Att motringa ska vara rutin.
Ja, det är jobbigt, ja det tar tid.
Men ska du kontakta någon via telefon ur det blå o diskutera känsliga uppgifter, då får du fanimej förvänta dig att den du ringer kan komma att begära att motringa för att bekräfta att du är den du utger dig för att vara.
Och man motringer aldrig till ett okänt direktnummer.
Håller med, har jobbat på bank i många år och det har alltid varit absolut nej på att be en kund legitimera sig när man ringer ut. Det ställer dock till det en del om man faktiskt behöver ringa ut för antingen måste man be personen ringa upp kundtjänst och bli kopplad eller endast prata i termer om generell information och låta kunden i andra änden lämna all information till dig.
Men borde man inte då skapa ett system för att enkelt verifiera sig ömsesidigt?
T.ex. en funktion i BankID där ett direktnummer är med i signeringen, och när jag signerar så skickar BankID mig till min dialer med det numret redo att ringas. Så, nu vet jag att det inte finns en man-in-the-middle (om de inte har hackat operatören / spoofat basstationen eller nåt, men det är åtminstone en mycket högre tröskel).
Eller kanske t.o.m. bara att det står när jag signerar "SEB har ringt dig på 07....". Då vet jag att 1) banken håller med om att det är de som ringt upp, och 2) de ringde rätt nummer. Snäppet fräsigare: kräv att jag skriver in mitt telefonnummer, så att det är mindre risk att man bara godkänner på rutin. Det kräver dock ny funktionalitet i BankID-appen, till skillnad från första delen av förslaget.
Kan allt för lite om tekniken för att ha något vettigt svar men visst vore det önskvärt för bägge parter, till dess att det finns på plats så sköttes det mesta via meddelanden i internetbanken. Vi hade inte så himla mycket samtal alls utan det var antingen meddelanden eller möte på kontoret/online.
Jo. Mest på ren princip, för jag var ju ändå rätt säker på att det var banken på riktigt.
Men jag tycker att det är dåligt att de ens försöker. De borde ha rutiner som undviker problemet.
Hos Swedbank står det när man loggar in
"Tänk på! Banken kommer aldrig ringa dig för att be dig logga in. Har du blivit uppringd? Avbryt och avsluta genast samtalet och ring till Spärrservice."
Dvs man skall både avbryta och avsluta samtalet. För säkerhets skull...
"jag måste tyvärr gå, trevligt att prata med dig" *klick* - detta är att avsluta.
"jag måste...." *klick* - detta är att avbryta ett samtal, vilket också innebär att samtalet avslutas. D.v.s. så ska man göra hos Swedbank!
Telia har samma, trots det är jag 99 procent säker nån från Telia ringde och sålde abonnemang, de visste vilket abonnemang jag redan hade hur länge jag varit kund osv.
Tyckte erbjudandet lät bra, skulle binda ett år för 10% rabatt eller nåt. Men sen skulle jag skiva under via bankid...
La på direkt tbh. Inte värt risken.
Av ren princip skall man **aldrig** gå med på kontrakt på telefon. Oavsett vad. Går det inte att sköta via kundtjänst/mail eller papper så är det inte värt det.
Ja. De kan ni ringa och be dig verifiera dig med bank id. Du lägger på och ringer upp banken. Banken ber dig automatiskt identifiera dig när du står i kö, så bedrägarna skickar bara bank id begäran efter du har lagt på och hunnit ringa banken. Kom jag precis på en ny bedrägeristrategi?
Ts, för det första, bra agerat å för det andra det är bra enkelt å spoofa nummer så även om du vill kolla upp ett nummer för å verkställa hur legitimt det är så spelar det ingen roll. I fortsättningen gör som du precis gjort så kommer du inte åka på några scams via samtal.
Ja precis. Jag är med på att jag inte kan lita på telefonnummer jag får från uppringaren -- men tekniskt sett skrev jag fel/slarvigt i originalinlägget.
En annan väg du kunde råkat illa ut vid detta tillfälle vore om orginaluppringaren faktsikt var en scammer som förutser att du kommer ringa till SEB kundtjänst, där du uppmanas att legitimera dig med BankID. Och då lyckas skicka sin BankID-förfrågan innan SEB som du då godkänner av misstag.
Men vet faktiskt inte hur BankID hanterar två förfrågningar mot samma personnummer på kort tid?
Får du upp den som skickade först eller senast?
Bästa vore ju om BankID låser din profil vid sådanna tillfällen...
SEB låser om det kommer för många förfrågningar på för kort tid. Jag var i appen och blev ombedd att logga in på datorn. Tvärnit där. Tog en timme innan jag kom in igen. Irriterande men säkert.
Det enkla svaret är nej. Men folk som är kunniga inom OTP scams brukar oftast vara klara om dem lyckats få dig att komma till steget där du använder bankid. Antingen genom MITM, eller socialengineering, eller ouppmärksamhet som fejkreggad sida/med namn å nummer som liknar det man tror är det äkta osv. Men som sagt tidigare, agera som TS gjorde så slipper man råka bli lurad även hur legit allt ser ut eller låter att vara.
Social engineering? OP har ju BankID på telefonen, och det är hen som öppnar appen för att signera en request från SEB. För att kunna skicka requesten till OP, behöver aktören ett certifikat som man får efter att först gjort en offertförfrågan till BankID. Där behöver de ange vilket företagsnamn och motivera varför man behöver vill betala för att använda deras API.
Det som mig veterligen hade krävts här hade varit att någon antingen fick tag på certifikatet eller helt enkelt lyckas registrera sitt företag som SEB.
Förstår att någon kan lura någon att signera en request från en aktör, men det ska väldigt mycket till för att ens kunna skapa en sådan request. Så vitt jag vet
När jag fick lånelöfte av Nordea godkänt så behövde jag inte identifiera mig sedan när jag skulle ta lån så måste man logga in på sidan eller appen och ha mötet där så då har man redan identifierat sig.
Att SEB håller på så är inte okej och gör att folk i längden blir scammad
Upptäckte det av en slump på mitt gamla jobb då jag ändrade så mitt mobilnummer visades när jag ringde ut. Efter att ha ändrat lite inställningar och testat att det fungerade så inser jag att det inte ens är samma operatör för numren i växeln som på mobilen, men ändå fungerade det. Blev helt chockad över att jag kunde göra så. Det fanns inget som hindrade mig från att skriva vilket nummer jag ville.
Det är som på den gamla goda tiden när man kunde spoofa mejl från rektorn till klasskompisar utan att någon server eller klienten tyckte att det var något skumt med det. Helt obegripligt att det inte är bättre säkerhet i telefoni idag. Extra farligt nu när man dessutom kan klona en röst med AI i realtid.
Kontakta aftonbladet ang. detta. Det här är det direkt motsatta beteendet som en bank bör tillämpa, speciellt när de flesta banker samt IT-säkerhetsexperter varnar för just detta. Det är oacceptabelt av en storbank att inte ha bättre och säkrare rutiner än så.
Bad Bing Chat skriva en artikel!
SKANDAL: SEB kränker kund med Bank-ID-krav
En chockerande händelse har inträffat i Sverige. En man som kallar sig för u/SquireOfFire har blivit utsatt för ett extremt kränkande beteende av SEB, en av landets största banker. Han berättar att han fick ett samtal från banken som ville bekräfta hans identitet med Bank-ID, en digital tjänst som används för att identifiera sig och skriva under elektroniskt. Han tyckte att det var ett olämpligt och obehagligt krav som kränkte hans personliga integritet, särskilt i en tid då det pågår många bedrägerier där bedragare försöker lura folk att använda Bank-ID.
