feb 23 2010

Hva med sikkerheten – svindel

Published by at 14:58 under Økonomi


Ser nå at Skandiabanken er først ute med å tilby folk å bli kunder uten personlig fremmøte, og man trenger ikke legitimere seg med pass eller førerkort for å bli kunde.

Da stiller jeg spørsmålet, hva med sikkerheten og faren for å bli svindlet ? Altså, dem krever bank-id, altså fødselsdato og personnummer, enn hvis da f.eks en har fått tak på Visakoret til en mann og vil svindle han for store summer ? Har man Visakortet eller førerkortet, så har man også både fødselsdatoen og personnummeret til vedkommende, ergo kan man opprette et falsk brukerkonto hos Skandiabanken, og man styrer hele kontoen til den stakkars personen som har blitt frastjålet sitt Visakort.

Montro om ikke Skandiabanken har glemt at det finnes noe som heter identitetstyverier ? Akkurat…..og hvis man har fulgt litt med media, så foregår slikt i stor skala og mange blir rammet, og mange får regninger på ting dem aldri har kjøpt, selv varer til flere hundre tusen kroner,- fordi man kan bestille kredittkort i navnet til vedkommende man har stjålet visakortet fra,- altså null sikkerhet.

Så jeg har en stygg mistanke om at dette tilbudet fra Skandiabanken og fra eventuelt andre banker som vil tilby det samme, kommer til å bli svindlernes gode venn i årene fremover, dessverre for oss forbrukere.

Vg ,

Stem:

13 responses so far

13 Responses to “Hva med sikkerheten – svindel”

  1. Kai Rindalsvågon 23 feb 2010 at 15:16

    Det står vel ettertrykkelig at man kan bli kunde på minuttet gjennom bruk av BankID, mao at man må være registrert med bankid fra før, og dermed identifiserer seg med denne løsningen.

    Dette innebærer fødsels- og personnummer, samt den plastikkbrikken og et passord man har definert selv.

    Om noen da skal svindle deg så trenger de alle tre.

    Da er det vel litt opp til deg selv hvor «lett» man gjør dette for eventuelle svindlere.

  2. John-Erikon 23 feb 2010 at 15:29

    Hei Sivert.

    Jeg tror kanskje du har misforstått?

    «Altså, dem krever bank-id, altså fødselsdato og personnummer, enn hvis da f.eks en har fått tak på Visakoret til en mann og vil svindle han for store summer?»

    BankID er ikke fødelsdato og personnummer. Du får ikke opprettet et kundeforhold hos Skandiabanken eller noen av de andre med bare det (uten å måtte møte på postkontoret med leg)

    BankID er en liten kodebrikke du får av banken. Den generer tilfeldige koder som du må kombinere med en personlig kode. Du kan lese mer om det her https://www.bankid.no

    Må dessverre gi deg tommel ned på denne artikkelen da altså.

  3. Perryon 23 feb 2010 at 15:33

    Hele denne artikkelen er basert på en liten, men ekstremt kritisk faktafeil, eller manglende kunnskap om bankid. Du skriver «Altså, dem krever bank-id, altså fødselsdato og personnummer…»
    BankID er ikke kombinasjon av fødselsdato og personnummer. BankID er en kombinasjon av en kodebrikke du må få tilsendt basert på at du på et eller annet tidspunkt har legitimert deg hos noen (kan være en annen bank, f.eks), fødsels- og personnummer og passord.
    For å bli kunde gjennom elektronisk legitimering hos Skandiabanken forutsetter det altså at du har en slik BankID fra før, så det holder ikke å vite fødsels-og personnummer.

