”Busenkelt att ta över kundernas identitet” 

2021-07-22 06:00  

Webbentreprenör har identifierat en ny säkerhetsbrist som företaget bakom tjänsten bank-id menar är ett osannolikt scenario.

Allt fler bolag – från webbhotell till parkeringsappar – använder bank-id för att verifiera sina användare. Det har skapat en blomstrande marknad för återförsäljare av lösningar som verifierar användarnas identitet. Men frågan är hur säkert det är att använda dessa tredjepartaktörer?

Behzad Rostami är en entreprenör som driver webbplatsen Hotmat, som bland annat konkurrerar med Foodora och Uber Eats. I sitt arbete med att skapa smidiga webblösningar för sina kunder med hjälp av bank-id har han hittat flera säkerhetsbrister.

Läs mer: ”Efter attacken mot Bank-id – Sverige måste ha en it-haverikommission”

För några år sedan avslöjade han att apparna för mobilt bank-id inte hade funktionen flag_secure aktiverat, vilket gjorde det möjligt för illvilliga hackers att kunna fjärrstyra telefonen och använda bank-id för att göra allt som den rättmätiga användaren kunde göra. Nu har han identifierat en ny säkerhetsbrist i bank-id.

Enkelt att lura slutanvändaren

Den här gången är det dock inte i appen som bristen finns, utan i upplägget med återförsäljare av identifieringstjänster. Genom några enkla steg kan en aktör lura slutanvändaren att logga in med hjälp av bank-id, men sedan själv använda inloggningen i brottsligt syfte.

Läs mer: Förlorade tvist om bank-id – gick i konkurs

– Det är busenkelt för återförsäljare att få tillgång till kundernas konton. Det enda de behöver göra är att skriva kundens personnummer på sin hemsida för att påbörja inloggningen och sedan skicka ett fejkat anrop till din server för att logga in. Återförsäljaren är helt enkelt en mellanhand som väldigt lätt kan få tillgång till nästan allt, säger Behzad Rostami till Ny Teknik.

Upplägget förutsätter dock att det finns oärliga återförsäljare som skulle vilja kunna komma åt personers identitet. Ny Teknik vill betona att det i dagsläget inte finns någonting som tyder på att det är så just nu, utan säkerhetsbristen är fortfarande hypotetisk.

– Gällande scenariot som du beskriver ser jag inte det som troligt. Tillsammans med bankerna har vi ett starkt och nära samarbete där det bland annat regleras hur försäljning och utgivning får ske. Företag, myndigheter och organisationer som köper bank-id-tjänsten från de fem säljande bankerna granskas och även det namn som visas upp vid en bank-id-förfrågan, säger Andreas Bergqvist, säkerhetschef på Finansiell ID-Teknik BID AB, till Ny Teknik.

Erbjuder identifieringstjänster

Hans arbetsgivare Finansiell ID-teknik grundades för 19 år sedan och driver bank-id på uppdrag av de svenska storbankerna. Bolaget erbjuder sedan många år tillbaka identifieringstjänster också för andra aktörer än bankerna. De flesta större svenska myndigheter använder bank-id, liksom många privata aktörer som vill låta sina kunder legitimera sig. Totalt sett har Finansiell ID-teknik ungefär 5000 företag, myndigheter och organisationer som kunder. Förra året gjordes fem miljarder underskrifter och signaturer med bolagets teknik. 

Läs mer: Lista: Här är 2010-talets 15 viktigaste teknikhändelser

Att använda bank-id är dock inte gratis. Startavgifter, månadsavgifter och/eller avgifter per transaktion gör att det snabbt blir kan bli dyrt för småföretagare att erbjuda bank-id som inloggningsmetod för sina kunder. En lösning på detta är att använda mellanhänder i form av återförsäljare. Större återförsäljare kan fördela avgifterna på en större mängd aktörer, samtidigt som återförsäljaren får volymfördelar. Fördelarna för småföretagaren är alltså uppenbara – men riskerna inte lika tydliga. Finansiell ID-teknik menar dock att man har tagit höjd för att säkra upplägget.

Läs mer: Bank-id:s fader slog ut KTH-uppfinnare i kampen om innovationspris

– För att stärka vårt skydd har vi i vårt systematiska säkerhetsarbete en löpande dialog och samarbete med bankerna för att säkerställa att våra skydd är ändamålsenliga. Skulle ett modus, likt det du beskriver, uppstå kan vi snabbt identifiera och sätta stopp för det, säger Andreas Bergqvist.

