LÍ og svikahrappar

[rapport]

https://www.mbl.is/frettir/innlent/2023 ... ig_abyrgd/

Ég er einhvernvegin viss um að þetta gæti ekki gerst hjá Íslandsbanka þar sem til viðbótar er PIN og ákveðið viðbótarvesen þegar maður millifærir á nýjan aðila.

Mér finnst það öryggisgalli að ein auðkenning dugi fyrir uppsetningu á appinu og þá sé strax opið fyrir að tæma alla reikninga án auðkenningar.

Finnst að LÍ ætti að sjá sóma sinn í að taka ábyrgð á þessu, þetta öryggisstig/ráðstafanir eru verri en hjá öðrum.

[gutti]

honum var nær að opna linkinn sérlega þegar er búið vara við ekki að opna linkinn !!

[rapport]

honum var nær að opna linkinn sérlega þegar er búið vara við ekki að opna linkinn !!

Bankinn virðist vera búinn að gera þetta ferli einstaklega þægilegt fyrir svikahrappa og er ekki að bjóða kúnnunum sínum valkosti um stífara öryggi, eða bjóða almennt stífara öryggi með möguleika á verra öryggi á eigin ábyrgð.

Þetta finnst mér vera ljótir viðskiptahættir.

[Baldurmar]

honum var nær að opna linkinn sérlega þegar er búið vara við ekki að opna linkinn !!

Victim blaming ?

[forumgater]

Skömmu síðar fékk hún aðra meld­ingu um að samþykkja færslu upp á 33 þúsund krón­ur.

„Ég kannaðist ekki við þá færslu og hafnaði henni, þar sem það var í mín­um huga ljóst að hún ætti ekki rétt á sér. Á þeim tíma­punkti áttaði ég mig á að svika­hrapp­ar hefðu kom­ist yfir korta­upp­lýs­ing­ar mín­ar og tek­ist að stela af mér 500 krón­um.“

Þetta er í samræmi við það sem er venjan hjá mér, nota samt appið takmarkað.

Venjan er að ég þurfi að samþykkja allar færslur með rafrænum skilríkjum. Visa/Borgun/Rapyd/Whatever er meira segja farið að krefjast auðkenningar á kortafærslum á netinu.

Ef það er nánast hægt að tæma reikninga án þess að það komi beiðni um auðkenningu þá er eitthvað alvarlegt að hjá bankanum.

[GuðjónR]

Sumir bankar hafa það þannig að ef þú ert að leggja inn á reikning sem þú hefur ekki lagt inn á áður þá þarftu auðkenningu.

[Revenant]

Lífauðkenning (sem flokkast sem sterk auðkenning) var sett upp eftir auðkenningu með rafrænum skilríkjum (sem er sterk auðkenning).

Hvernig á bankinn að greina á milli "alvöru" og "svika" í svona tilfellum?

Greining á svikum er nefnilega mjög erfitt mál því munur á svikum og raunveruleika getur verið mjög lítill. Með PSD2 tilskipunni er krafist strekrar auðkenningar við ákveðnar aðgerðir (s.s. kaup á netinu o.fl) sem varpar ábyrgðinni yfir á neytendur hvort þetta sé "rétt" eða "rangt".

Rót vandans er að fólk les ekki það sem það er að staðfesta/skrifa undir sem sýnir hversu kæruleysislega við förum með rafræn skilríki.

Er betra að bankar taki sér alræðisvald hvað við megum nota peninginn okkar í í nafni öryggis?

[jonfr1900]

Öryggisgallinn virðist vera hérna að hægt er að bæta við tækjum við banka aðgangana (þetta er hægt að sjá í stillingum). Þetta ætti alls ekki að vera hægt undir neinum kringumstæðum.

[rapport]

Lífauðkenning (sem flokkast sem sterk auðkenning) var sett upp eftir auðkenningu með rafrænum skilríkjum (sem er sterk auðkenning).

Hvernig á bankinn að greina á milli "alvöru" og "svika" í svona tilfellum?

Greining á svikum er nefnilega mjög erfitt mál því munur á svikum og raunveruleika getur verið mjög lítill. Með PSD2 tilskipunni er krafist strekrar auðkenningar við ákveðnar aðgerðir (s.s. kaup á netinu o.fl) sem varpar ábyrgðinni yfir á neytendur hvort þetta sé "rétt" eða "rangt".

Rót vandans er að fólk les ekki það sem það er að staðfesta/skrifa undir sem sýnir hversu kæruleysislega við förum með rafræn skilríki.

Er betra að bankar taki sér alræðisvald hvað við megum nota peninginn okkar í í nafni öryggis?