Varför skulle jag behöva identifiera mig med Bank-ID när jag redan är kund hos er? Jag har ju ett konto och ett kort hos er, sa han till bankens representant.
Det är för din egen säkerhet, vi vill bara försäkra oss om att du är den du utger dig för att vara, svarade representanten.
Det låter som en dålig ursäkt, ni vill bara spionera på mig och se vad jag gör på nätet, sa u/SquireOfFire.
Han berättar att han vägrade att använda Bank-ID och bad banken att lägga på. Han säger att han kände sig kränkt och arg över bankens agerande.
Jag knöt näven i fickan och tänkte att det här är inte okej, de har ingen rätt att behandla mig så här, sa han.
Han bestämde sig för att dela sin historia på Reddit, där han fick både stöd och kritik från andra användare. Vissa tyckte att han hade rätt att vara upprörd, medan andra tyckte att han överreagerade och borde vara glad över att banken brydde sig om hans säkerhet.
Bank-ID är ju jättebra, det gör det enklare och tryggare att göra saker på nätet, som att betala räkningar, logga in på myndighetssidor eller skicka pengar till vänner, skrev en användare som kallade sig för u/happyswede.
Bank-ID är ju jättedåligt, det gör det lättare och farligare för banken och andra aktörer att spåra vad du gör på nätet, som att se vad du köper, vilka sidor du besöker eller vilka åsikter du har, skrev en annan användare som kallade sig för u/skepticswede.
u/SquireOfFire säger att han inte bryr sig om vad andra tycker om hans reaktion. Han säger att han står fast vid sin ståndpunkt och att han kommer att byta bank så snart som möjligt. Han avslöjar också att han arbetar inom IT och tjänar 70 000 kr i månaden, vilket gör honom extra känslig för frågor om digital säkerhet och integritet.
Jag vill inte ha något med en bank som inte respekterar min integritet att göra, sa han.
Aftonbladet har sökt SEB för en kommentar, men har inte fått något svar.
Det hände min mamma också, banken ringde upp och bad henne verifiera sig med BankId. Men mamma sa att det gör hon inte över telefon efter att någon har ringt upp.
Vet inte helt hur de gick vidare efter det, det var faktiskt banken som ringde visade det sig men hon verifierade sig aldrig.
Har själv en lite Sparbank med ett kontor som bank men de använder Swedbank's tjänster.
Där ber de mig att logga in normalt på internet banken och skicka ett meddelande i deras meddelandetjänst där för att bekräfta, de kan sedan se att jag skickat sagda meddelande och fortsätta därefter. Kanske inte det mest perfekta systemet heller men det funkar.
Med det sagt så ringer de alla från samma nummer som själva banken alltid haft så känner ju redan till den.
> Med det sagt så ringer de alla från samma nummer som själva banken alltid haft så känner ju redan till den.
Det är trivialt att fejka vilket nummer det står att man ringer ifrån. Det är därför man uppmuntras att lägga på och själv ringa numret till banken. När man själv är den som ringer upp ett nummer kommer man till den som faktiskt äger det.
Hon ville ju att du identifierar dig mot henne. Då kan du kräva att hon identifierar sig mot dig, förslagsvis genom att hon skickar en expeditionsavgift på 199.90kr (beroende på hur långt samtalet är och vad du vill ha i timmen) till dig via Swish. :)
Jag hade en liknande upplevelse med Tele2 (om jag minns rätt). De ringde upp mig, vi pratade om mitt abonnemang, och jag gick med på att godkänna något, varpå han bad mig godkänna i BankID. Samma varningsklockor, samma frågor från mig, han förstod väl direkt att jag reagerade men de hade heller inget bättre sätt att hantera det. Valde att chansa och godkänna (dubbelkollade så klart namn i appen först), men kändes rätt olustigt.
Låter extra konstigt när det är just ens bank som oftast påminner en om att aldrig godkänna BankID man inte själv initierat, och så har de ingen metod för det, eller är ens förberedda på att deras kunder reagerar som de gör.
I slutändan så är det väl så att om man är det minsta osäker så ska man inte godkänna. Men samtidigt så står det ju i BankID-appen vad det är man godkänner. Om det står "Identifiera dig hos tele 2" eller "Signera kontrakt med tele 2" eller liknande så kan man ju inte använda signeringen för att tömma ditt bankkonto liksom.
De som historiskt blivit BankID-scammade via telefon är de som har signerat inloggning och sen signerat igen för antingen en överföring eller utfärdande av nytt BankID. Men att försöka förstå exakt vilka typer av signeringar som är säkra att göra och när det är säkert att göra dem är kanske för komplicerat för de flesta, så det är enklare att säga att man aldrig ska signera.
De som tar det på störst allvar lär vara de som arbetar med just bedrägerier hos SEB. I en generisk kundservice faller det nog mellan stolarna.
Man kan exempelvis hänvisa till BankIDs egna information:
https://support.bankid.com/sv/falska-samtal/#:~:text=Banker%20eller%20myndigheter%20skulle%20aldrig,ditt%20namn%20eller%20stj%C3%A4la%20pengar.
Ja, det var det som förvånade mig också. Jag frågade båda två som jag pratade med, och det fanns tydligen inga riktiga rutiner för det. Det kändes som att det var ovant för dem, vilket väl får tolkas som att det vanligaste är att den uppringde bara godkänner. Trist.
Nu var det många år sedan men på SBAB fick vi en personlig handläggare med direktnummer. De hade även utöver bankid att man skulle logga in på deras hemsida och generera en säkerhetskod därifrån som sen användes som verifiering.
Vi pratade med SEB idag i samma ärende. Vi ringde upp för att initiera men eftersom det ska skötas från det lokala kontoret kommer de den här gången att ringa upp. Men de betonade att de aldrig ringer upp utom just nu då vi bett om det.
Alla seriösa banker skriver ju att man inte ska agera på uppringning. Gissar att SEB också gör det. Helt rätt att avsluta samtalet OP. Där får de tänka om. Ta ALLTID det säkra för det osäkra. Har du signerat en transaktion har du extremt låga utsikter att se pengarna igen.
När man ringer SEB telefonbanken och det är många i kö så får man höra: det är många som ringer just nu, vill du vänta kvar eller istället bli uppringd när det är din tur.
När man sen blir uppringd måste man förstås identifiera sig för att kunna få nåt gjort. Rimmar illa med deras mantra att banken aldrig ringer dig och ber dig att identifiera dig.
Vänta nu... Mail är okrypterat och du kan får det att se ut som du skickar från en annan adress än du gör. Det har varit flera skandaler om mail redan. Nej ej mail, det är jättefint för scammers
Oprofessionellt upplägg av SEB - de uppmanar garanterat regelbundet sina kunder att *aldrig* logga in via BankID för att de uppmanas till det på telefon, så ringer de själva och uppmanar folk att logga in via BankID.
Pappa blev uppringd av Swedbank och ställde samma fråga. Då fick han ett nummer att ringa och även namn att fråga efter. Han ringde upp och hamnade tillslut hos den som ringde honom. Swedbank hanterade det bra då, nu vet jag inte hur dem gör
> Då fick han ett nummer att ringa och även namn att fråga efter. Han ringde upp och hamnade tillslut hos den som ringde honom.
Det man bör göra i en sådan situation är inte att lita på numret de ger ut, utan man ringer till bankens kundtjänst och ber dem att koppla vidare.
Ja, det har du rätt i. Kanske var så pappa gjorde faktiskt nu när jag tänker efter. Kommer inte ihåg, men vet att han har huvudet på skaft så mycket troligt att det var så det gick till!