Han vill även understryka vikten av att slutanvändare är noga med att läsa var man legitimerar sig och vad man skriver under genom att noga läsa den text som kommer upp i bank-id-appen. 

– Texten ska alltid stämma överens med den aktör du agerar mot och misstänker du att något inte står rätt till så är min starka rekommendation att du avbryter transaktionen och kontaktar det företag eller myndighet du försöker nå, säger Andreas Bergqvist.

Läs mer: Lurade till sig miljoner med bank-id – döms till fängelse

Finansiell ID-Teknik påpekar att bolaget har tydliga riktlinjer och guider för hur kunderna ska använda tekniken, men poängterar att affärsrelationen med kunderna alltid handhas av den bank som säljer tjänsten. 

Idkollen - ett bolag på uppgång

Ett av de bolag som återförsäljer identifieringstjänster är Idkollen, vars vd, Peter Hjort, även sitter i styrelsen för AB Finestor. Idkollen omsatte senaste rapporterade verksamhetsåret en miljon kronor och gjorde lika mycket i förlust – men fick upp farten rejält under 2020 och omsatte då, preliminärt, tre miljoner kronor men med kundavtal värda ungefär det dubbla. Bolaget fokuserar främst på mindre och medelstora bolag som behöver identitetsverifiering, men har även storbolag som Volvo, Ica och Åhléns på kundlistan.

Läs mer: Säkerhetskritiken: ”Bank-id gör det enkelt för sig”

– Vi har ett API som vi säljer som en produkt till företag som själva vill bygga appar. Dessutom har vi nyckelfärdiga lösningar för kunder som snabbt och enkelt vill kunna använda identifiering, säger Raul Blanco, medgrundare och produktansvarig för Idkollen, till Ny Teknik.

Läs mer: Så ska bank-id skydda mot bedrägerier

Idkollen har funnits i sex år och började med en app som hjälpte privatpersoner att legitimera varandra – till exempel inför ett bilköp eller affärer med värdesaker. På senare år har bolaget istället fokusera på företagsmarknaden, och har idag runt 130 kunder varav flera av Sveriges största företag, inklusive flera banker, kommuner och bolag inom vården. Startavgiften är låg och bolaget tillhandahåller en handfull olika tjänster som hjälper kunderna att identifiera sina användare. En nyckelkomponent är de certifikat som bolaget hjälper sina kunder att använda. 

Läs mer: Så många miljoner stals via bank-id – i bara juli

– En framtida ambition är att företag inte använder sina vanliga bankid-certifikat i våra tjänster utan att det istället separeras med ett tydligare prefix i form av exempelvis ”Telefonidentifiering via IDkollen”, för att på så sätt skilja inloggning på känsliga ställen med exempelvis en telefonverifiering. Och det är till Idkollen som kunderna skickar anrop för att påbörja en autentisering eller signering, säger Raul Blanco. 

Förutsätter en seriös mellanhand

Han menar att slutanvändare inte ska vara oroliga, trots att hela upplägget förutsätter att Idkollen som mellanhand är trovärdig och seriös aktör. Det är till Idkollen som kunderna skickar anrop för att påbörja sina signeringar. Idkollen skickar sedan vidare anropen till bank-id för att registrera inloggningen. När slutanvändaren sedan signerar skickas en signal från bank-id till återförsäljarens server, som i sin tur skickar detta vidare till kunden för att berätta att slutanvändarens signering har lyckats.

Läs mer: Skatteverket varnar för inloggning med bank-id via externa sajter

– Vi hostar allting via Amazon Web Services och säkerhet är självklart väldigt viktigt för oss. Vi har till exempel kryptering och tydliga processer för access, säger Raul Blanco.

Frågan är då hur man kan lita på små, men kraftigt växande, aktörer som exempelvis Idkollen.

Läs mer: Bank-id slutar fungera för tusentals svenskar

– Bank-id har tydliga krav, och vi går via en återförsäljande bank som i sin tur även har krav på oss, så det finns självklart processer som styr. Att Idkollen har återförsäljaravtal för bank-id visar att vi är en seriös aktör. Vi har stora och krävande kunder och vi har gjort ett gediget arbete med datahantering i enlighet med GDPR och säkerhet. Självklart finns det alltid en sund osäkerhet, men man kan som användare absolut lita på oss, säger Raul Blanco.

Läs mer: Misstanken: Banker stal patentskyddad teknik

Något som däremot faktiskt har inträffat är att kunder har använt Idkollen på ett bedrägligt sätt. Det handlade om att någon lyckades någon annan att verifiera en annons - något som ledde till att bolaget ändrade rutinerna, täppte till luckan och tog fram tydligare texter i certifikaten.