Er það ekki vanhugsað hjá LÍ að treysta lífauðkenningu til að opna tæki, til jafns við rafræn skilríki þegar verið er að tæma reikninga fólks?

Einföld útfærsla t.d. að upphæðir yfir 10% af innistæðu eða heimild korts þyrftu auðkenningu.

Af hverju fær fólk ekki að stilla þetta sjálft ef bankinn ætlar ekki að bera neina ábyrgð.

[kiddi88]

Hef pælt í þessu með bankann minn og aðra sambærilega þjónustu. Eina sem þarf til að logga inn er 4-6 stafa pin í gegnum rafræn skilríki(og vera með síman unlocked). Þó svo það sé sett auka auðkenning á bankaappið að þá er hægt að fara framhjá því með því að logga sig inn á bankavefsíðunni. Ekkert username og/eða password til að gera þetta einu sinni aðeins flóknara. En svo til að millifæra þarf auka pin, en þá er maður samt sem áður þegar komin inn í allt annað.

[Viktor]

En svo til að millifæra þarf auka pin, en þá er maður samt sem áður þegar komin inn í allt annað.

Það þarf ekki lengur PIN í appinu. Stórfurðulegt.

[Revenant]

Lífauðkenning (sem flokkast sem sterk auðkenning) var sett upp eftir auðkenningu með rafrænum skilríkjum (sem er sterk auðkenning).

Hvernig á bankinn að greina á milli "alvöru" og "svika" í svona tilfellum?

Greining á svikum er nefnilega mjög erfitt mál því munur á svikum og raunveruleika getur verið mjög lítill. Með PSD2 tilskipunni er krafist strekrar auðkenningar við ákveðnar aðgerðir (s.s. kaup á netinu o.fl) sem varpar ábyrgðinni yfir á neytendur hvort þetta sé "rétt" eða "rangt".

Rót vandans er að fólk les ekki það sem það er að staðfesta/skrifa undir sem sýnir hversu kæruleysislega við förum með rafræn skilríki.

Er betra að bankar taki sér alræðisvald hvað við megum nota peninginn okkar í í nafni öryggis?

Er það ekki vanhugsað hjá LÍ að treysta lífauðkenningu til að opna tæki, til jafns við rafræn skilríki þegar verið er að tæma reikninga fólks?

Einföld útfærsla t.d. að upphæðir yfir 10% af innistæðu eða heimild korts þyrftu auðkenningu.

Af hverju fær fólk ekki að stilla þetta sjálft ef bankinn ætlar ekki að bera neina ábyrgð.

Lífauðkenni telst vera sterk auðkenning í augum laganna eins og rafræn skilríki (sjá t.d. ApplePay og Google Wallet til að greiða í verslunum).

Eins og kemur fram í fréttinni kemur fyrirspurn um rafræna undirritun frá Landsbankanum þegar lífauðkenni er stofnað sem viðskiptavinurinn þarf að undirrita:

„Ég samþykki nýtt tæki til auðkenn­ing­ar hjá Lands­bank­an­um. Auðkenn­isnr: xxxx“.

[rapport]

Lífauðkenni telst vera sterk auðkenning í augum laganna eins og rafræn skilríki (sjá t.d. ApplePay og Google Wallet til að greiða í verslunum).

Eins og kemur fram í fréttinni kemur fyrirspurn um rafræna undirritun frá Landsbankanum þegar lífauðkenni er stofnað sem viðskiptavinurinn þarf að undirrita:

„Ég samþykki nýtt tæki til auðkenn­ing­ar hjá Lands­bank­an­um. Auðkenn­isnr: xxxx“.

Þetta er ekki satt, það er ( að ég held skv. lögum) ekki hægt að nota neitt annað en rafræn skilríki til rafrænnar undirritunar.

Rafræn skilríki með tvíþátta auðkenningu eru svo alltaf sterkari og rekjanlegri en auðkenni inn á unregulated tæki.

Ef auðkenningin væri jafn sterk þá ætti að vera vitað hver átti fingrafarið sem var notað með appinu þeirra, hvaða símanúmer var á tækinu ofl. ofl. þeir hafa bara ekki skapað nægan rekjanleika.

Að samþykkja nýtt tæki til auðkenningar er LÍ að leyfa fólki að komast framhjá rafrænu skilríkjunum og ef sú þjónusta er óöruggari og auðveldari að misnota þá ættu þeir að bera hallann af því, ekki kúnninn.

