Senaste nytt

Skimming - har ni råkat ut för det?

lowflyer

Medlem
För att det är trivialt att generera kreditkortsnummer och/eller skaffa de uppgifter man behöver.


Ja, dessa är rätt jobbiga. Det är trist att det ska vara så enkelt att ta över någons identitet. Man kan ju hoppas på att vi i Sverige i framtiden förlitar oss mer på BankID och liknande system för att verifiera identiteter - det skulle göra det mycket jobbigare att sno någons identitet.

Håller med, nu efter att Telia täppt till sin lilla säkerhetslucka vill säga:
Den stora blåsningen
 

agehall

Medlem
Men herre gud! Jag hade ingen aning om att Telia lämnade ut sina e-legg på det där viset! Utan säker verifikation av den som får e-legitimationen är den ju värdelös!
 

nota bene

Medlem
Men herre gud! Jag hade ingen aning om att Telia lämnade ut sina e-legg på det där viset! Utan säker verifikation av den som får e-legitimationen är den ju värdelös!
Inte bara värdelös - men helt livsfarlig!

Det är ett helvete att försöka få tillbaka sina pengar och bestrida räkningar som kommer i ens namn, samt att det i Sverige är mer eller mindre hopplöst att radera betalningsanmärkningar om man skulle råka få en sådan till följd av ett bedrägeri.
 

mha321

Medlem
Men herre gud! Jag hade ingen aning om att Telia lämnade ut sina e-legg på det där viset! Utan säker verifikation av den som får e-legitimationen är den ju värdelös!
Den verifieras ju. Det är bara det att verifiering är outsourcad i tre led och hamnade hos snabbköpskassörskan.

Det var väl där det brast i första hand - och i att vanliga legitimationen på plastkort var för enkel att förfalska.

Du kan ju tex beställa och hämta kreditkort på samma sätt. Eller bankkort (bara du ringer till banken istället för att använda eleg så skickar de normalt dem med rek). Eller vanligt leg (plastkort). Osv, osv...

Är ett vanligt leg också värdelöst?

Ett stort problem är att väldigt många organisationer i Sverige utgår ifrån att ett personnummer är hemligt, och att den enda som känner till mitt personnummer är jag. Alltså kan det användas för att bevisa att jag är jag. Men att gissa ett personnummer är ju trivialt, och i de flesta fall behöver du inte ens gissa. Sedan är det bara att hålla koll på brevlådan...
 

chazzie

Medlem
Mitt SAS EB MasterCard blev skimmat vid min resa till Florida i november, det rörde sig om närmare 20k (sen slog gränsen på kortet in) och jag gjorde en anmälan, men innan den han börja bli behandlad hörde banken av sig själva och hade i tillsammans med butiken där köpen gjorts upptäckt en omfattande stöld av kreditkortsuppgifter och jag fick hela beloppet krediterat, som det skall funka men man blir så klart lite skärrad när slanten drar iväg på kortet...

De sa dock att om det av någon anledning inte skulle bli krediterat fanns möjligheten att få lägga upp en räntefri avbetalningsplan, vilket jag kan tycka är en bra grej, även om det bästa är att de tar ansvar och krediterar beloppet, något de är rätt bra på vad jag förstår. Har bara varit med om det en gång, men det räcker för mig =}
 
Förra vecka, när jag var på Sardinien, passade någon på att köpa festivalbiljetter och ladda bensinkort och kontantkort för ca 20K, festivalbiljetter är poppis ;-), på MedMera kortet.

MedMera använder inte 3D Secure, vilket innebär att om någon tar kortuppgifterna till ett 3D Secure skyddat inköpsställe så går det igenom. I mitt fall så gick första transaktionen inte igenom för de trodde den var fake, men när 3DSecure användes så gick det bra. Kanon programmering av säkerhetsalgoritmerna...;-)

Nice touch var att de avslutade köprundan med att skänka 100 spänn till Rädda Barnen ;-)

MedMera hanterar ärendet bra och försäkrar mig att jag inte behöver betala någonting naturligtvis.

