redan nämnt i ett annat inlägg, Bank-ID verkar redan ha ett skydd mot flera inloggningar som startas samtidigt dessutom.

Dessutom:
Hur skulle dom få reda på vilken bank jag använder? Framgår inte offentligt nånstans. Enklaste sättet är väl att snoka i brevlådan efter bank-post tänker jag, men enda gången jag får post från min bank som tydligt är märkt med bankens namn är ett årsbesked gällande vissa fonder som inte kan skickas digitalt ännu, som kommer en gång per år... och min brevlåda går inte ens att snoka i till skillnad från en del andra.
Har ni andra tankar, hur får bedragarna fram vilken bank offret har? Att gissa bank duger ju inte för en bedragare.

Personnummer är ju offentligt, så det är en enkel bit som du säger. Har man konto hos t.ex. Ratsit får man fram alla personnummer med ett klick.

Utökat Bank-ID, vad är det?

Funktionen finns tror jag. I bank-id:s historik loggas både plats (stad och stadsdel) samt ip-adress för varje inloggning. Oklart exakt hur datan används dock, men något anti-bedrägerisyfte måste det vara enligt vad jag har läst någon gång.

Beror på bank. Jag har dock inte stött på någon bank som inte kräver dubbla verifieringar för att flytta pengar. Andra får fylla i.

Baserat på de scenarion jag hittills hört talas om, här i tråden och på annat håll, så skulle jag inte oroa mig alls. Vanlig vaksamhet räcker gott och väl. Är man det minsta tekniskt kunnig och vet ungefär hur Bank-ID fungerar (dvs är man en normal användare som är normalbegåvad) så är risken för denna typen av bedrägerier så gott som helt utesluten tycker jag. Att äldre och okunniga kan bli lurade, där har jag såklart viss förståelse, men de som kan hantera en smartphone borde ha vett nog att inte råka ut för den typen av bedrägerier som det talats om.

 

Man kan utöka sina rättigheter med hjälp av engångskoder, då kan man göra mer saker på internetbanken än enbart med bankid.
Aktivera Mobilt BankID med utökad användning

 

Håller helhjärtat med!

På Swedbank har jag för mig att detta måste aktiveras för att tex lägga till nya mottagare för betalning. Kräver några steg för aktivering och gäller bara just den enhet det aktiverats på.
Alla banker har dock inte denna extra säkerhet.

 

Angående att få fram bank tillhörighet finns det väl ett ganska enkelt sätt. Sen kanske inte till vem som helst men i alla fall några. På app butiken finns ju 21000 kommentarer för exempelvis Swedbanks app. Där från folk som kommenterar appen och de kan man anta har banken. Sen kan man gå in på en banks Facebook. Där kolla kommentarer, likes osv. Så hade jag letat ut mina offer i alla fall.

Sen går det att snoka runt lite på folks Facebook profil exempelvis för att kunna göra en trovärdig stöt.