Enceladus skrev: ↑onsdag 30 augusti 2023 19:57
dr Cassandra Nojdh skrev: ↑onsdag 30 augusti 2023 19:30
Beskriv gärna
varför ett sådant bedrägeri inte kan ske, istället för att bara påstå det.
Kravet på personligt besök omöjliggör den typ av bedrägeri som beskrivs i videoklippet. E-legitimationer borde naturligtvis utfärdas tillsammans med pass och nationella id-kort. Det svenska förfarandet där ansvaret delegeras till kommersiella aktörer som helst vill slippa träffa sina kunder är förnuftsvidrigt.
Grundidentifiering, således. Det klarade vi väl ut här, va:
viewtopic.php?p=404294#p404294
Påståendet ovan har bara förklaringsvärde om man utgår från att bedrägerierna går till så att bedragaren skaffar sig ett eget bank-id i brottsoffrets namn, vilket kräver att offret luras att avge åtminstone två falska auktoriseringar. Men är det så bedrägerierna går till?
Sign. Odds beskrivning för hur säkerheten ska höjas:
Odd skrev: ↑onsdag 30 augusti 2023 8:28
Bank-ID har nu insett problemet som vi har identifierat för rätt länge sedan, och inför nya krav på hur man utfärdar mobilt bankid på din telefon.
De försökte ju skärpa upp det genom att införa en rörlig QR-kod som scannas med telefonen men bedragarna lärde sig snabbt att strömma koden i realtid (enkelt med en webbkamera, QR-parser och en QR-generator i webbläsaren) vilket gör fördröjningen obefintlig och förfarandet helt omöjligt att detektera.
Nu skall det krävas nationellt ID-kort eller svenskt pass för att kunna aktivera ett mobilt bankid.
Först scannas passnumret in med kameran. Detta är nyckeln för att dekryptera innehållet i chippet. Sen NFC-scannas passet och med hjälp av nyckeln för att dekryptera uppgifterna.
Men är uppgifterna i passets eller det nationella id-kortets chip att betrakta som ett hårt certifikat? Bankerna verkar ha rätt stora frihetsgrader i hur de ska tillämpa detta
BankID skrev:Exakt hur du beställer ett Mobilt BankID skiljer sig litet åt mellan olika banker
Digital kontroll av ID-handling
Det kan hända att du behöver bekräfta din identitet en extra gång. Det gör du genom att skanna och blippa ditt svenska pass eller nationella ID-kort. Se hur det går till i filmen.
Det kan hända att........
Dessutom måste man ta höjd för att de som inte är svenska medborgare också kan behöva ett eID.
Den lösning som DIGG föreslår i den utredning Enceladus-kollektivet tidigare refererade till föreslår
inte någon koppling till en ID-handling som enbart kan utfärdas för svenska medborgare:
https://digg.se/analys-och-uppfoljning/ ... gitimation
Digg skrev:Digg föreslår att den statliga e-legitimationen ges ut i formen av ett kontaktlöst aktivt kort. Digg ser den statliga e-legitimationen som ett komplement till dagens lösningar. Enligt regeringsuppdraget ska e-legitimationen vara tillgänglig för så många som möjligt och Digg bedömer att ytterligare en mobil variant som kräver en smarttelefon inte skulle bli mer tillgänglig än de mobila lösningar som redan finns att tillgå. Kravet på större tillgänglighet skulle således inte uppfyllas. Digg föreslår därför en lösning baserad på ett fysiskt kort, vilket också för med sig robusthetshöjande aspekter när e-legitimationen inte är beroende av att var och en har en fungerande smarttelefon. Digg ser också den föreslagna lösningen som en instegslösning. Den statliga e-legitimationen kan utgöra ett sätt att skaffa andra e-legitimationer, genom så kallad id-växling. Kontaktlösa aktiva kort utgör en beprövad teknik som använts under lång tid för just detta ändamål. De är också relativt billiga, från ett tjugotal kronor per styck i större volymer, och har lång livslängd. Korten kan läsas i såväl smarttelefoner och surfplattor som vanliga datorer. I anslutning till den föreslagna lösningen behöver Digg ta fram nödvändig programvara och handledningar för de olika typer av enheter som ska stödjas.
Här förslås ett statligt ID-kort där cerifikatet flyttas ut från telefonen till kortet. Andra typer av EID blir fullt tillåtna parallellt. Digg ser den statliga e-legitimationen som ett komplement till dagens lösningar, inte en ersättning. Möjligen kan man tvinga offentliga aktörer att erbjuda identifieringsmöjlighet med detta eID, men tydligen inte privata.
