Martin Appel: Stoppa missbruket av Bank-ID

”Ett telefonsamtal från ”Nordea” får PC för Allas konsumentredaktör att fundera på säkerheten när det gäller Bank-ID”

__/ Fundering:
När man signerar så kan bankerna skicka med unik information om att man signerar, och hur mycket transaktionen är på. det är information som visas i app’en samtidigt som man signerar.
Varför skickar man inte med information även när man gör andra saker? Om det stod ”Loggar in på Nordea Företag” så skulle vi användare enkelt kunna skilja det från ”Legitimerar dig för John Doe, betalkortsavdelningen på Nordea”.

Det vore rimligen tekniskt enkelt att på samma sätt visa ett slumptal som ändras varje gång man loggar på. Visa samma tal på skärmen och i app’en så vet jag att det är min påloggning jag kvitterar och inte någon annans som påbörjats parallellt.

Det finns säkert någon förklaring till varför det är som det är, men det kostar många användare mycket pengar att öppningarna för bedragarna funnits, finns och stöds av alltför vidlyftigt nyttjande__/ .

https://pcforalla.idg.se/2.1054/1.719686/martin-appel-stoppa-missbruket-av-bank-id

Seriöst menade undersökningar skickar dina personliga svar till okända parter

Vi ser det alltför ofta. Seriösa företag som skickar ut förfrågningar om dina synpunkter på affären. Så långt är det en vanlig del av internet-livet, men när svaren skickas till okända tredje parter så blir det problematiskt.

Är du sunt misstänksam så följer du inte länkar till okända domäner. De flesta som åkt på ransomware el l torde i backspegeln önska att de inte klickat på länken eller bilagan, trots att mejlet såg ut att komma från någon du har en relation till.

OM företagen vill använda tredjepart för hantering av svaren så är det likväl tekniskt jätteenkelt att lösa. Sätt upp en adress såsom ”survey.control.se” så vet du som fyller i att du kommer till en plats som bestämts av ”control.se”. I det läget är det mer okej att fylla i svaren eftersom du åtminstone vet att du kommit dit via den du har relationen med.

Om länken går direkt till exempelvis tnsglobal.es, medallia.com eller mar0.net så kan du inte veta vem som är avsändaren eller hur dina svar används eller i vilket syfte.

Hovra över länken och se efter att du kommer till den domän som du har relationen med, må det vara verisure.se, americanexpress.com eller någon annan. Går den till en okänd domän så släng mejlet.
Som en polis sade; klickar ni inte så drabbas ni inte.

Bättre bankkontroller kan minska kapningar av bankkonton

Många konsumenter har fått sina bankkonton kapade och länsade av kriminella i samband med elektronisk legitimering. Villaägarnas undersökning som IT-säkerhetsexperten Fredrik Ljunggren på Kirei gjort, visar att det saknas tillräckliga automatiska rimlighetsspärrar och manuella kontroller hos bankerna. Sådana skulle kunna förhindra stora pengaöverföringar med nyutfärdade e-legitimationer till bankkonton som kunden aldrig tidigare har gjort överföringar till.

Läs mer

Datorstödd informationssäkerhetsutbildning för användare (DISA)

DISA är MSB:s informationssäkerhetsutbildning för användare och erbjuds alla organisationer kostnadsfritt. DISA finns tillgänglig på webben eller som fristående version.

Syftet med DISA är att på ett enkelt och kostnadseffektivt sätt höja nivån på informationssäkerheten inom en organisation genom att säkerställa att samtliga medarbetare har förståelse för grunderna med informationssäkerhet. 

Läs mer