Hur säkert är bank-id?

Svaret är, det är mycket osäkert och kan missbrukas på många sätt. Det är praktiskt med bank-id, men missbruksrisker är omfattande och man bör tänka sig för flera gånger både hur andra kan komma över det och vad andra personer som har ditt bank-id, kan göra i ditt namn.

Det finns olika metoder som skojare använder för att luras att använda bank-id en enstaka gång, men det finns andra metoder som gör att någon annan obehörigt kommer över din bank-id och kan då göra allting som du själv kan göra i ditt namn. T.ex. öppna konto i andra banker, ta upp krediter, ta ut kreditkort, signera avtal eller i ditt namn utföra bedrägerier utan du märker någonting. Självklart kan de tömma ditt bank-konto, men det brukar man märka.

Det är också upprörande att hela finansiella systemet använder en standard för ”allt” med bank-id, som dels inte är säker och lämnar många alternativ för andra personer att ”kapa” andras identiteter.

AI News har talat med en ledande säkerhetsexpert, som av säkerhetsskäl inte namnges som berättar en del runt faror och risker nedan.

Flera enheter
De flesta banker stödjer att ha bank-id på flera enheter normalt 3 stycken. Banker uppmuntrar också att använda på det sättet. Banker resonerar går en mobil t.ex. sönder, så kan du använda en annan enhet, dator, padda eller annan mobil.

Risken här är förstås att någon annan obehörigt skapar eller kommer åt ett eget bank-id i ditt namn, på en telefon eller dator du inte ens vet om. På det sättet kan de göra allt du kan göra i lugn och ro och det kan pågå under lång tid.

Digitala stölder
Det finns mängder med metoder att stjäla digital information. Är du uppkopplad till internet så finns det alltid metoder att komma åt din digitala enhet. Kan man komma åt din digitala enhet så kan den avlyssnas, spionprogram, kopiering eller rent utav klona en kopia på din mobil. Det kan vara så ”enkelt” att du klicka på en hemsida eller en länk på ett mail, så är du sedan fast.

Vissa öppna nät är enklare, andra svårare men finns en dörr ut finns också en dörr in.

Det finns även risker med åtkomst på andra sätt än via Internet, t.ex. bluetooth, 4G eller 5G, delningsfunktioner m.m.

Det kan också vara så personer blir lurade logga in på sitt bankkonto och samtidigt laddas bank-id ner i en annan enhet ”obemärkt”.

Hjälp
Varje hjälpande hand kan vara en stjälpande hand.  Det kan vara släktingar, det kan vara hemtjänsten, det kan vara bankpersonal i princip vem som helst, som hjälper dig, kan skapa en ny enhet med bank-id, som sedan används.

Det stora problemet är det går inte veta om någon lurat av dig din bank-identitet.

Fysiskt
När du reparerar din enhet (mobil, dator etc.) eller byter ut den, finns gammal information kvar. Även om du raderar allting så finns det ändå kvar som en öppen bok.

Det kan var så enkelt att du byter glas på din mobil och ska hämta den om en timma, att du då har blivit av med din mobil, antingen utbytt till en annan, eller information helt klonats.

Självklart är samma risk om du tappar, glömmer eller får din mobila stulen. Det är ofta ett lås, men det är ett ur säkerhetssynpunkt dåligt lås.

Bank-id filen
Det är inte högteknologiskt, så även bank-id går att skapa en falsk kopia som framstår som ett utgivet original. De olika säkerhetsprinciper som finns baseras på primtal och inte så speciellt säkert system. Det är med andra ord möjligt bli utsatt för någon som skapat ett falskt certifikat eller bank-id.

Password
Bank-id använder 6-8 siffor, vilket gör att det är mellan 1 – 100 miljoner olika varianter.  Genom avlyssning och ”keylogger-program”, kan det enkelt plockas upp från användare utan att de vet om det.

Det är i systemet inbyggt att bank-id ska stängas av vid flera felaktiga försök, men det här rundas inte av tjuvar och banditer, men av proffs genom att skapa ett lokalt mini-internet som inte är ihopkopplat med det vanliga internet, då stängs inte bank-id av vid misslyckade lösenord och en dator klarar pröva alla tänkbara kombinationer på några sekunder.

Transaktioner kapas
Det är ett så omfattande problem, att banker talar tyst om problemet. Det troligtvis största bedrägeriet som pågår är att främst större bolag vid betalningar, så ändras konto genom logga in hos företagets bank med bank-id (eller motsvarande). Det blir då stor eftersläpning innan det upptäcks, så pengarna hinner försvinna mellan olika länder.

I allmänhet är det andra personer eller företag som i förstånd eller oförstånd är med i transaktionen och får in betalningen, som sedan betalas vidare eller är betalning för ett köp.

Förbättringar
Hela Bank-id systemet baseras på samarbete mellan okunniga banker och problemet med bank-id är att det är en centralnyckel till allting i den digital världen. Det är synnerligen olämpligt sätt. En första säkerhet är förstås flera olika nycklar. Det kan fungera så myndigheter använder ett id-system, bank 1 ett och bank 2 ett annat, för swish ett tredje osv.

Olika system gör förstås att kontrollera en persons liv blir svårare, men det är på bekostnad av ett osäkert system.

Det finns mängder med andra förbättringar som kan göras men banker är ointresserade.

AI News slutliga två frågor till vår säkerhetsexpert  

Använder du själv bank-id?
Självklart inte. 

Det finns förstås risk att någon skapar eller på annat sätt skaffar ett bank-id i mitt namn, men genom att inte använda bank-id alls, så har jag i alla fall bevis om jag blir drabbad att det inte är jag som använt bank-id.

Tycker du folk ska sluta använda bank-id?
Du utsätter dig för en risk som är stor genom att använda bank-id, så om du kan tycker jag man ska överväga det. Det är också väsentligt att ta ställning vilken risk/position du har med ditt bank-id användande och konsekvenser om någon använder det obehörigt, för ditt beslut.

Vidare kan du begränsa användande till en enhet. Du kan också minska användande och din risk, genom logga in på bank med t.ex. dosa. 
Undvika bank-id som inloggning för diverse tjänster. Du kan också använda t.ex. Freja-id och använda den för tjänster den stödjer, så sprider du risken som du har en till nyckel.

Du ska också tänka på det kan vara bättre kassera din dator/mobil än sälja den för 500 kr när du byter ut den osv.

Tänk på risken vid hjälp, reparationer och okända wifi-nätverk.