Säkerhetskritiken: ”Bank-id gör det enkelt för sig”

2018-09-19 06:00  

Säkerhet handlar inte bara om teknik. Det säger Verisec, som gör bankid-utmanaren Freja e-id.

Trots den senaste tidens omfattande bedrägerier fortsätter Finansiell Id-teknik hävda att bank-id är säkert. Något motsägelsefullt gick de ändå häromveckan ut med att bankid-appen ska stävja bedrägeriförsök med hjälp av QR-koder. Men det kan dröja flera månader för vissa banker att komma igång med dem.

– Jag tycker att det är viktigt att säga att ingen användare som följer våra råd för säker användning har råkat ut för bedrägeri. Bank-id kan ses som ett lås där du är säker och trygg så länge du inte ger bort nyckeln eller öppnar dörren för bedragaren, säger Malin Wemnell, administrativ chef på Finansiell Id-teknik.

Men Johan Henriksson, vd på it-säkerhetsbolaget Verisec som står bakom bank-id-utmanaren Freja e-id, har invändningar mot det förhållningssättet.

– Det är att göra det enkelt för sig. Man säger att bankerna aldrig ringer upp kunderna, men det stämmer ju inte. Vid exempelvis bostadsköp är det inte alls ovanligt att banken ringer. Och ska man påstå att ett system är säkert kan det inte bara handla om tekniken, utan också om att utbilda allmänheten. Det är först på senare tid man har börjat med det, säger Johan Henriksson.

Läs mer: Så ska bank-id skydda mot bedrägerier

– Dessutom ska man komma ihåg att när någon säger att tekniken är säker så är det en dagsnotering. Rent generellt är det så att man hela tiden måste anpassa sig till bedragarens metoder.

I slutet av juli kom i Malmö tingsrätt den första domen mot bank id-bedragare. Totalt fälldes 14 personer, tre av dem för grov penningtvätt. Ligan ska mellan januari och mars i år ha kommit över 1,5 miljoner kronor från sammanlagt 13 offer. SVT skriver att ”det är det första av flera fall som totalt omfattar bedrägerier på över 100 miljoner kronor”.

Använder sig av social manipulation

Förövarna använder social manipulation för att få åtkomst till sina offers konton. En av dem ringer från ett nummer som ser ut att komma från en bank. Personen uppger att hen företräder banken och att kunden behöver logga in med sitt bank-id för att stoppa ett pågående bedrägeri.

Samma person, eller en medhjälpare, är samtidigt redo framför en dator eller mobiltelefon med kundens personuppgifter ifyllda på den aktuella banken. Då kunden använder sin bankdosa, sin kod eller sitt fingeravtryck för att signera en inloggning så är bedragaren inne. Därpå måste kunden luras att signera ytterligare en gång för att bedragaren ska kunna tömma kontot.

Finansiell Id-teknik är ett konsortium bildat av flera stora banker. Företaget är generellt av åsikten att den kund som frivilligt lämnat från sig sina uppgifter ska anses ha varit oaktsam och att banken därför inte ska ersätta de belopp som stulits.

Läs mer: Här är ett nytt sätt att hacka en laptop och nästan alla datorer är sårbara

Det framgår inte minst av de många bankid-ärenden som Allmänna reklamationsnämnden, ARN, beslutade i under sommaren. ”Det har under flera års tid varnats från bankerna, polisen, radio, tv och media i övrigt för att man aldrig på begäran från någon okänd person ska lämna ut sina bankuppgifter eller logga in på sin internetbank. När bankens kunder loggar in på internetbanken får de sådan information i en varningstext”, invände en bank i ett av sex ärenden som ARN prövade.

Men ARN tycktes, precis som Johan Henriksson på Verisec, anse att det synsättet är att göra det lätt för sig. ”Nämnden konstaterar...att det inte finns någon möjlighet för konsumenterna att styra över bankernas säkerhetslösningar. Oavsett bankens varningar för bedrägerier, står det klart att HB som konsument inte förstod att hans användning av bank-id kunde få så långtgående konsekvenser.”

QR-koder svårknäckta för bedragare

I fem av sex ärenden beslöt nämnden att banken var ersättningsskyldig.

Nyligen kom så en förstärkning av säkerheten. Finansiell Id-teknik har begåvat bankid-appen med förmågan att läsa in QR-koder.

– Den möjligheten är bra, det går inte att säga något annat, säger Johan Henriksson på Verisec.

QR-koder kommer att göra det svårare för bedragare. Med funktionen aktiverad måste bankid-appen använda telefonens kamera för att läsa in en QR-kod som syns på skärmen på den enhet man vill bli inloggad på.

Läs mer: Här är två tips för att skydda dina konton mot hackare

QR-koden kan alltså synas för en eventuell bedragare, men bedragaren kan inte, utan tillgång till den enhet som bankid-appen finns på, läsa av koden. Det är ett sätt att försöka säkerställa att två enheter befinner sig på samma plats.

– Det är viktigt att säga att företag och myndigheter [som i dag använder bank-id] väljer själva när och i vilka situationer den här förstärkningen ska användas för just deras tjänster, och i vilka flöden. Och rent tekniskt så är det alltså upp till den enskilda tjänsten att kontrollera vilka variationer och enheter man vill ha för just sin tjänst, Malin Wemnell, administrativ chef på Finansiell Id-teknik.

Ny Teknik har frågat samtliga svenska storbanker när de tänker börja använda QR-koder. Bara två av dem, Nordea och Swedbank, har återkommit med svar. Nordea säger att de ska börja med QR-koder ”inom de närmaste månaderna”. Swedbank lovar att starta i början av oktober.

Det här är Freja e-id

It-säkerhetsbolaget Verisec anser att det behövs konkurrens på marknaden för e-legitimationer och har lanserat Freja e-id. Till skillnad från bank-id kan man inte logga in på en enhet genom att signera från en annan. Det innebär förvisso att systemet i grunden är säkrare, men också betydligt mindre användbart.

En annan skillnad är att det utan kostnad ingår ett skydd mot id-kapning. Men än så länge har Freja e-id bara en handfull tjänster och sajter mot vilka man kan legitimera sig med deras lösning. Bank-id å sin sida förväntas ha 8 miljoner kunder före årsskiftet, och antalet användningstillfällen uppskattas till mer än 3 miljarder under 2018.

Peter Ottsjö

Kommentarer

Välkommen att säga din mening på Ny Teknik.

Principen för våra regler är enkel: visa respekt för de personer vi skriver om och andra läsare som kommenterar artiklarna. Alla kommentarer modereras efter publiceringen av Ny Teknik eller av oss anlitad personal.

  Kommentarer

Debatt