Björn Wahlsten

Min svenska bank erbjuder mig en betaltjänst för 175 kr/år. Man talar inte om är att jag kan betala någon utan betaltjänst för 10 kr per uppdrag. Emellertid fungerade det inte då jag loggar in med mobilt BankID. Jag får detta svar: "Okej, om det är en ny mottagare så behöver du utöka ditt BankID, det är en säkerhetsåtgärd som vi använder. Om du inte kan göra det så kan du använda din säkerhetsdosa istället!". Utökat BankID kostar 175 kr/år. Skulle dosan vara säkrare? Tack vare dosan lyckades jag skicka en gåva och banken fick 10 kr.

Hur osäkert är SMS i just detta sammanhang? Antag att lurendrejaren har lurat till sig användarnamn, lösenord och användarens telefonnummer. Lurendrejaren loggar in och beställer en överföring. Hur skall lurendrejaren kunna läsa det SMS som banken skickar till användaren? Användaren läser i sitt SMS att banken vill ha bekräftat att ett stort belopp skall överföras till ett okänt konto. Detta måste bekräftas genom att returnera de sex mottagna siffrorna. Siffrorna är slumpmässiga.
Man kan också tänka sig att lurendrejaren ringer och ber användare att logga in och godkänna den överföring som lurendrejaren lagt in. Även i detta fall måste bankens SMS besvaras korrekt.

Koden är okänd och består av sex siffror. Siffrorna är alltid olika.

Via en spoofing-attack kan någon skicka ett sms till en mobil som ser ut att komma från någon annan, exempelvis mottagarens bank. Att svara på detta eller klicka på bifogade webblänkar kan sedan utnyttjas för att komma åt känsliga uppgifter. Det är emellertid banken som skickar en kod och den är inte känd för den som attackerar. För att banken (i det spanska fallet) skall skicka en kod måste ägaren av kontot eller den som utför attacken vara inloggad på kontot.

”Bank-id med ett extra steg” liknar den ”spanska metoden”. Istället för att fotografera av en QR-kod, skickar man tillbaka de sex siffror som dyker upp på mobiltelefonen. Varför man skickar just sex siffror fattar jag inte, det är ju det faktum att man besitter mobilen som räknas.

Bankerna har ett stort ansvar att göra säkra lösningar som kan hanteras av det stora flertalet kunder. Vi hade för länge sedan certifikat från Handelsbanken. Det fungerade bara med ”rätt” kombination av operativsystem och webbläsare. Efter det att jag en gång uppdaterat operativsystemet gick det aldrig mer att logga in på banken. Handelsbanken föreslog nämligen att jag reste till ett visst kontor i Sverige och hämtade ut kodnycklar så att jag kunde ladda in ett nytt certifikat. Vi valde att byta bank.

Jag har aldrig begärt att få något BankID. Det var min svenska bank erbjöd mig det som ett alternativ till säkerhetsdosan. Jag kan inte avgöra om det ena är säkrare än det andra. Vad jag efterlyser är en metod att kommunicera med min bank som är så säker som möjligt utan att vara besvärlig att hantera.

Jag antar att QR-koden är till för att verifiera att det verkligen är Du som sitter vid datorn. I Spanien gör man redan det genom att bekräfta ett SMS från sin mobil.

För några år sedan skaffade vi spanskt medborgarskap. Det visade sig att Spanien till skillnad från Sverige inte accepterar dubbelt medborgarskap och vi tvingades skriva på att vi befriade oss från det svensk medborgarskapet. Lyckligtvis kastade inte Skatteverket bort våra svenska personnummer. Utan dessa skulle vi inte kunna använda BankID. Märkligt att EU accepterar det.

Jag brukar logga in på min spanska bank med min iMac, användarnamn och lösenord. Man behöver således inte kunna ta emot SMS för att kunna logga in. För att kunna godkänna en order däremot, måste min iPhone ha mobil täckning. När jag kontaktar min svensk bank använder jag min iPad och wifi.

Visst är lösningarna ganska lika. En skillnad är dock att jag loggar in på bankens applikation med användarnamn och lösenord. Jag kan även välja att logga in med fingeravtryck på min iPhone. SMS får jag bara om jag (eller Lurendrejaren) har begärt en tjänst av banken. Banken skickar då ett SMS till min mobil och ingen annan. Det betyder att någon med användarnamn och lösenord kan ta sig in på applikationen men sedan är det stopp. Det är bara jag från min mobil som kan besluta om banken skall utföra något.
Jag tycker det är skillnad på att bara logga in med Mobilt BankID och att få ett SMS med en utförlig text.

Det är ett gravt tekniskt fel om två enheter tillåts loggas in samtidigt från EN användare.
Det "spanska sättet" kräver att Lurendrejaren känner till telefonnummer, användarnamn och lösenord till applikationen samt vilken bank det gäller. Har man lämnat ut allt detta via ett telefonsamtal kan det dyka upp ett meddelande som detta på mobilen; ”BBVA: 196748 är koden för att konfirmera inköp hos ”discoverybags1" för 157,60 Euro." Den som läst (och förstått) meddelandet och därefter besvarar med koden får naturligtvis skylla sig själv.

Alla spanjorer bär alltid med sig ett nationellt ID-kort. Där kan man ha sitt certifikat. Man kan också ha det i sin mobil eller sin stationära dator. Många som deklarerar via sin mobiltelefon eller platta väljer istället en app "Cl@ve PIN". Man kan också ange numret på den senaste deklarationen. Det är ETT certifikat för alla myndigheter som gäller. Skillnaden mellan Sverige och Spanien är att det inte är bankerna som utfärdar certifikat.

Jag läste att bara under juli månad i år stals det 19,6 miljoner kronor genom bedrägerier med BankID.
Jag är nyfiken på hur det går till steg för steg. Lurendrejaren måste väl ha tillgång till offrets telefonnummer, personnummer och vilken bank offret har? Vad händer sedan? Avslöjar offret via telefonen inloggningskoden?

det beror på vad man lägger i begreppet "sämre lösning".
Uppenbarligen är den spanska lösningen säkrare.