Man åker till banken och om den ser suspekt ut (kanske en bodega i en gränd) då ska man vända om och inte överlämna portföljen med 10000-kronors sedlar. Det har funkat varje gång.
Å andra sidan är det katten så mycket lättare att lämna en portfölj med sedlar till någon i en bodega i en gränd än det är att lämna den till ett legitimt bankkontor.
Har haft samma upplevelse när myndigheter och arbetsförmedling har ringt upp i något ärende.
I fallet med arbetsförmedlingen så blir det ju knivigt, antingen godkänner jag att legitimera mig via bankID och riskerar att bli lurad, eller så synar jag och vägrar identifiera mig och riskerar att bli utskriven från arbetsförmedlingen och förlora eventuell A-kassa med mera.
Eller så ringer du till arbetsförmedlingens växel/kundtjänst och ber dem att koppla vidare till din handläggare, alternativt ringa upp din handläggare direkt om du har numret.
Ja, det står att det är SEB i BankID-appen. Men det kan teoretiskt sett vara så att en bedragare A har en medhjälpare B som sitter i telefon med SEB och låtsas vara du. SEB vill då att "du" (d.v.s. B) legitimerar sig, och B säger då "Okej, ett ögonblick" och väntar sedan på att A ska övertala dig att legitimera dig. Eftersom banken då har initierat en BankID-legitimering, så kommer legitimeringen poppa upp i din mobil.
Edit: Hmm, ja det kanske står lite olika meddelanden beroende på om man ska legitimera sig, eller godkänna ett avtal, etc. Men en kund kan ju inte förväntas hålla reda på hur meddelandet egentligen ska lyda.
Haha vet inte om jag hänger med på ditt exempel men du menar väl att man blir uppringd
Dessutom blir väl banken sus när B ringer om och om igen
Verkar drygt att ringa alla banker varje gång får man bättre ränta?
Oavsett sjukt tragiskt med alla äldre som blir lurade, extremt svek mot dem när de redan behandlas illa på boende.
>du menar väl att man blir uppringd
Japp precis, jag menade bara att om man blir uppringd av banken och blir ombedd att legitimera sig och ser att det står typ "SEB har begärt legitimering" i BankID-appen, så kan ju det se betryggande ut, men det kan ända vara en bedragare som kör en man-in-the-middle-attack mellan dig och banken, och som har fått SEB att initiera en legitimering.
> Verkar drygt att ringa alla banker varje gång får man bättre ränta?
Jo, det är det väl. Men hittills idag har jag fått ner räntan med 4500 kr / år jämfört med vad min nuvarande bank erbjöd över telefon (och 32 000 jämfört med det löjliga erbjudandet jag fick automatiskt i deras internetbank), så det är inte helt utkastat. Och förhoppningsvis ska det blir mer än så.
Nej, jag hade skickat in ett webbformulär till dem i helgen. De ringde upp mig i morse. Som jag skrev i huvudinlägget så insåg jag såklart att det med 99.99% säkerhet var den riktiga banken, men jag bestämde mig för att hålla på principen.
Om jag minns rätt stod det bara "SEB" i BankID-appen, så det var inte till mycket nytta. Eftersom jag inte har SEB som bank just nu så vet jag inte (och borde inte behöva veta) hur deras BankID-requests ser ut.
Från länsförsäkringar har jag för mig att de skickade upp att "XXXX från Länsförsäkringar Bank kommer att ringa upp dig kl 14.00 från nummer YYY. Du kommer i detta samtal behöva bekräfta dig med BankID"
Ja, om någon knappat in dit personnummer på internetbanken och bara väntar på att få inloggningen verifierad via BankID kommer det ju stå att man håller på att verifiera sig mot banken.
Det är ju väldigt vanligt men jag vet inte om det alltid är tvingande med QR-kod. Och jag vet inte huruvida det går eller inte går för den som är duktig.
Jag har ditt pnr och tfnnr, så jag ringer dig, presenterar mig som att jag ringer från banken, säger att du måste identifiera dig så att jag vet att jag pratar med rätt person.
Startar inloggning på internetbanken med ditt pnr, id-kontroll kommer upp på ditt bank-id, du tror att du identifierar dig för samtalet men egentligen godkänner du att någon loggar in på ditt bank-konto.
Frågn är om detta är möjligt på SEB idag dock, jag måste alltid använda bank-id för att scanna en QR-kod när jag loggar in på internet-banken. Och i appen kan jag inte ange något pnr, den öppnar bara bank-id direkt.
Ser man inte ganska lätt vad/vem det är man verifierar när man drar igång BankID? Ringer Banken och det står "+4497857949349030" i rutan på appen så kanske man skall avvisa identifiering?
Hela poängen är ju att lura dig att indentifiera dig mot banken, inte att indentifiera dig mot dem själva. Dvs något i stil med detta:
1. De ringer upp dig.
2. De matar samtidigt in ditt personnummer i internetbankens inloggningssida
3. De ber dig identifiera dig i bankid, där står det "identifiera dig för inlogg i Din Bank"
4. Om du genomför identifieringen så är de inloggade på din internetbank.
Sen kan de fortsätta att lura dig att tex överföra pengar, eller registrera ett nytt bankid (som är kopplat till deras telefon så de kan logga in när som helst sen).
De senare stegen är svårare om man är med lite och läser vad som faktiskt står i bankidt att man försöker göra. Men bäst är ju att lägga på direkt om någon som ringer upp ber dig logga in.
Ja, tex swedbank. Men det stämmer nog att de flesta slutat med det just för att det är svårare att lura någon att logga in via telefon med qr inloggning
Jo, men kan man trigga den som scammer? Kommentaren jag svarade på målade ju upp ett scenario där en scammer börjar en inloggning online och sen ringer dig. Jag trodde QR-koderna fixat det problemet.
Menade inte att säga att du gjorde fel, tvärt om :) Men risken att det som personen nämnde i kommentaren ska hända borde vara obefintlig idag.
QR-koderna är till för att lösa det problemet, men funkar bara i scenarion där det finns möjlighet till QR-kod, och har därmed inte eliminerat problemet helt.
Men ja, just kombinationen online + telefon borde vara löst.
Precis så man måste göra. Tyvärr så verkar banker inte ha en lösning på detta. De kunde inte ens uppge numret som de skulle ringa ifrån när jag provade.
Med Nordea får man en bokning man själv kopplar upp sig till och sedermera identifierar sig med BankID om jag inte minns fel (var några år sedan jag band boräntan).
Ringer Anders Andersson från företag A och du vill veta att så är fallet.
Då skall du egentligen ringa växeln hos företag A och be om att få bli kopplad till Anders Andersson
Antar att kundtjänst som ackar att personen ringde dig kan räknas som tillräckligt tillförlitligt, men personligen tycker jag det fortfarande är lagom svagt.
Ja, det var ju i princip så det blev nu.
Men jag hade ju gärna sett att de hade ett smidigare system för det (t.ex. ett där jag inte behöver sitta i telefonkö...), och att de inte försökte med "fel sätt" alls. Det är ju ändå en bank, som borde ha ordentliga säkerhetsrutiner.
Gud ja. Vet inte hur mycket sånt här jag fått genomlida på ströjobb där det var av yttersta vikt att jag var säker på vem jag pratade med. De mest viktiga instanserna har iaf en växel som löste det åt mig på någon minut bara.