[Revenant]

Lífauðkenni telst vera sterk auðkenning í augum laganna eins og rafræn skilríki (sjá t.d. ApplePay og Google Wallet til að greiða í verslunum).

Eins og kemur fram í fréttinni kemur fyrirspurn um rafræna undirritun frá Landsbankanum þegar lífauðkenni er stofnað sem viðskiptavinurinn þarf að undirrita:

„Ég samþykki nýtt tæki til auðkenn­ing­ar hjá Lands­bank­an­um. Auðkenn­isnr: xxxx“.

Þetta er ekki satt, það er ( að ég held skv. lögum) ekki hægt að nota neitt annað en rafræn skilríki til rafrænnar undirritunar.

Rafræn skilríki með tvíþátta auðkenningu eru svo alltaf sterkari og rekjanlegri en auðkenni inn á unregulated tæki.

Ef auðkenningin væri jafn sterk þá ætti að vera vitað hver átti fingrafarið sem var notað með appinu þeirra, hvaða símanúmer var á tækinu ofl. ofl. þeir hafa bara ekki skapað nægan rekjanleika.

Að samþykkja nýtt tæki til auðkenningar er LÍ að leyfa fólki að komast framhjá rafrænu skilríkjunum og ef sú þjónusta er óöruggari og auðveldari að misnota þá ættu þeir að bera hallann af því, ekki kúnninn.

Taktu eftir að ég notaði orðin "sterk auðkenning", ekki rafræn undirritun en það er sitthvor hluturinn.

Lífauðkenni = sterk auðkenning (e. strong customer authentication)
Rafræn skilríki = sterk auðkenning og rafræn (lögleg) undirritun.

Með því að setja upp lífauðkenni skrifaru undir (með rafrænum skilríkjum) að þú viljir nota aðra innskráningaraðferð heldur en rafræn skilríki en báðar aðferðir eru "sterk auðkenning" í skilningi laganna.

Lífauðkenni eru jafn sterk tæknilega séð og rafræn skilríki því þau bæði byggja á PKI tækni en munurinn er að rafræn skilríki lifa á SIM kortinu meðan lífauðkennið lifir í örgjörvanum á snjalltækninu (Secure Enclave eða Trusted Execution Environment).

Við innskráningu / millifærslu / aðrar aðgerðir þá er send áskorun (e. challenge) á tækið sem skilríki lífauðkennisins undirritar sem er síðan staðfest og geymt af bankanum.

[rapport]

Taktu eftir að ég notaði orðin "sterk auðkenning", ekki rafræn undirritun en það er sitthvor hluturinn.

Lífauðkenni = sterk auðkenning (e. strong customer authentication)
Rafræn skilríki = sterk auðkenning og rafræn (lögleg) undirritun.

Með því að setja upp lífauðkenni skrifaru undir (með rafrænum skilríkjum) að þú viljir nota aðra innskráningaraðferð heldur en rafræn skilríki en báðar aðferðir eru "sterk auðkenning" í skilningi laganna.

Lífauðkenni eru jafn sterk tæknilega séð og rafræn skilríki því þau bæði byggja á PKI tækni en munurinn er að rafræn skilríki lifa á SIM kortinu meðan lífauðkennið lifir í örgjörvanum á snjalltækninu (Secure Enclave eða Trusted Execution Environment).

Við innskráningu / millifærslu / aðrar aðgerðir þá er send áskorun (e. challenge) á tækið sem skilríki lífauðkennisins undirritar sem er síðan staðfest og geymt af bankanum.

Er þetta sterk auðkenning þegar eftir sitja engar raunverulegar upplýsingar um hver það var sem millifærði?

Að heimila að tæki sé notað til auðkenningar ætti að þýða að það tæki yrði notað sem hlekkur í MFA en ekki sjálfstæð auðkenning.

Lífkennqauðkenning er örugg ef tryggt er að lífkennin séu geymd og sannarlega tengd persónunni sem notar auðkennið en ekki bara eitthvað lífkenni á einhverju tæki.

Til að fá sama öruggi þá þyrfti örugga leið til að koma lífkenni til bankans og þetta örugga lífkenni þyrfti að vera parað við fingrafar eða andlit á tæki og ef það passar þá er auðkenningin gild.

Að gera þetta eins og gert er í dag er of einfaldlega hægt að blöffa og bankinn á ekki að bjóða upp á svona barnalega lausn.

Eins og ISB gerir, að bæta litlu PIN við gerir ferlið 10.000 sinnum öruggara, ef um millifærslu er að ræða, eins og hlítur að hafa verið málið fyrst sparnaðarreikningur var tæmdur.

