Identitetstyveri

ID-svindel: Sikkerhetsekspert kritiserer bankene

Ekspert mener at bankene ikke implementerer metoder for beskytte kunder mot BankID-svindel: – Det koster bankene ingenting at svindlene skjer.

Å beskytte et passord er mye vanskeligere enn det bankene skal ha det til, mener ekspertene.

Dominic Lipinski / PA Wire
  • Leila Feratovic
Publisert:

Forsker og professor Kristian Gjøsteen ved NTNU mener at bankenes råd om å holde passordet ditt hemmelig ikke er nok for å sikre forbrukere mot svindel ved bruk av BankID.

– Problemet er at det i en rekke situasjoner er altfor vanskelig for folk flest å beskytte BankID-en sin godt nok. Dermed kan de ikke hindre misbruk av BankID-en sin, sier Gjøsteen til E24.

Han reagerer på DNBs utspill i E24 om at en kodebrikke uten et passord er ubrukelig uten et passord.

– Bankene sier at vi ikke skal dele nettbankpassordet. Det er et godt råd, men det er ikke godt nok, sier Gjøsteen.

E24 har tidligere fortalt historien om Shadi Maleki Ghozlo, som intetanende ble utsatt for svindel da hennes tidligere bank utstedte en ny bankID-kodebrikke til hennes gamle adresse. Shadi ble frikjent i Drammen tingrett.

Kristian Gjøsteen er professor ved NTNU

NTNU

Mener beskyttelsesmetoder ikke blir brukt

Gjøsteen har forsket på BankID og sikkerhet knyttet til instrumentet siden tidlig 2000-tall da BankID først ble lansert. En av de store risikoene mener han er knyttet til hvordan vi som forbrukere skal klare å beskytte et passord.

– Det er vanskelig for folk flest å vite hvem de ikke kan stole på, og det er mye vanskeligere å hindre noen i å snappe opp passord når man sitter sammen foran en datamaskin. Merk at bankene anbefaler at vi hjelper hverandre.

Som forbruker har du svært få muligheter for å beskytte deg selv, mener han.

– Bankene kan gjøre det lettere for kundene å beskytte seg mot visse former for svindel. I dag hindrer bankenes tekniske løsning kundene i å bruke visse beskyttelsesteknologier, og det er sannsynligvis dumt.

Hvorvidt bankene gjør nok for å oppdage lånesvindel, er heller ikke sikkert ifølge Gjøsteen.

– Det finnes en del veletablerte teknikker bankene kan bruke for å oppdage mange former for lånesvindel. De kan neppe hindre all lånesvindel, men det kan stoppe mye svindel. Bankene bruker ikke disse teknikkene for å hindre lånesvindel, men de bruker lignende teknikker for å hindre kredittkortsvindel.

– Er forbrukere klare over risikoen med BankID?

– Jeg har ikke inntrykk av det. Men selv når man er klar over risikoen så er det lite man kan gjøre for å hindre en del svindel. Det som kanskje er mer bekymringsfullt er at heller ikke politikere og rettsvesen ser ut til å være klar over risikoen med BankID.

Les også

Professor mener ID-svindel kan være lønnsomt for bankene

Les også

ID-svindel: DNB endrer rutiner etter E24-avsløring

Sikkerhetsnivå fire: - Ikke særlig sikkert

Ifølge tall fra Finans Norge brukes BankID av 3,3 millioner nordmenn. BankID er eid av bankene, i tillegg til BankID benyttes til innlogging til blant annet den offentlige tjenesten Altinn.

BankID har sikkerhetsnivå fire, som er det høyest mulige nivået. Dette innebærer såkalt «tolagsidentifikasjon», som betyr at du får en ekstra engangskode i tilleggg til et personlig passord.

Men eksperten er skeptisk til hva nviået egentlig betyr for kundene.

Han mener at selv om identifikasjonsløsningen er den høyest mulige, er det et ikke ensbetydende med umulig å misbruke.

– Bankene sier at BankID er på det høyeste sikkerhetsnivået, men det er ikke særlig sikkert. Veldig lett å misforstå dette med sikkerhetsnivå dersom du ikke er godt bevandret i informasjonssikkerhet, sier han.

– Bankene får pengene tilbake

– Dersom BankID har noen sikkerhetsrisikoer, hvorfor gjør bankene ingenting med det?

– Spørsmålet er heller: Hvorfor skulle de gjøre noe med det? Med dagens rettspraksis har bankene liten eller ingen risiko som følge av denne lånesvindelen. Bankene får jo pengene sine tilbake, og ser tilsynelatende ikke ut til å bry seg om hvem de får dem tilbake fra. Så hvorfor skulle de gidde å gjøre noe med dette, spør Gjøsteen.

Les også

DNB-sjefen: ID-tyveri «kjempeutfordrende» for ofrene

Slik svarer BankID:

E24 sendte disse spørsmålene til BankID:

- Hvilke beskyttelsesteknologier har man som forbruker for å beskytte seg mot svindel via BankID?

- Til tross for at BankID oppfyller kravet for det høyeste sikkerhetsnivået (4), opplever noen at passord blir stjålet/gjettet, og at kodebrikken også blir stjålet. Hvordan sikre seg mot dette?

– Det aller viktigste brukerne må huske på er at BankID er personlig, og skal ikke deles med noen - selv ikke i nære relasjoner. Dersom noen spør å låne din BankID er det en ting å huske på, og det er å si nei. Man skal alltid huske på hvor man har kodebrikken, selv om du bruker BankID på mobil i størst grad, skriver BankIDs kommunikasjonssjef, Hanne Kjærnes, i en e-post til E24.

Kjærnes opplyser om at BankID har satt i gang en større holdningskampanje for å skape bevissthet rundt vern av passord og kodebrikke.

– Brukernes vern om eget passord og kodebrikker og koder er kanskje den største utfordringen slik det er nå, og derfor har vi satt i gang en større holdningskampanje for å få større bevissthet samtidig som vi jobber med å videreutvikle løsningene slik at vi får slutt på dette. Sistnevnte er en utrolig viktig prioritet, men det tar tid.

Les også

Rundt 1.000 DNB-kort rammet av nye svindelforsøk

Les også

Ny undersøkelse: Over 100.000 utsatt for ID-tyveri siste to år

Her kan du lese mer om

  1. Identitetstyveri
  2. BankID
  3. Svindel
  4. Sikkerhet
mail
E24

Start dagen med

Morgengryn Logo

Hold deg oppdatert på de viktigste nyhetene, de siste nøkkeltallene, og dagens kalender. Tilbudet er gratis.

Flere artikler

  1. Kommentar: Et vilkårlig og urimelig skille

  2. ID-svindel: DNB endrer rutiner etter E24-avsløring

  3. Kommentar: Bankene gjør mye for å forhindre svindel

  4. Annonsørinnhold

  5. Kommentar: ID-svindel er dessverre utbredt, men kodebrikken er verdiløs alene

  6. Professor mener ID-svindel kan være lønnsomt for bankene