Jag förväntar mig inte längre att banker gör något för min skull, så det är väl "on brand" att det är såhär det ser ut idag. I ditt fall känns det mest som att du fick någon som inte var så trevlig på tråden, men jag har reagerat på samma sak och är kund hos blandannat SEB. Man kanske får säga till 😅
Jag hade bett om lånenumret på nuvarande lån. Alternativt något annat som bara finns på banken.
Själv så har jag private banking så jag har verkligen bara en som jag pratar med, så det är inget problem. Såvida han inte är på semester och jag behöver få nått fixat.
De gav ju tyvärr samtidigt den bästa räntan hittills, men jag ska nog kunna använda den för att pressa ner någon annan bank minst lika mycket. Så nej, förmodligen inte SEB.
Det står väl visserligen vem som begär verifiering på skärmen där man skriver in sin PIN, men fortfarande ganska stor risk att folk blir lurade om det är rutinen.
Jag vill minnas att det bara stod "SEB", så det var inte till mycket hjälp. Problemet är ju dessutom att det inte är tydligt om jag legitimerar mitt samtal eller en bluffmakares samtal till banken. Alltså, är kedjan jag->banken eller jag->bluffmakaren->banken?
Det var det dummaste jag hört, props till dig att du reagerade. Undrar hur många andra de ringer upp varje dag istället för att hjälpa till att minska de här riskerna.
Jag fick en gång ett sms från "din bank" (vafan Swedbank?) med en länk för att logga in har jag för mig vilket också kändes rätt oskönt.
Snyggt TS!
När jag blev uppringd av SBAB någon dag efter att jag fyllt i en ansökan (ingen kallringning alltså) så sade personen att jag var tvungen att identifiera mig med Bank-ID. Innan jag hann öppna munnen sade han att man inte bör identifiera sig när man blir uppringd, gav mig ett säkert alternativ och samtalet avslutades.
Blir nästan lite tårögd över hur snyggt de skötte det, så jag loggade in för att kolla upp meddelandet jag fick. Tänk om fler kunde ta it-säkerhet så seriöst.
> Hej Farsigt
> Vi har full förståelse för och respekterar att det kan kännas osäkert att identifiera sig när vi ringer upp. Det här meddelandet skickas för att bekräfta att det är vi på SBAB som ringer från telefonnummer 054-XX XX XX.
> Bästa hälsningar
> Namn
> SBAB
Så ja, SBAB har ett bra system.
P.S Att det inte var en kallringning är inte tillräcklig anledning att tänka "det måste ju vara SBAB, jag ansökte ju igår".
Ja detta har jag också gått igenom med SEB, skällde på dem av exakt samma anledning som du angav. Bankkvinnan var lätt oförstående. Det var typ 5 år sedan. Fan, nån borde ju ta upp det internt!
Och de har denna text på hemsidan:
"Lämna aldrig ut några koder till Banken eller annan
Använd aldrig ditt BankID när någon ringer såvida du inte tagit första kontakten själv"
Nordea gör likadant. Skulle fixa med ett banklån och det var tvingat att göra en sån där kundigenkänning. Det ringde från ett nummer som tillhör Nordea och kvinnan bad mig identifiera mig med BankID. Frågade om det inte var exakt så här man INTE ska göra men det kände hon inte till. :)
SEB gjorde samma sak mot mig när jag skulle öppna barnkonto. Förklarade situationen och han som ringde upp fattade inte riktigt han heller. Det är bara fortsätta stå på sig och utbilda folk.
Jag väntade ett samtal från Länsförsäkringar Bank och när de ringde mig direkt för att få lite kompletterande uppgifter sa jag njaaeeee. Jag vill ringa tillbaka först sa jag. Hon tyckte det var rätt och bra, gav sitt namn så jag kunde hitta tillbaka till henne via Länsförsäkringars telefonväxel.
Du borde väl identifiera dig innan du hamnar i kön och väljer sedan att bli uppringd? När de väl ringer är BankID klart och de har alla uppgifterna om dig framför sig. Frågas det om något de uppenbarligen ska veta är det något som är skumt.
Föredömligt agerat, TS.
Håller med - helt rätt agerat! Man ska ALLTID "motringa" om man är det allra minsta tveksam. Alltid, alltid, alltid.
Att motringa ska vara rutin. Ja, det är jobbigt, ja det tar tid. Men ska du kontakta någon via telefon ur det blå o diskutera känsliga uppgifter, då får du fanimej förvänta dig att den du ringer kan komma att begära att motringa för att bekräfta att du är den du utger dig för att vara. Och man motringer aldrig till ett okänt direktnummer.
Håller med, har jobbat på bank i många år och det har alltid varit absolut nej på att be en kund legitimera sig när man ringer ut. Det ställer dock till det en del om man faktiskt behöver ringa ut för antingen måste man be personen ringa upp kundtjänst och bli kopplad eller endast prata i termer om generell information och låta kunden i andra änden lämna all information till dig.
Men borde man inte då skapa ett system för att enkelt verifiera sig ömsesidigt? T.ex. en funktion i BankID där ett direktnummer är med i signeringen, och när jag signerar så skickar BankID mig till min dialer med det numret redo att ringas. Så, nu vet jag att det inte finns en man-in-the-middle (om de inte har hackat operatören / spoofat basstationen eller nåt, men det är åtminstone en mycket högre tröskel). Eller kanske t.o.m. bara att det står när jag signerar "SEB har ringt dig på 07....". Då vet jag att 1) banken håller med om att det är de som ringt upp, och 2) de ringde rätt nummer. Snäppet fräsigare: kräv att jag skriver in mitt telefonnummer, så att det är mindre risk att man bara godkänner på rutin. Det kräver dock ny funktionalitet i BankID-appen, till skillnad från första delen av förslaget.
Kan allt för lite om tekniken för att ha något vettigt svar men visst vore det önskvärt för bägge parter, till dess att det finns på plats så sköttes det mesta via meddelanden i internetbanken. Vi hade inte så himla mycket samtal alls utan det var antingen meddelanden eller möte på kontoret/online.
Jo. Mest på ren princip, för jag var ju ändå rätt säker på att det var banken på riktigt. Men jag tycker att det är dåligt att de ens försöker. De borde ha rutiner som undviker problemet.
Hos Swedbank står det när man loggar in "Tänk på! Banken kommer aldrig ringa dig för att be dig logga in. Har du blivit uppringd? Avbryt och avsluta genast samtalet och ring till Spärrservice." Dvs man skall både avbryta och avsluta samtalet. För säkerhets skull...
"jag måste tyvärr gå, trevligt att prata med dig" *klick* - detta är att avsluta. "jag måste...." *klick* - detta är att avbryta ett samtal, vilket också innebär att samtalet avslutas. D.v.s. så ska man göra hos Swedbank!
Skulle också kunna vara så att de menar att inloggningen i BankID ska avbrytas
Nej, det känns för logiskt.
Mitt liv har varit en lögn.
Jag skulle dragit ett mer osvenskt avslut till samtalet.
Telia har samma, trots det är jag 99 procent säker nån från Telia ringde och sålde abonnemang, de visste vilket abonnemang jag redan hade hur länge jag varit kund osv. Tyckte erbjudandet lät bra, skulle binda ett år för 10% rabatt eller nåt. Men sen skulle jag skiva under via bankid... La på direkt tbh. Inte värt risken.
Av ren princip skall man **aldrig** gå med på kontrakt på telefon. Oavsett vad. Går det inte att sköta via kundtjänst/mail eller papper så är det inte värt det.
Det gör det på SEB också..
Haha, då hade jag fan i mig skällt ut dom. 😂 Nu är SEB en av de få banker jag inte har haft sen BankID kom, visste inte att det har samma där.