[appel]

Ætti að vera hægt að hafa öryggisstillingar í þessum netbönkum þannig að það þurfi að staðfesta allar millifærslur og greiðslur (alla fjármagnsflutninga) með rafrænum skilríkjum.
Einnig ætti að vera hægt að stilla þannig að það þurfi að nota bæði lykilorð og rafræn skilríki við innskráningu í heimabanka.
Það var t.d. mjög nýlega sem landsbankinn byrjaði að nota öryggiskóða við innskráningu, áður en það kom þá hefði vel verið hægt að gera svona man-in-the-middle árás og smeygja sér inn með því að vera á undan að biðja um innskráningu.
Rafræn skilríki eru langt í frá fullkomin, en þó betra en það sem var áður. Slæmt er að þessir aðilar firra sig algjörlega af ábyrgð haldandi því fram að rafræn skilríki sé fullkomið öryggi. Manni líður bara illa með að eiga sparifé á bankabók núna, vitandi að hver sem er getur kannski komist í þetta.

[rapport]

Ætti að vera hægt að hafa öryggisstillingar í þessum netbönkum þannig að það þurfi að staðfesta allar millifærslur og greiðslur (alla fjármagnsflutninga) með rafrænum skilríkjum.
Einnig ætti að vera hægt að stilla þannig að það þurfi að nota bæði lykilorð og rafræn skilríki við innskráningu í heimabanka.
Það var t.d. mjög nýlega sem landsbankinn byrjaði að nota öryggiskóða við innskráningu, áður en það kom þá hefði vel verið hægt að gera svona man-in-the-middle árás og smeygja sér inn með því að vera á undan að biðja um innskráningu.
Rafræn skilríki eru langt í frá fullkomin, en þó betra en það sem var áður. Slæmt er að þessir aðilar firra sig algjörlega af ábyrgð haldandi því fram að rafræn skilríki sé fullkomið öryggi. Manni líður bara illa með að eiga sparifé á bankabók núna, vitandi að hver sem er getur kannski komist í þetta.

Þetta snýst líka um að viðskiptavinir þurfi ekki að bera ábyrgð á lélegum tækniútfærslum bankans.

[kiddi88]

Ætti að vera hægt að hafa öryggisstillingar í þessum netbönkum þannig að það þurfi að staðfesta allar millifærslur og greiðslur (alla fjármagnsflutninga) með rafrænum skilríkjum.
Einnig ætti að vera hægt að stilla þannig að það þurfi að nota bæði lykilorð og rafræn skilríki við innskráningu í heimabanka.
Það var t.d. mjög nýlega sem landsbankinn byrjaði að nota öryggiskóða við innskráningu, áður en það kom þá hefði vel verið hægt að gera svona man-in-the-middle árás og smeygja sér inn með því að vera á undan að biðja um innskráningu.
Rafræn skilríki eru langt í frá fullkomin, en þó betra en það sem var áður. Slæmt er að þessir aðilar firra sig algjörlega af ábyrgð haldandi því fram að rafræn skilríki sé fullkomið öryggi. Manni líður bara illa með að eiga sparifé á bankabók núna, vitandi að hver sem er getur kannski komist í þetta.

Þetta snýst líka um að viðskiptavinir þurfi ekki að bera ábyrgð á lélegum tækniútfærslum bankans.

Bankinn pælir ekkert í þessu að mér sýndist. Spurði síðast þegar ég fór í bankann hvort hægt væri að stilla fleiri auðkenningar eins og 2fa í það minnsta auk passwords. Mér var svarað að þeir biðu ekki upp á það. Bara rafræn skilríki með max 6 talna tölunúmeri.
Fyrir mér hljómar þetta ekki sterkt kerfi sen þeir nota til að vernda heimabanka(og app) viðskiptavina.
En ég veit þeir munu fría sig undan ábyrgð.

[izelord]

Mín skoðun; Það skiptir engu máli hvort einhver auðkenning flokkist sem sterk eða ekki.

Ef viðskiptavinur bætir við tæki og það tæki er síðan strax notað til að tæma alla aðgengilega reikninga þá á það að triggera eitthvað ferli. Ofan á þetta mætti skoða uppruna samskipta, frávik á uppruna mv. hefðbundna notkun.

Ef þú notar kreditkortið þitt á sama tíma á Íslandi og í Suður-Afríku þá færðu símtal. Sama ætti að gilda um ofangreint.

[Revenant]

Blákaldur raunveruleiki er sá að sama hversu miklar varnir og vöktun er sett á svona er að það er alltaf ákveðinn hluti fólks sem er platað og/eða viljandi hundsar viðvaranir.

