BankID-trenden gjør eksperten urolig: - Har sett det komme i flere år

KAN BLI FOR VANLIG: Bankklagenemnda frykter at det kan bli så vanlig å måtte bruke BankID at vi lar oss lettere lure av svindlere som fisker etter brukernavn og passord. Foto: Trond Lepperød (Nettavisen)

KAN BLI FOR VANLIG: Bankklagenemnda frykter at det kan bli så vanlig å måtte bruke BankID at vi lar oss lettere lure av svindlere som fisker etter brukernavn og passord. Foto: Trond Lepperød (Nettavisen)

Av

BankID kan undergrave sin egen sikkerhet ved å selge BankID til stadig flere aktører.

DEL

(Nettavisen): Det mener Finansklagenemnda Bank, som behandler uenigheter mellom banker og kundene. Mange av uenighetene handler om hvem som skal betale når kunden blir svindlet.

Mens de fleste kunder som lar seg lure av svindel-eposter i dag, vil være erstatningsansvarlige, mener Finansklagenemnda at stadig flere brukere av BankID kan påvirke vurderingen av skyld.

Finansklagenemnda har behandlet flere saker der svindlere har fått tilgang til BankID-informasjon ved hjelp av phishing.

De vanligste svindelsakene med BankID, gjelder tapping av konti der kundenes erstatningsansvar begrenser seg til 12.000 kroner, men hvis de klarer å låne penger med din BankID kan det altså koste deg millioner (forklarende sak om temaet kan du lese her).

Nettavisen har tidligere skrevet flere artikler om hvordan privatpersoner kan bli erstatningsansvarlig for flere hundre tusen.

I de aller fleste tilfeller har kundene blitt kjent uansvarlige, og måttet bla opp.

Les egen sak: Lar du deg lure av denne e-posten, må du bla opp

Dette kan altså endre seg. Finansklagenemndas leder, Trygve Bergsåker, viser til en tidligere avgjørelse der nemnda har påpekt nettopp dette.

Uttalelsen

I avgjørelsen påpeker nemnda at stadig flere aktører bruker BankID som innlogging på sine hjemmesider, og at det derfor ikke lenger vil være påfallende eller mistenkelig hvis de mottar e-poster som oppfordrer til å klikke på lenker og oppgi BankID.

 SVINDEL: Her er en av mange e-poster som svindlere sender for å lure deg til å gi fra deg blant annet passord og brukernavn. Ofte ber svindlerne deg om å klikke på en lenke. Det er ikke farlig i seg selv. Problemet oppstår hvis du gir fra deg informasjon på siden du kommer til. Foto: Skjermdump/montasje

«Utbredelsen av BankID til innlogging utenfor banksektoren kan påvirke vurderingen av skyld ved tasting av sikkerhetsdata for BankID på falske nettsider. Nemnda er også kjent med at enkelte offentlige aktører som benytter BankID til innlogging, sender e-post med lenke til mottakere av meldinger med anmodning om å klikke på lenken for innlogging på nettsiden. Denne praksis er egnet til å skape inntrykk av at det er trygt å klikke på lenke og oppgi innloggingsdata på den nettsiden som man da kommer til, noe som kan påvirke vurderingen av skyld» skriver nemnda i denne uttalelsen.

BankID kom i 2004 som en sikker, felles innloggingsløsning for banker. I dag brukes BankID av over 1500 private og offentlige aktører. Over to millioner bruker logger seg inn med BankID hver dag.

Samtidig mottar stadig flere nordmenn falske e-poster, sms-er og telefonsamtaler som er laget for å lure deg til å oppgi passord.

- Positivt med flere brukere

Nestsjef Elisabeth Haug i Vipps, som også eier BankID, ser det ikke som problematisk at BankID får flere kunder.

- Vi ser det som positivt at BankID blir mer utbredt, sier hun.

- Vi jobber hele tiden med å forbedre brukeropplevelsen og sikkerheten i BankID. Ulike former for biometri vil gi både enkel brukeropplevelse og sterkere sikkerhet. Hvilke spesifikke tiltak vi gjør for å bedre sikkerheten ønsker vi ikke å gå ut med, av sikkerhetsmessige hensyn, sier hun.

Hun er enig med Finansklagenemnda i at det er uheldig at brukere sender lenker til sider der man skal logge seg inn.

- Vi anbefaler ikke utsendelse av lenker i e-post og sms da det er en kjent metode for fisking av innloggingsinformasjon, sier hun.

- Ser ingen vei utenom

Seniorrådgiver Vidar Sandland i Norsk senter for informasjonssikring (NorSIS) sier til Nettavisen at dette er et problem de har sett komme i noen år:

- Flere og flere private aktører vil kreve elektronisk signatur fordi de ønsker å være sikre på at det faktisk er deg de handler med. Hvis du blir vant til å måtte bruke elektronisk ID uansett hva du gjør på nett, så blir det lettere å bruke det mot deg i en svindel, men vi kommer ikke unna, sier Sandland.

Han vet at, som Finansklagenemnda påpeker, så har både private og offentlige institusjoner sendt e-poster og oppfordret til å klikke på lenker og logge inn med passord.

- Det er en veldig dårlig løsning som er med på å undergrave sikkerheten.

- Hva er løsningen på dette problemet?

- Første steg er at det kuttes å bruke kodebrikke, men heller autentiserer ved bruk av for eksempel BankID på mobil. Forbrukerne må også være mer bevisst på når de gir fra seg elektronisk ID, sier Sandland.

Artikkeltags