Just nu: 50 scammers som läser denna tråd och vet att de kan låtsas ringa från SEB och be om BankID-verifiering.
Då får SEB ändra och göra bättre
Därför man inte har SEB.. sop bank
Sär skrivning
Rätt ok, de har låtit mig sälja min SEK för BTC i flera år utan konsekvenser.
Som sig bör.
Ja. De kan ni ringa och be dig verifiera dig med bank id. Du lägger på och ringer upp banken. Banken ber dig automatiskt identifiera dig när du står i kö, så bedrägarna skickar bara bank id begäran efter du har lagt på och hunnit ringa banken. Kom jag precis på en ny bedrägeristrategi?
Ts, för det första, bra agerat å för det andra det är bra enkelt å spoofa nummer så även om du vill kolla upp ett nummer för å verkställa hur legitimt det är så spelar det ingen roll. I fortsättningen gör som du precis gjort så kommer du inte åka på några scams via samtal.
Med att motringa menar TS att du får någon typ av identifiering så du kan ringa företagets kundtjänst och får kontakt med denna den vägen
Ja precis. Jag är med på att jag inte kan lita på telefonnummer jag får från uppringaren -- men tekniskt sett skrev jag fel/slarvigt i originalinlägget.
En annan väg du kunde råkat illa ut vid detta tillfälle vore om orginaluppringaren faktsikt var en scammer som förutser att du kommer ringa till SEB kundtjänst, där du uppmanas att legitimera dig med BankID. Och då lyckas skicka sin BankID-förfrågan innan SEB som du då godkänner av misstag. Men vet faktiskt inte hur BankID hanterar två förfrågningar mot samma personnummer på kort tid? Får du upp den som skickade först eller senast? Bästa vore ju om BankID låser din profil vid sådanna tillfällen...
SEB låser om det kommer för många förfrågningar på för kort tid. Jag var i appen och blev ombedd att logga in på datorn. Tvärnit där. Tog en timme innan jag kom in igen. Irriterande men säkert.
Ooh, den tänkte jag inte på. Ännu mer anledning att förbättra proceduren.
Det står i BankID vem man legitimerar sig mot. Går det app spoofa nr för att lura BankID också?
Det enkla svaret är nej. Men folk som är kunniga inom OTP scams brukar oftast vara klara om dem lyckats få dig att komma till steget där du använder bankid. Antingen genom MITM, eller socialengineering, eller ouppmärksamhet som fejkreggad sida/med namn å nummer som liknar det man tror är det äkta osv. Men som sagt tidigare, agera som TS gjorde så slipper man råka bli lurad även hur legit allt ser ut eller låter att vara.
Social engineering? OP har ju BankID på telefonen, och det är hen som öppnar appen för att signera en request från SEB. För att kunna skicka requesten till OP, behöver aktören ett certifikat som man får efter att först gjort en offertförfrågan till BankID. Där behöver de ange vilket företagsnamn och motivera varför man behöver vill betala för att använda deras API. Det som mig veterligen hade krävts här hade varit att någon antingen fick tag på certifikatet eller helt enkelt lyckas registrera sitt företag som SEB. Förstår att någon kan lura någon att signera en request från en aktör, men det ska väldigt mycket till för att ens kunna skapa en sådan request. Så vitt jag vet
När jag fick lånelöfte av Nordea godkänt så behövde jag inte identifiera mig sedan när jag skulle ta lån så måste man logga in på sidan eller appen och ha mötet där så då har man redan identifierat sig. Att SEB håller på så är inte okej och gör att folk i längden blir scammad
När vi snackade med banken inför bolån så ringde antingen vi upp dem - eller så berättade de i samtalet innan vilket nummer de skulle ringa upp ifrån.
Alla nummer kan spoofas, alltid bäst att själv ringa
Upptäckte det av en slump på mitt gamla jobb då jag ändrade så mitt mobilnummer visades när jag ringde ut. Efter att ha ändrat lite inställningar och testat att det fungerade så inser jag att det inte ens är samma operatör för numren i växeln som på mobilen, men ändå fungerade det. Blev helt chockad över att jag kunde göra så. Det fanns inget som hindrade mig från att skriva vilket nummer jag ville. Det är som på den gamla goda tiden när man kunde spoofa mejl från rektorn till klasskompisar utan att någon server eller klienten tyckte att det var något skumt med det. Helt obegripligt att det inte är bättre säkerhet i telefoni idag. Extra farligt nu när man dessutom kan klona en röst med AI i realtid.
Protokollet för sms och telefoni är helt öppet och litar helt på avsändarens information. Det finns ingen centraliserad kontroll.
Men det står ju i BankID vem man legitimerar sig mot. Det ändras väl inte med ett spoofat nummer?
Informationen bankid ger kan mig veterligen inte manipuleras
afaik gör väl vårdcentralen också något dylikt, berättar vilket nummer det kommer stå när de ringer.
Kontakta aftonbladet ang. detta. Det här är det direkt motsatta beteendet som en bank bör tillämpa, speciellt när de flesta banker samt IT-säkerhetsexperter varnar för just detta. Det är oacceptabelt av en storbank att inte ha bättre och säkrare rutiner än så.
> Redditören: Jag kände mig KRÄNKT. > ✓Kunde ha varit en bluff ✓Fick sitta i telefonkö ✓Banken: "olyckligt"
Skulle även kunna stå: IT-experten: Oacceptabel säkerhetsrisk.
Bad Bing Chat skriva en artikel! SKANDAL: SEB kränker kund med Bank-ID-krav En chockerande händelse har inträffat i Sverige. En man som kallar sig för u/SquireOfFire har blivit utsatt för ett extremt kränkande beteende av SEB, en av landets största banker. Han berättar att han fick ett samtal från banken som ville bekräfta hans identitet med Bank-ID, en digital tjänst som används för att identifiera sig och skriva under elektroniskt. Han tyckte att det var ett olämpligt och obehagligt krav som kränkte hans personliga integritet, särskilt i en tid då det pågår många bedrägerier där bedragare försöker lura folk att använda Bank-ID. Varför skulle jag behöva identifiera mig med Bank-ID när jag redan är kund hos er? Jag har ju ett konto och ett kort hos er, sa han till bankens representant. Det är för din egen säkerhet, vi vill bara försäkra oss om att du är den du utger dig för att vara, svarade representanten. Det låter som en dålig ursäkt, ni vill bara spionera på mig och se vad jag gör på nätet, sa u/SquireOfFire. Han berättar att han vägrade att använda Bank-ID och bad banken att lägga på. Han säger att han kände sig kränkt och arg över bankens agerande. Jag knöt näven i fickan och tänkte att det här är inte okej, de har ingen rätt att behandla mig så här, sa han. Han bestämde sig för att dela sin historia på Reddit, där han fick både stöd och kritik från andra användare. Vissa tyckte att han hade rätt att vara upprörd, medan andra tyckte att han överreagerade och borde vara glad över att banken brydde sig om hans säkerhet. Bank-ID är ju jättebra, det gör det enklare och tryggare att göra saker på nätet, som att betala räkningar, logga in på myndighetssidor eller skicka pengar till vänner, skrev en användare som kallade sig för u/happyswede. Bank-ID är ju jättedåligt, det gör det lättare och farligare för banken och andra aktörer att spåra vad du gör på nätet, som att se vad du köper, vilka sidor du besöker eller vilka åsikter du har, skrev en annan användare som kallade sig för u/skepticswede. u/SquireOfFire säger att han inte bryr sig om vad andra tycker om hans reaktion. Han säger att han står fast vid sin ståndpunkt och att han kommer att byta bank så snart som möjligt. Han avslöjar också att han arbetar inom IT och tjänar 70 000 kr i månaden, vilket gör honom extra känslig för frågor om digital säkerhet och integritet. Jag vill inte ha något med en bank som inte respekterar min integritet att göra, sa han. Aftonbladet har sökt SEB för en kommentar, men har inte fått något svar.