    Greit å vite fakta før man blåser ut av seg faren for å bli svindlet.. ;-)

  4. Siverton 23 feb 2010 at 15:49

    @@kai og John: Bare å prøve det, så ser dere,- banken regner bank-id som personnummer, gå på skandiabanken.no og trykk på bli kunde,- så ser dere at man må taste inn personnummer etter du har trykt på bli kunde med bank-id, ergo man trenger kun personnummeret til en person for å opprette et kundeforhold. Jeg har også spurt i to andre banker hva dem regner som bank-id, begge svarte at det var personnummeret til kunden / kundene,- og har enda litt kunnskap om hvordan man svindler folk ved hjelp av Visakort eller kredittkort, så blir dette rene gullgruven for de som driver med svindel.

  5. Siverton 23 feb 2010 at 15:52

    @@: Jeg glemte en ting,-. i den såkalte chippen på Visakortet, der ligger all informasjon om kunden, også personnummeret ligger i den chippen, noe jeg fikk bekreftet idag av min bank,- men det er ikke chippen som er bank-id`en, men personnummeret som ligger i chippen, også i spillkortet fra Norsk Tipping så ligger slik info, for at man skal kunne bruke det kortet til flere tjenester.

  6. GLASSKÅRon 23 feb 2010 at 19:25

    Hei Sivert! Må nesten teste ut dette, det kan vel ikke være så enkelt?! Jeg trodde også at bankID var den kodebrikken :o) PS. (Du skjønner hvem jeg er uten at jeg skriker det ut, right?)
    .-= GLASSKÅR´s last blog ..Ekstrem sparing =-.

  7. Siverton 23 feb 2010 at 19:30

    @Glasskår: Ja prøv :) vil gjerne ha tilbakemelding på mail ;) *hint* yes, i do understand ;)

  8. John-Erikon 23 feb 2010 at 21:34

    Kjære Sivert.

    Jeg tar utfordringen din, og sender den tilbake til deg siden du tydeligvis ikke har prøvd selv.

    Hos Skandiabanken trykker du på bli kunde med BankID – så skriver du inn personsnummeret ditt – så trykker du på OK. Deretter skriver du inn sikkerhetskoden din (som blir generert av kodebrikken vi kaller BankID) og så skriver du ditt personlige passord. Så trykker du OK.

    Nå – hvis noen har personnummeret ditt, kodebrikken din, og ditt personlige passord så kan de opprette et kundeforhold på dine vegne. BankID er ikke lik personnummeret ditt.

    Tenk deg litt om. Tror du VIRKELIG at det er mulig? Tror du VIRKELIG at Skandiabanken ville gå ut med en løsning hvor eneste form for autentisering var personnummeret for å bli kunde?

    Men ta utfordringen min og prøv selv. Du tar feil så det runger av det, men for all del – god underholdning er det. :)
    .-= John-Erik´s last blog ..Tåpelig av Kowalczyk! =-.

  9. […] bloggeren er bekymret for sikkerheten. Og det er sunt å være litt skeptisk. Men er man skeptisk lønner det […]

  10. John-Erikon 24 feb 2010 at 13:59

    Jeg glemte også en ting ang. det du skriver om VISA-kortet.

    1. Det er en chip, ikke en såkalt chip.

    2. Pr i dag ligger det ikke mer informasjon i selve chip’n enn det ligger i magnetstripen. Men muligheten er der til å legge mer i fremtiden. Tryggere er det også. Er ikke så lett å skimme en chip. Chip’n er beskyttet av krypteringsalgoritmer – i motsetning til magnetstripen som er helt ubeskyttet!

    3. BankID er ikke chip’en nei. Men det er heller ikke personnummeret (som forøvrig ikke ligger på bankkortet).

    Du surrer dette sammen med såkalte Buypass kort (www.buypass.no)som blant annet Norsk Tipping bruker. Et slik kort kan også brukes for å logge inn på Altinn. Buypass-kort gir deg forøvrig det høyeste sikkerhetsnivået når du logger inn i Altinn (nivå 4)

    It’s safe :)

  11. Torstein Hegbomon 06 apr 2010 at 16:58

    BankID benyttes av mer enn 2,5 millioner personer har BankID. Navnet er vel ikke så kjent som det den benyttes til. Alle som har Nettbank benytter BankID til å identifisere seg selv.

