Tuesday, October 27th, 2020

När BankID är ett problem

Banker hanterar telefonärenden på ett sätt som gör kunder mottagliga för bedrägeriförsök. Grundproblemet är att det saknas krav på banken att autentisera/legitimera sig mot kunden. Det har betydelse när bankärenden utförs per telefon och särskilt när banken begär att kunden legitimerar sig med BankID.

Att banken begär legitimation är självklart. Även om du inte har tänkt på det är det lika självklart att banken legitimerar sig mot dig. Hur banken bevisar sin identitet för dig är ämnet för detta inlägg.

Först hade vi fysiska bankkontor. Det är mycket svårt att sätta upp en imitation av ett bankkontor, alltså ett falskt bankkontor, för att vittja folk på pengar. Det har inte fallit oss in att detta skulle kunna hända, för det är så otroligt.

Nu har vi bank på webben. Det är mycket lättare att imitera en bank på webben än i verkliga livet. Utan att gå in på detaljer finns det därför system på webben som visar att du är på din bank och inte på en imitation. Med rimlig säkerhet visar banken att den är vad den ser ut som.

Trots allt måste många bankärenden utföras på telefon, inte minst de som gäller stora belopp. Eftersom fysiska bankkontor blir färre tas de per telefon.

Nu närmar vi oss pudelns kärna. Bankens telefonkö är vanligtvis lång. Du tar möjligheten att lämna telefonnummer för att bli uppringd av banken senare. Så småningom får du ett samtal. Det börjar vanligen med att du ska legitimera dig med BankID.

  • Du vet egentligen inte vet vem som ringer. SEB, för att ta ett exempel, ringer från hemligt nummer.
  • När du legitimerar dig med BankID öppnas en dörr för den som ringer. Vilken dörr som öppnas framgår av texten “Jag legitimerar mig hos X”. Läser du den texten? Legitimerar du dig även om texten innehåller något oväntat?

Banker gör så här på rutin. Du vänjer dig vid rutinen att inte ifrågasätta identiteten hos den som ringer. Det betyder att en bedragare kan ringa upp dig och få dig att öppna en dörr med ditt BankID.

BankID fungerar som det är tänkt. Det är bankerna som använder sitt överläge mot kunden för att begära legitimation utan att legitimera sig själva.

För dig som är bankkund har jag några praktiska råd när du blir uppringd av banken:

  • Läs texten när du legitimerar dig. Avstå från att legitimera dig om du inte känner igen texten.
  • Om banken har något annat sätt att legitimera sig, exempelvis Digipass, använd det. Det öppnar inga dörrar för utomstående, bara för bankens personal.
  • Om du orkar: välj inte att bli uppringd. Bit ihop och stå kvar i telefonkön.

Kommentarer är avstängda på grund av spamfaktorn, men du kan mejla till blog KANELBULLE soderstrom PUNKT se

Topics: Digital Signatures | Comments RSS

Comments are closed.