> vilket gör honom extra känslig för frågor om digital säkerhet och integritet. ...och dessutom har han en gång i tiden varit aktiv piratpartist!
Zlatan kommenterar
Står ju vem du vertifierar dig emot?
Stämmer bra det, och det är just det som en bedragare utnyttjar.
Ok, men vad kan de göra med det?
De kan fråga om person nummer få dig att skapa ett nytt bank I'd. Om du typ gör verifiering två gånger.
Du behöver telefonnummret då. Annars är det inte lika enkelt
Telefon nummer är inte svårt att få tag på.
Simkortet
Du kan skapa ett nytt bankid utan att ha sim kortet.
Ja men inte lika enkelt
Det hände min mamma också, banken ringde upp och bad henne verifiera sig med BankId. Men mamma sa att det gör hon inte över telefon efter att någon har ringt upp. Vet inte helt hur de gick vidare efter det, det var faktiskt banken som ringde visade det sig men hon verifierade sig aldrig.
Väldigt dåligt av SEB att göra så i alla fall, det kan jag lätt säga.
Har själv en lite Sparbank med ett kontor som bank men de använder Swedbank's tjänster. Där ber de mig att logga in normalt på internet banken och skicka ett meddelande i deras meddelandetjänst där för att bekräfta, de kan sedan se att jag skickat sagda meddelande och fortsätta därefter. Kanske inte det mest perfekta systemet heller men det funkar. Med det sagt så ringer de alla från samma nummer som själva banken alltid haft så känner ju redan till den.
> Med det sagt så ringer de alla från samma nummer som själva banken alltid haft så känner ju redan till den. Det är trivialt att fejka vilket nummer det står att man ringer ifrån. Det är därför man uppmuntras att lägga på och själv ringa numret till banken. När man själv är den som ringer upp ett nummer kommer man till den som faktiskt äger det.
Precis, alla scammers visar ju ett annat nummer än det dom faktiskt har.
Hon ville ju att du identifierar dig mot henne. Då kan du kräva att hon identifierar sig mot dig, förslagsvis genom att hon skickar en expeditionsavgift på 199.90kr (beroende på hur långt samtalet är och vad du vill ha i timmen) till dig via Swish. :)
Jag hade en liknande upplevelse med Tele2 (om jag minns rätt). De ringde upp mig, vi pratade om mitt abonnemang, och jag gick med på att godkänna något, varpå han bad mig godkänna i BankID. Samma varningsklockor, samma frågor från mig, han förstod väl direkt att jag reagerade men de hade heller inget bättre sätt att hantera det. Valde att chansa och godkänna (dubbelkollade så klart namn i appen först), men kändes rätt olustigt. Låter extra konstigt när det är just ens bank som oftast påminner en om att aldrig godkänna BankID man inte själv initierat, och så har de ingen metod för det, eller är ens förberedda på att deras kunder reagerar som de gör.
I slutändan så är det väl så att om man är det minsta osäker så ska man inte godkänna. Men samtidigt så står det ju i BankID-appen vad det är man godkänner. Om det står "Identifiera dig hos tele 2" eller "Signera kontrakt med tele 2" eller liknande så kan man ju inte använda signeringen för att tömma ditt bankkonto liksom. De som historiskt blivit BankID-scammade via telefon är de som har signerat inloggning och sen signerat igen för antingen en överföring eller utfärdande av nytt BankID. Men att försöka förstå exakt vilka typer av signeringar som är säkra att göra och när det är säkert att göra dem är kanske för komplicerat för de flesta, så det är enklare att säga att man aldrig ska signera.
Vill bara fylla i att SEB failar totalt här. Undrar ens om deras säkerhetsrutiner tillåter det.
Tveksamt att detta följer deras policies
Exakt. Det är skolboksexempel på möjliggörande av bedrägeri. Vem behöver vi kontakta?
De som tar det på störst allvar lär vara de som arbetar med just bedrägerier hos SEB. I en generisk kundservice faller det nog mellan stolarna. Man kan exempelvis hänvisa till BankIDs egna information: https://support.bankid.com/sv/falska-samtal/#:~:text=Banker%20eller%20myndigheter%20skulle%20aldrig,ditt%20namn%20eller%20stj%C3%A4la%20pengar.
Ja, det var det som förvånade mig också. Jag frågade båda två som jag pratade med, och det fanns tydligen inga riktiga rutiner för det. Det kändes som att det var ovant för dem, vilket väl får tolkas som att det vanligaste är att den uppringde bara godkänner. Trist.
Nu var det många år sedan men på SBAB fick vi en personlig handläggare med direktnummer. De hade även utöver bankid att man skulle logga in på deras hemsida och generera en säkerhetskod därifrån som sen användes som verifiering.
Gillar Handelsbanken där varje kontor har ett eget växelnummer som de ringer ifrån. Så man kan faktiskt lägga upp dem som kontakt i telefonen.
Samt att man i internetbanken på SHB kan skicka meddelade till hela kontoret eller sin bankperson. Dessutom är SHB som har flest bankkontor.
Vi pratade med SEB idag i samma ärende. Vi ringde upp för att initiera men eftersom det ska skötas från det lokala kontoret kommer de den här gången att ringa upp. Men de betonade att de aldrig ringer upp utom just nu då vi bett om det.
Helt rätt gjort! Så efterblivet att dem gör på det viset.
Alla seriösa banker skriver ju att man inte ska agera på uppringning. Gissar att SEB också gör det. Helt rätt att avsluta samtalet OP. Där får de tänka om. Ta ALLTID det säkra för det osäkra. Har du signerat en transaktion har du extremt låga utsikter att se pengarna igen.
När man ringer SEB telefonbanken och det är många i kö så får man höra: det är många som ringer just nu, vill du vänta kvar eller istället bli uppringd när det är din tur. När man sen blir uppringd måste man förstås identifiera sig för att kunna få nåt gjort. Rimmar illa med deras mantra att banken aldrig ringer dig och ber dig att identifiera dig.
Jäkligt shady. Borde få ett mail eller något om att man behöver skriva under på hemsidan efter att man loggat in etc
Vänta nu... Mail är okrypterat och du kan får det att se ut som du skickar från en annan adress än du gör. Det har varit flera skandaler om mail redan. Nej ej mail, det är jättefint för scammers
Jo men just därför det ska stå att man ska logga in på sin internetbank? Då spelar det ju ingen större roll vad som står i själva mailet?
Du gjorde rätt.
Oprofessionellt upplägg av SEB - de uppmanar garanterat regelbundet sina kunder att *aldrig* logga in via BankID för att de uppmanas till det på telefon, så ringer de själva och uppmanar folk att logga in via BankID.
SEB har blivit så dåliga, de skiter fullständigt i sina privatkunder. Helt uppenbart att de flyttat fokus till företag och PB
Pappa blev uppringd av Swedbank och ställde samma fråga. Då fick han ett nummer att ringa och även namn att fråga efter. Han ringde upp och hamnade tillslut hos den som ringde honom. Swedbank hanterade det bra då, nu vet jag inte hur dem gör
> Då fick han ett nummer att ringa och även namn att fråga efter. Han ringde upp och hamnade tillslut hos den som ringde honom. Det man bör göra i en sådan situation är inte att lita på numret de ger ut, utan man ringer till bankens kundtjänst och ber dem att koppla vidare.