    Tenk deg at du har en web-side, der du lar personer registrere seg. Du ønsker ikke at kreti og pleti skal logge seg på med falske navn og adresser.

    Med BankID eller elektronisk ID kan du være 100% sikker på at det er riktig person som logger seg på (like sikker som pengene dine på din nettbank).

    Jeg er selv forhandler av elektronisk ID (BankID faktisk), og at bruken av elektronisk ID ikke benyttes så mange andre steder enn nettbanken.

    BankID kan også fåes på mobiltelefonen, og dermed kan du droppe hele kodebrikken/kodekalkulatoren. og er det kun Telenor som tilbyr denne løsningen.

    Dersom du har BankID på mobiltelefonen kan du om ikke så lenge kunne handle på internett ved hjelp av Mobiltelefonen, der du benytter BankAxess. BankAxess er et produkt som benytter BankID, der du kan handle på internett uten å oppgi kortnummer.

    Du kan lese mer på følgende side.

  12. Torstein Hegbomon 06 apr 2010 at 17:04

    Internett siden som forteller mer om BankID og dets mangoldige muligheter: http://www.itpolaris.no

    Et annet område som både støttes av Banklagret BankID og BankID på mobiltelefonen er signering.

    BankID sin konkurrent MinID benyttes av Altinn, der du kan signere selvangivelsen og andre dokumenter.

    Signering trenger ikke være signering av en avtale eller et annet viktig dokument. Det kan være noe så enkelt som en en kort melding, men for at den skal være juridisk bindende må være signert. Med elektronisk signering kan meldinger på PC og mobiltelefon signeres enkelt og er like bindende som en signatur med penn og papir.

  13. The Dagon 16 nov 2011 at 16:22

    John-Erik> 2. Pr i dag ligger det ikke mer informasjon i selve chip’n enn det ligger i magnetstripen. Men muligheten er der til å legge mer i fremtiden. Tryggere er det også. Er ikke så lett å skimme en chip. Chip’n er beskyttet av krypteringsalgoritmer – i motsetning til magnetstripen som er helt ubeskyttet!

    Vel, skal du rette på folk bør du vel gjøre hjemmeleksene litt grundigere enn som så. Informasjonen på chipen er ikke kryptert. Informasjonskanalen mellom chipen og terminalen er heller ikke kryptert (så om informasjonen på chipen hadde vært kryptert ville det ikke forhindret mellommann-angrep).

    Derimot er chipen ikke simpelthen et lagringsmedium, slik en magnetstripe er. Man kan ikke bare lese dataene, men må i stedet spørre chipen, og den skal da i prinsippet ikke gi ut informasjon til hvem som helst. Imidlertid har det vist seg at protokollen inneholder en fatal feil som åpner døra på vidt gap. Det er faktisk fullt mulig, ikke engang særlig vanskelig, å betale med en slik chip og lure terminalen til å tro at chipen har sagt «pin OK» men *samtidig* lure chipen til å tro at det er en transaksjon autentisert med signatur snarere enn PIN. Enda verre, bankens data vil i etterkant indikere at «gyldig PIN ble tastet» (fordi terminalen tror det er tilfellet!) og kunden kan få store problemer med å få tapet dekket.

    Dette høres sikkert utrolig ut, men det eneste utrolige er at oppdagelsen ikke har fått mer oppmerksomhet i media.

    Jeg skrev om dette (det var en trigger for å ta tak i noe annet jeg lenge har brent for – digitale kontanter) på bloggen min, og du kan lese mer om det der om du vil:

    http://tpmimho.blogspot.com/2010/02/is-time-ripe-for-electronic-cash.html

    Eller du kan gå direkte til whitepaper som var basis for mitt blogginnlegg:

    http://www.cl.cam.ac.uk/research/security/banking/nopin/oakland10chipbroken.pdf
    The Dag´s last blog post ..Penny Auctions!

Trackback URI | Comments RSS

Leave a Reply

CommentLuv badge