– Ja, det har hänt någon gång, men det har tack och lov inte lett till någon större skada, säger Raul Blanco.

Läs mer: De stämmer bank-id för patentintrång

Bankerna konkurrerar sinsemellan med att sälja avtal om bank-id till sina kunder. Prissättningen är fri, men marknadspriset ligger på omkring 17 öre per verifiering eftersom det är det fastslagna priset i det så kallade valfrihetssystemet.

Nordeas kontrollpunkter minskar risken

Nordea är en av de banker som säljer bank-id-lösningar till återförsäljare och andra kunder. Banken har ett antal steg och kontrollpunkter som motverkar risken för att oseriösa fifflare skulle missbruka systemen. Kunder som vill bli återförsäljare av bank-id genom Nordea måste bland annat vara etablerade företagskunder och ha en normal bankrelation med Nordea, vilket innebär att de minst måste inneha transaktionskonto samt att de återkommande genomgår känn-din-kund-undersökningar.

Foto: Francis Dean/REX

– De måste också ha en kundansvarig i Nordea vilket borgar för att en djupare och mer personlig relation finns. Dessutom måste de teckna återförsäljaravtal och givetvis följa de villkor som finns där, samt beställa och använda ett unikt så kallat köparcertifikat per företag, säger Niclas Westén, portföljansvarig med ansvar för bank-id på Nordea, till Ny Teknik.

Läs mer: Nordea backar om Swish

Just köparcertifikatet är, enligt honom, den konkret mest väsentliga kontrollpunkten och en förutsättning att bank-id-tjänsten ska kunna tas i bruk. Det är också detta certifikat som styr vad som visas i displayen när slutkunder identifierar sig, som till exempel: ”Jag identifierar mig hos: Nordea”. I detta exempel är Nordea det så kallade ’Display name’ som är registrerat i köparcertifikatet, och det går inte att ändra efter att köparcertifikatet signerats av Nordea.

Läs mer: Mobilt bank-ID årets deklarationstrend

Innan Nordea signerar certifikatet och godkänner uppgifterna i köparcertifikatet görs en granskning där särskilt ’Display name’ måste följa reglerna, vilket bland annat innebär att det måste spegla företagets juridiska namn eller vara ett välkänt och registrerat varumärke.

– Därutöver finns det övervakningssystem som upptäcker avvikelser men dessa kan jag av naturliga orsaker inte gå in närmare på. Till sist har vi en annan inte helt oväsentlig kontrollfunktion och den kan man beskriva som ”djungeltrumman”. Inom bank-id har vi trots allt åtta miljoner mycket aktiva, och i många fall observanta, kunder som snabbt återkopplar om något misstänkt skulle upptäckas, säger Niclas Westén.

Entreprenören är inte övertygad

Entreprenören Behzad Rostami är inte övertygad om att upplägget med aggressivt marknadsförande återförsäljare är speciellt bra för svenska medborgare eller ryktet om Sverige som framstående it-nation. Han jämför med de skandaler som under våren har seglat upp kring läkarföretag som tar covidprover och sedan utfärdar reseintyg åt patienterna – utan att ha testat om patienten faktiskt har covid-19 eller inte.

Läs mer: Så töms ditt konto med kapat bank-id

– Det är i princip omöjligt att veta om läkarföretagen har testat eller inte. Detta är likadant här. Bara för att slutanvändare får en signal om att allting ser ok ut så behöver det inte vara så. Varför ska en mellanhand ha andra mellanhänder som egentligen inte behövs? Bankerna har direktintegration mot bank-id, men återförsäljare behöver inget godkännande från Finansinspektionen eller andra myndigheter. Och eftersom återförsäljarna är mycket billigare än bank-id själva så kommer de för eller senare bli väldigt populära och användas av många webbplatser, säger Behzad Rostami.

Fotnot: Ny Teknik vill för tydlighets skull betona att det i dagsläget inte finns någonting som tyder på att någon återförsäljare faktiskt har utnyttjat den potentiella sårbarhet som Behzad Rostami har identifierat.

Anders Frick

Kommentarer

Välkommen att säga din mening på Ny Teknik.

Principen för våra regler är enkel: visa respekt för de personer vi skriver om och andra läsare som kommenterar artiklarna. Alla kommentarer modereras efter publiceringen av Ny Teknik eller av oss anlitad personal.

  Kommentarer

Debatt