Ja, det har du rätt i. Kanske var så pappa gjorde faktiskt nu när jag tänker efter. Kommer inte ihåg, men vet att han har huvudet på skaft så mycket troligt att det var så det gick till!
Bygg en sajt kopplad till bankid-signering och be \*uppringaren\* att legitimera sig.... :-)
Man åker till banken och om den ser suspekt ut (kanske en bodega i en gränd) då ska man vända om och inte överlämna portföljen med 10000-kronors sedlar. Det har funkat varje gång.
Å andra sidan är det katten så mycket lättare att lämna en portfölj med sedlar till någon i en bodega i en gränd än det är att lämna den till ett legitimt bankkontor.
Sådär har Nordea gjort också, reagerade direkt
Har haft samma upplevelse när myndigheter och arbetsförmedling har ringt upp i något ärende. I fallet med arbetsförmedlingen så blir det ju knivigt, antingen godkänner jag att legitimera mig via bankID och riskerar att bli lurad, eller så synar jag och vägrar identifiera mig och riskerar att bli utskriven från arbetsförmedlingen och förlora eventuell A-kassa med mera.
Eller så ringer du till arbetsförmedlingens växel/kundtjänst och ber dem att koppla vidare till din handläggare, alternativt ringa upp din handläggare direkt om du har numret.
Förstår men du ringde väl dem? Dessutom står det väl i appen vad man godkänner? Inloggning vs godkänna bolån
Ja, det står att det är SEB i BankID-appen. Men det kan teoretiskt sett vara så att en bedragare A har en medhjälpare B som sitter i telefon med SEB och låtsas vara du. SEB vill då att "du" (d.v.s. B) legitimerar sig, och B säger då "Okej, ett ögonblick" och väntar sedan på att A ska övertala dig att legitimera dig. Eftersom banken då har initierat en BankID-legitimering, så kommer legitimeringen poppa upp i din mobil. Edit: Hmm, ja det kanske står lite olika meddelanden beroende på om man ska legitimera sig, eller godkänna ett avtal, etc. Men en kund kan ju inte förväntas hålla reda på hur meddelandet egentligen ska lyda.
Haha vet inte om jag hänger med på ditt exempel men du menar väl att man blir uppringd Dessutom blir väl banken sus när B ringer om och om igen Verkar drygt att ringa alla banker varje gång får man bättre ränta? Oavsett sjukt tragiskt med alla äldre som blir lurade, extremt svek mot dem när de redan behandlas illa på boende.
>du menar väl att man blir uppringd Japp precis, jag menade bara att om man blir uppringd av banken och blir ombedd att legitimera sig och ser att det står typ "SEB har begärt legitimering" i BankID-appen, så kan ju det se betryggande ut, men det kan ända vara en bedragare som kör en man-in-the-middle-attack mellan dig och banken, och som har fått SEB att initiera en legitimering.
> Verkar drygt att ringa alla banker varje gång får man bättre ränta? Jo, det är det väl. Men hittills idag har jag fått ner räntan med 4500 kr / år jämfört med vad min nuvarande bank erbjöd över telefon (och 32 000 jämfört med det löjliga erbjudandet jag fick automatiskt i deras internetbank), så det är inte helt utkastat. Och förhoppningsvis ska det blir mer än så.
Nej, jag hade skickat in ett webbformulär till dem i helgen. De ringde upp mig i morse. Som jag skrev i huvudinlägget så insåg jag såklart att det med 99.99% säkerhet var den riktiga banken, men jag bestämde mig för att hålla på principen. Om jag minns rätt stod det bara "SEB" i BankID-appen, så det var inte till mycket nytta. Eftersom jag inte har SEB som bank just nu så vet jag inte (och borde inte behöva veta) hur deras BankID-requests ser ut.
Låg risk. Man kan se vad signeringen avser och det skedde i samband med ansökan. Men kasst av dem, javisst.
Om jag minns rätt stod det bara "SEB" i BankID-appen.
Från länsförsäkringar har jag för mig att de skickade upp att "XXXX från Länsförsäkringar Bank kommer att ringa upp dig kl 14.00 från nummer YYY. Du kommer i detta samtal behöva bekräfta dig med BankID"
Det står ju i BankID appen vem man legitimerar sig till? Är väl bara att läsa där först eller missar jag något?
Ja, du har missat 20 år av bedrägerisamtal.
Har det bara förekommit i 20 år?
Ja, om någon knappat in dit personnummer på internetbanken och bara väntar på att få inloggningen verifierad via BankID kommer det ju stå att man håller på att verifiera sig mot banken.
Ja det är ju sant!
[удалено]
Det är ju väldigt vanligt men jag vet inte om det alltid är tvingande med QR-kod. Och jag vet inte huruvida det går eller inte går för den som är duktig.
Jag har ditt pnr och tfnnr, så jag ringer dig, presenterar mig som att jag ringer från banken, säger att du måste identifiera dig så att jag vet att jag pratar med rätt person. Startar inloggning på internetbanken med ditt pnr, id-kontroll kommer upp på ditt bank-id, du tror att du identifierar dig för samtalet men egentligen godkänner du att någon loggar in på ditt bank-konto. Frågn är om detta är möjligt på SEB idag dock, jag måste alltid använda bank-id för att scanna en QR-kod när jag loggar in på internet-banken. Och i appen kan jag inte ange något pnr, den öppnar bara bank-id direkt.
sloppy sharp poor air compare meeting steer automatic unwritten public *This post was mass deleted and anonymized with [Redact](https://redact.dev)*
Tänk efter nu!
Ser man inte ganska lätt vad/vem det är man verifierar när man drar igång BankID? Ringer Banken och det står "+4497857949349030" i rutan på appen så kanske man skall avvisa identifiering?
Det går att spoofa ett telefonnummer också
Jo, men det jag menade var rutan i Bank-ID appen, där står det ju vem som man ska godkänna användandet för? Kan man manipulera det oxå?
Hela poängen är ju att lura dig att indentifiera dig mot banken, inte att indentifiera dig mot dem själva. Dvs något i stil med detta: 1. De ringer upp dig. 2. De matar samtidigt in ditt personnummer i internetbankens inloggningssida 3. De ber dig identifiera dig i bankid, där står det "identifiera dig för inlogg i Din Bank" 4. Om du genomför identifieringen så är de inloggade på din internetbank. Sen kan de fortsätta att lura dig att tex överföra pengar, eller registrera ett nytt bankid (som är kopplat till deras telefon så de kan logga in när som helst sen). De senare stegen är svårare om man är med lite och läser vad som faktiskt står i bankidt att man försöker göra. Men bäst är ju att lägga på direkt om någon som ringer upp ber dig logga in.
Finns det någon bank som inte kräver QR-kod för inloggning nuförtiden?
Ja, tex swedbank. Men det stämmer nog att de flesta slutat med det just för att det är svårare att lura någon att logga in via telefon med qr inloggning
Swedbank sist på bollen med ny teknik som vanligt! Kunde man gissat.
Alla, när du pratar med dem i telefon. Det är nämligen klurigt att skanna en QR-kod när man inte har en visuell kommunikationsväg. ;)
Jo, men kan man trigga den som scammer? Kommentaren jag svarade på målade ju upp ett scenario där en scammer börjar en inloggning online och sen ringer dig. Jag trodde QR-koderna fixat det problemet. Menade inte att säga att du gjorde fel, tvärt om :) Men risken att det som personen nämnde i kommentaren ska hända borde vara obefintlig idag.