Dock har alla andra (Amex, SAS Amex, SAS Eurobonus, BA Visa, ICA MC och några till) alltid letat rätt på mig tidigt för att verifiera misstänkta transaktioner. MedMera hade av någon okänd anledning missat det, fastän de säger att de såg att transaktionerna troligtvis var bedrägeriförsök.
 

agehall

Medlem
Den verifieras ju. Det är bara det att verifiering är outsourcad i tre led och hamnade hos snabbköpskassörskan.

Det var väl där det brast i första hand - och i att vanliga legitimationen på plastkort var för enkel att förfalska.

Du kan ju tex beställa och hämta kreditkort på samma sätt. Eller bankkort (bara du ringer till banken istället för att använda eleg så skickar de normalt dem med rek). Eller vanligt leg (plastkort). Osv, osv...

Är ett vanligt leg också värdelöst?

Jag brukar få mina bankkort hemskickade direkt i brevlådan. Om någon kommer så långt att de kan beställa ett kort och vittja brevlådan före mig, så går de att sno, men annars är det inte helt enkelt.

Ett stort problem är att väldigt många organisationer i Sverige utgår ifrån att ett personnummer är hemligt, och att den enda som känner till mitt personnummer är jag. Alltså kan det användas för att bevisa att jag är jag. Men att gissa ett personnummer är ju trivialt, och i de flesta fall behöver du inte ens gissa. Sedan är det bara att hålla koll på brevlådan...
Ja, det där har jag också märkt. Folk i allmänhet verkar tro att personnummer är något magiskt och hemligt. Det är ju helt galet - det är på inget sätt hemligt och man kan få fram personnummer hur enkelt som helst om man vill.

Det här är ju det svåra med PKI. Hur ska man våga lita på någon från början? Web of trust funkar inte riktigt i samhället i stort men är väl annars det enklaste. Den bästa lösningen vore väl att utfärda ett digitalt certifikat när man föds, helst med DNA inkodat. Detta borde göra det ganska svårt att förfalska. Därefter kan man använda detta certifikat för att få ut andra ID-kort genom livet. Det blir dock väldigt opraktiskt ifall man på något sätt skulle tappa bort detta certifikat...
 

mha321

Medlem
Jag brukar få mina bankkort hemskickade direkt i brevlådan. Om någon kommer så långt att de kan beställa ett kort och vittja brevlådan före mig, så går de att sno, men annars är det inte helt enkelt.
Det är dock ofta ganska enkelt. Det enda man behöver för att beställa det är ditt personnummer. Sedan beror det ju lite på hur du bor för att se hur lätt det är att vittja brevlådan, men i väldigt många fall är det enkelt...

Ja, det där har jag också märkt. Folk i allmänhet verkar tro att personnummer är något magiskt och hemligt. Det är ju helt galet - det är på inget sätt hemligt och man kan få fram personnummer hur enkelt som helst om man vill.

Det här är ju det svåra med PKI. Hur ska man våga lita på någon från början? Web of trust funkar inte riktigt i samhället i stort men är väl annars det enklaste. Den bästa lösningen vore väl att utfärda ett digitalt certifikat när man föds, helst med DNA inkodat. Detta borde göra det ganska svårt att förfalska. Därefter kan man använda detta certifikat för att få ut andra ID-kort genom livet. Det blir dock väldigt opraktiskt ifall man på något sätt skulle tappa bort detta certifikat...
Precis. När man väl har skapat en trust-point, så är allt "enkelt". Men var är trust-pointen...

Egentligen är det ju inte ett nytt problem. Det har bara blivit svårare att hantera i och med att det är enklare att sno något (kortnr, identitet, whatever) i ett land och väldigt snabbt använda det på en helt annan plats. Men grunden att folk går runt och gör saker med falskleg är ju inte direkt ny.

Lite som hur rädda alla blev för säkerheten på interentbanken (även i början när man knappt kunde göra något med den), men däremot 4-siffrig pin-kod som aldrig ändrades på telefonbanken var helt ok...
 
Toppen