Mannlegi þátturinn er veikasti hlekkurinn, ekki tæknin (það má síðan alltaf deila hvort að tæknin sé fullnægjandi á hverjum tímapunkti).

Ég bíð bara eftir þeim degi þegar einhver er plataður að skrifa rafrænt undir verðskuldabréf eða afsal því hann las ekki skilaboðin.
Fólk gengur nefnilega mjög kæruleysislega um rafræn skilríki miðað við hversu valdamikil þau eru.

[gtice]

Hér er reglugerðin sem svo vísar til laganna sem svo eru byggð á Evrópulögjöf um EIDAS.
https://island.is/reglugerdir/nr/0100-2020/d/2023-07-01

Það er traustlisti fyrir Ísland með þeim þjónustum sem uppfylla lögin og það eru þjónustur Auðkennis.

En aftur að upphafinu, að treysta á að notandinn geri rétt eru algeng mistök, og að treysta appinu eða auðkenningu sem er ekki rekjanleg fellur í sama flokk. Af hverju að flækja hlutina og ætlast til að notendur kunni margar auðkenningaraðferðir og hvernig beri að nota þær ? Held að það sé alveg nógu erfitt fyrir margt fólk að ráða við bara rafrænu skilríkin.

Einfalt er alltaf betra (KISS)

[jonfr1900]

Það er hægt að sjá notkun á mitt auðkenni á vefsíðu Auðkennis. Notkunaryfirlit þar er tengt við símanúmer eða auðkennisapp.

[appel]

Rafræn skilríki hafa kost, en mér hugnast ekki að hægt sé að nota þau á þá vegu að hægt er að tortíma einstaklingi ef einhver kemst yfir þau. T.d. er hægt að taka húsnæðislán upp á ansi háar fjárhæðir eingöngu með rafrænum skilríkjum, fá tugi milljónar millifærðast. Það eiga að vera einhver takmörk og það þarf að vera mannlegt eftirlit með stórum fjárhæðum og þarf kannski að fara í útibú banka til að sanna á sér deili.

Svo eru svo mörg fyrirtæki byrjuð að nota rafræn skilríki fyrir allskonar, bara innskráning inn á nánast öll tölvukerfi og þjonustuvefi á netinu. Þannig að fólk er stundum í blindni að samþykkja auðkenningarbeiðni þó það eigi jú að lesa þetta.
Ég lenti í því þegar ég var að forrita þjónustuvef sem notaði rafræn skilríki við auðkenningu, og ég var að auðkenna mig svona 50 sinnum á dag, að einhver í vinnunni prófaði upp á djók að senda auðkenningu frá banka þegar ég var að skrá mig inn á hinum vefnum, og maður bara rétt svo fattaði þetta.

Eitt rugl er þegar hægt er að ganga til gjaldkera og biðja um að taka af reikningi, og það er ekki beðið um neina auðkenningu, skilríki eða neitt. Væntanlega hafa þeir mynd af viðskiptavini,en fólk breytist í útliti og sumir líkjast öðrum, tala nú ekki um eineggja tvíbura.

Og það er óhugnalegt að hugsa til þess að eftirlitið er ekki strangara.

[Viktor]

Blákaldur raunveruleiki er sá að sama hversu miklar varnir og vöktun er sett á svona er að það er alltaf ákveðinn hluti fólks sem er platað og/eða viljandi hundsar viðvaranir.

Mannlegi þátturinn er veikasti hlekkurinn, ekki tæknin (það má síðan alltaf deila hvort að tæknin sé fullnægjandi á hverjum tímapunkti).

Ég bíð bara eftir þeim degi þegar einhver er plataður að skrifa rafrænt undir verðskuldabréf eða afsal því hann las ekki skilaboðin.
Fólk gengur nefnilega mjög kæruleysislega um rafræn skilríki miðað við hversu valdamikil þau eru.

Eina sem þarf að gera er að láta fólk velja kóða í símanum sem stendur á skjánum sem þú ert að skrá þig inn á.

Þá er ekki hægt að hleypa óvart einhverjum inn.

Það er magnað að það sé hægt að tæma reikninga hjá Landsbankanum áður en einhver svona staðfesting á sér stað.

Svo slökkva þau á PIN númerum bankareikninganna án þess að spyrja kóng né prest.

[bigggan]

Stundum langar mig tílbaka til góða gamla kóðakubburinn sem maður ytti á takka tíl að fá númer. er ennþá með svoleiðis á erlenda bankanum minum og hef enga áhuga að skipta honum út fyrir eikvað appi eða hvað sem er notað núna þar.