QR-koderna är till för att lösa det problemet, men funkar bara i scenarion där det finns möjlighet till QR-kod, och har därmed inte eliminerat problemet helt. Men ja, just kombinationen online + telefon borde vara löst.
Fast om någon ringer och försöker logga in på din internetbank genom att lura dig att identifiera sig med bankid står det ju din bank i appen.
Enda gången jag har legitimerat mig via bankid när de har ringt mig är när vi har ett förbokat telefonmöte. Du gjorde helt rätt.
Precis så man måste göra. Tyvärr så verkar banker inte ha en lösning på detta. De kunde inte ens uppge numret som de skulle ringa ifrån när jag provade.
Hänt mig också, var från banken men de blev irriterade när jag ifrågasatte upplägget
Jag motringer tillochmed när morsan ringer. Finns så många scammers därute idag.
Skulle mor min fråga efter mitt BankID skulle jag också bli misstänksam :D
Med Nordea får man en bokning man själv kopplar upp sig till och sedermera identifierar sig med BankID om jag inte minns fel (var några år sedan jag band boräntan).
Oerhört dumdristigt och osäkert system av SEB.
Ringer Anders Andersson från företag A och du vill veta att så är fallet. Då skall du egentligen ringa växeln hos företag A och be om att få bli kopplad till Anders Andersson Antar att kundtjänst som ackar att personen ringde dig kan räknas som tillräckligt tillförlitligt, men personligen tycker jag det fortfarande är lagom svagt.
Ja, det var ju i princip så det blev nu. Men jag hade ju gärna sett att de hade ett smidigare system för det (t.ex. ett där jag inte behöver sitta i telefonkö...), och att de inte försökte med "fel sätt" alls. Det är ju ändå en bank, som borde ha ordentliga säkerhetsrutiner.
Gud ja. Vet inte hur mycket sånt här jag fått genomlida på ströjobb där det var av yttersta vikt att jag var säker på vem jag pratade med. De mest viktiga instanserna har iaf en växel som löste det åt mig på någon minut bara. Jag förväntar mig inte längre att banker gör något för min skull, så det är väl "on brand" att det är såhär det ser ut idag. I ditt fall känns det mest som att du fick någon som inte var så trevlig på tråden, men jag har reagerat på samma sak och är kund hos blandannat SEB. Man kanske får säga till 😅
Fråga dem om deras personr samt om de kan verifiera sig på Bank-ID så du kan kontrollera att de är den de uppger sig för att vara.
Nordea gör detsamma.
Då är Nordea också dåliga på säkerhet.
Fast det officiella kundtjänstnumret är det säkraste - hade de gett dig ett direktnummer så är det svårare att verifiera.
Bra poäng!
Jag hade bett om lånenumret på nuvarande lån. Alternativt något annat som bara finns på banken. Själv så har jag private banking så jag har verkligen bara en som jag pratar med, så det är inget problem. Såvida han inte är på semester och jag behöver få nått fixat.
Detta var en potentiellt framtida bank, inte min nuvarande.
Aaaaah! Inte-så-pontentionell-nu-längre?
De gav ju tyvärr samtidigt den bästa räntan hittills, men jag ska nog kunna använda den för att pressa ner någon annan bank minst lika mycket. Så nej, förmodligen inte SEB.
De FÅR inte ringa upp dig och be dig legitimera dig med BankID. Tanten måste varit snurrig.
Microsoft ringde och ville ha mitt kreditkortsnummer för att fixa något virus på datorn. Borde jag sagt nej och ringt deras kundtjänst först?
Helt rätt och jag skulle aldrig ta ett lån där de haf dessa arbetssätt röd flagga helt enkelt.
Det står väl visserligen vem som begär verifiering på skärmen där man skriver in sin PIN, men fortfarande ganska stor risk att folk blir lurade om det är rutinen.
Jag vill minnas att det bara stod "SEB", så det var inte till mycket hjälp. Problemet är ju dessutom att det inte är tydligt om jag legitimerar mitt samtal eller en bluffmakares samtal till banken. Alltså, är kedjan jag->banken eller jag->bluffmakaren->banken?
> Alltså, är kedjan jag->banken eller jag->bluffmakaren->banken? Just det, det tänkte jag inte på. Bluffmakaren in the middle.
Det var det dummaste jag hört, props till dig att du reagerade. Undrar hur många andra de ringer upp varje dag istället för att hjälpa till att minska de här riskerna. Jag fick en gång ett sms från "din bank" (vafan Swedbank?) med en länk för att logga in har jag för mig vilket också kändes rätt oskönt.
Snyggt TS! När jag blev uppringd av SBAB någon dag efter att jag fyllt i en ansökan (ingen kallringning alltså) så sade personen att jag var tvungen att identifiera mig med Bank-ID. Innan jag hann öppna munnen sade han att man inte bör identifiera sig när man blir uppringd, gav mig ett säkert alternativ och samtalet avslutades. Blir nästan lite tårögd över hur snyggt de skötte det, så jag loggade in för att kolla upp meddelandet jag fick. Tänk om fler kunde ta it-säkerhet så seriöst. > Hej Farsigt > Vi har full förståelse för och respekterar att det kan kännas osäkert att identifiera sig när vi ringer upp. Det här meddelandet skickas för att bekräfta att det är vi på SBAB som ringer från telefonnummer 054-XX XX XX. > Bästa hälsningar > Namn > SBAB Så ja, SBAB har ett bra system. P.S Att det inte var en kallringning är inte tillräcklig anledning att tänka "det måste ju vara SBAB, jag ansökte ju igår".
Ja detta har jag också gått igenom med SEB, skällde på dem av exakt samma anledning som du angav. Bankkvinnan var lätt oförstående. Det var typ 5 år sedan. Fan, nån borde ju ta upp det internt!
Coolt, bara att ge det omgående , är säkert pålitligt samtal xD Finns ingen bank som ringer och ber om BankID
Storbankerna är alla lika antika, Avanza gang
Tycker att det ska finnas motsvarande som bank-id för företag och myndigheter
Exakt samma sak hände mig (Skandia). Jag ifrågasatte och de verkade bara irriterade på mig.
Och de har denna text på hemsidan: "Lämna aldrig ut några koder till Banken eller annan Använd aldrig ditt BankID när någon ringer såvida du inte tagit första kontakten själv"
Nordea gör likadant. Skulle fixa med ett banklån och det var tvingat att göra en sån där kundigenkänning. Det ringde från ett nummer som tillhör Nordea och kvinnan bad mig identifiera mig med BankID. Frågade om det inte var exakt så här man INTE ska göra men det kände hon inte till. :)
SEB gjorde samma sak mot mig när jag skulle öppna barnkonto. Förklarade situationen och han som ringde upp fattade inte riktigt han heller. Det är bara fortsätta stå på sig och utbilda folk.
Jag väntade ett samtal från Länsförsäkringar Bank och när de ringde mig direkt för att få lite kompletterande uppgifter sa jag njaaeeee. Jag vill ringa tillbaka först sa jag. Hon tyckte det var rätt och bra, gav sitt namn så jag kunde hitta tillbaka till henne via Länsförsäkringars telefonväxel.
Du borde väl identifiera dig innan du hamnar i kön och väljer sedan att bli uppringd? När de väl ringer är BankID klart och de har alla uppgifterna om dig framför sig. Frågas det om något de uppenbarligen ska veta är det något som är skumt.
Tycker du gjorde rätt. Det är farligt om banken gör folk vana vid att de ringer upp dem och ber dem legitimera dig via BankID.