Digg skrev:Digg bedömer att det tidigare lämnade förslaget om att alla e-legitimationer som Digg granskat och godkänt ska kunna användas i offentliga aktörers digitala tjänster fortsatt är aktuellt. Utöver att erbjuda en ny lösning för e-legitimation krävs ytterligare åtgärder för att den statliga e-legitimationen ska nå sina användare. Den statliga e-legitimationen måste erbjudas vid inloggning hos alla aktörer i den offentliga förvaltningen och det ska inte vara valbart för aktören vilka e-legitimationer som erbjuds. Detta kräver en ny reglering, ett obligatorium.
I fallet statligt eID avses Digg tillhandahåller identifieringstjänsten
Digg föreslår att inrätta en statlig förlitandetjänst där Digg tillhandahåller både elektroniska identitetskontroller och identitetsintyg till offentlig sektor samt en statlig identifieringstjänst där Digg endast utför identitetskontroller utan att leverera identitetsintyg till privata leverantörer av identitetsintyg. Digg föreslår att upphandlande myndigheter ska kunna ansluta sig till den statliga förlitandetjänsten genom valfrihetssystemet. Digg föreslår att privata leverantörer av identitetsintyg ska kunna ansluta sig till den statliga identifieringstjänsten för att förse andra aktörer med identitetsintyg. Det gransknings- och tillståndsförfarande som följer av regelverket kring kvalitetsmärket Svensk e-legitimation ska tillämpas även för anslutning till den statliga identifieringstjänsten.
Digg uppehåller sig också en del vid det som kallas säker start i BankID
Digg skrev:Som ett skydd mot detta förfarande har BankID infört så kallad säker start. Det innebär att den som ska identifiera sig måste läsa av en optisk kod från skärmen för att starta identifieringsprocessen. Detta förhindrar bedragaren att endast via telefon förleda offret, då det också krävs att en länk eller motsvarande förmedlas till personen, och personen måste därefter klicka på länken och läsa av den optiska koden. Det är i dagsläget valfritt att använda processen, men från och med den 1 maj 2024 kommer det bli tvingande att använda säker start för BankID för samtliga förlitande digitala tjänster. Dessa åtgärder försvårar tillvägagångssätten för att genomföra telefonbedrägerier och kräver att bedragaren förleder offret genom fler och mer komplicerade steg.
Vad Odd verka säga är att bedragarna redan har forcerat detta genom att streama QR-koden i realtid via ett videosamtal.
Digg belyserdetta en del, på ett principiellt plan:
Så länge en e-legitimation kan brukas kan den missbrukas. Det finns inga tekniska sätt att få e-legitimationen att tänka åt dess innehavare. Problemen med dagens bedrägerier handlar många gånger om att förvilla och lura innehavare att använda sin e-legitimation till att göra det som bedragaren vill. Vissa modus kan förenklas eller försvåras av viss teknisk utformning, men möjligheterna kommer alltid att finnas. Den som har de bästa möjligheterna att motverka bedrägerierna är varken innehavaren eller utfärdaren av e-legitimationen, det är den förlitande aktören som i den digitala tjänsten kan bygga in spärrar och rimlighetskontroller så att de blir säkrare att använda. Digg bedömer att vissa riskindikatorer, framställda ur tekniska parametrar från användningen av e-legitimationen, skulle kunna tjäna som ett värdefullt verktyg för förlitande aktörer i att kontrollera att en viss åtgärd inte genomförs obehörigen. De rättsliga förutsättningar som behövs för att det ska kunna bli möjligt att förmedla sådana uppgifter behöver utredas vidare. Idag har innehavare av BankID ibland ett slags "konsumentskydd" genom bestämmelser i lag (2010:751) om betaltjänster (jfr. kap 5 a)137. Detta skydd stärktes nyligen genom HD:s avgörande i mål nr. T 4623-21 från 21 juni 2022138. Då en statlig e-legitimation inte omfattas av lagen om betaltjänster saknas såväl de aktsamhetskrav som ansvarsbegränsningar som där föreskrivs. Detta kan få allvarliga konsekvenser för en statlig e-legitimation, och det finns behov av att utreda skyddet för konsumenten.
Diggs utredning innehåller mycket text, mer än vad jag orkar kalasa i mig ikväll. Hur som helst har jag gott hopp om att ingenting kommer att göras åt detta. Det här kräver ju både utrednings- och lagstiftningsarbete, liksom uppbyggnad av rutiner och tekniska strukturer. Kristersson-regimen har ju som bekant en hel del annat att tänka på, dessutom har man i grunden den uppfattningen att den heliga marknaden sköter det mesta bäst, vare sig det gäller skola, sjukvård, kulturinstitutioner eller läkemedelsförsörjning. Pengar kostar det också. Så det här kan vi nog skjuta på till efter nästa Riksdagsval - åtminstone.
(ovanstående kan innehålla spår av ironi)