Kvinna håller i bankdosa bredvid laptop
Kvinna håller i bankdosa bredvid laptop

säkert är ditt bankkonto mot bedragare 

Bedragare har under de senaste tre åren kapat och länsat konsumenters bankkonton på en halv miljard kronor. Villaägarna Produktgranskning har därför gjort en granskning av bankers skydd mot bedrägerier riktade mot privatkunders bankkonton. Resultatet av denna första undersökning av sitt slag i Sverige visar att säkerheten för bankkundernas konton varierar betydligt.

- Samtliga banker får godkänt i säkerhetstestet, men de har olika mycket att jobba på i säkerhetshänseende. Handelsbankens säkerhet är ”bäst i test” medan Avanza Bank är den bank som har mest att förbättra, säger Villaägarnas chefsjurist Ulf Stenberg.

De svagaste punkterna som har identifierats i granskningen är de autentiseringar (kontroller av identitet) och signeringar som du gör med en bankdosa eller kortläsare utan sladd. Här finns det en risk att en bedragare skulle kunna lura bankkunden att knappa in koder två gånger i sin dosa. Det kan i några fall räcka för att bedragaren ska kunna genomföra en transaktion eller utfärda ett nytt BankID, vilket sedan kan utnyttjas för vidare transaktioner. En bank tillåter fortfarande användarnamn och lösenord i kombination med tidsbaserad engångskod.

- Alla bankerna fungerar i säkerhetshänseende, så normalkunden kan välja bank utifrån de erbjudanden och tjänster som upplevs vara mest intressanta. I vissa fall kan det dock finnas skäl att göra en annan bedömning och i högre grad beakta säkerheten för bankkontona. Många bankbedragare väljer att inrikta sig mot personer som de upplever vara lättare att manipulera, till exempel de äldsta grupperna av pensionärer och personer med intellektuell funktionsnedsättning, säger Ulf Stenberg.

Tips på åtgärder för att öka din banksäkerhet  

Det finns ett antal säkerhetshöjande åtgärder som minskar risken att luras av bedragare:

  • Banken ringer aldrig upp dig som kund och ber dig legitimera dig. Om någon ringer och utger sig för att vara din bank och vill att du identifierar dig på något sätt, lägg på luren. Den enda gången banken ber dig identifiera dig över telefon är när du har ringt kundtjänst.
  • Klicka inte på länkar i e-post som ser ut att vara från banken. Om det verkar viktigt, öppna en webbläsare, gå till din bank och logga in där i så fall.
  • Förvara ”farliga” autentiseringsmetoder, till exempel engångskoder, på ett säkert sätt så att ingen obehörig kommer åt dem.
  • Använd säkra autentiseringsmetoder som Mobilt BankID med QR-kod när det går. Lägg undan bankdosor tills du måste använda dem.
  • Lämna aldrig ut engångskoder eller annan autentiseringsinformation till någon annan.

Autentisering (kontroll av identitet)

Det krävs autentisering, när du vill gå in på ditt bankkonto och göra transaktioner. Autentisering innebär att det görs en kontroll av att din uppgivna identitet stämmer överens med din verkliga identitet, att du är du helt enkelt. Det säkerställs att du har behörighet att kopplas ihop med ett användarkonto eller ett system, till exempel ditt bankkonto, och att ingen annan släpps in där.

Vad ökar säkerheten vid autentisering?

Flera banker i Sverige införde tidigt flerfaktorsautentisering för sina internetbanker. Vid flerfaktorsautentisering görs två eller flera former av identitetskontroll av faktorer av:

  • någonting du vet (till exempel lösenord och användarnamn),
  • någonting du har (exempelvis digitalt certifikat eller en telefon), eller
  • någonting du är (biometri som fingeravtryck eller ansiktsigenkänning).

Genom att använda sig av flerfaktorautentisering minskar risken för stulna autentiseringsuppgifter.

Även nedanstående har betydelse för hur säker en autentisering är:

  • Med synlighetsprincipen menas att man genom att tydligt visualisera för dig vilken transaktion du godkänner, minimeras risken för att du ska bli lurad.
  • Med närhetsprincipen avses de funktioner som förhindrar möjligheten till inloggning på en enhet som inte finns på samma fysiska plats som den enhet som du använder för legitimeringen.
  • Tidsaspekten handlar om att begränsa giltigheten för kontrollkoder, engångskoder och QR-koder som används i legitimering eller signering. Då försvårar man för en potentiell bedragare att lyckas komma åt internetbanken eller genomföra obehöriga transaktioner.

Så säkra är autentiseringsmetoderna

Vi har rangordnat autentiseringsmetoder efter vilket skydd de ger mot bedrägliga metoder och hur svåra de är att kringgå för en bedragare:

Minst skydd

  • Lösenord eller lösenfraser
  • Utskrivna engångskoder (kodkort, återställningskoder)

Medelbra skydd

  • Tidsbaserade engångskoder (TOTP, Microsoft Authenticator, Google Authenticator och så vidare)
  • Bankdosa
  • Kortläsare utan sladd
  • Mobilt BankID utan QR-kod

Bäst skydd

  • Kortläsare med sladd (BankID på kort)
  • Mobilt BankID med QR-kod
  • Kortläsare med QR-kod

Så bra fungerade olika säkerhetslösningarna på bankerna

Vid legitimering via Mobilt BankID är synligheten god, i och med att det tydligt står vad det är du godkänner, medan du vid legitimering via en kortläsare inte har samma typ av återkoppling. Bra exempel på hur närhetsprincipen använts för att höja säkerheten är de QR-koder som introducerats i legitimeringsprocessen via BankID eller de fall där du behöver ansluta din kortläsare med sladd till den enhet där transaktionen initierades. Detta sakna som banken tillåter legitimering via bankdosa, kortläsare utan sladd eller Mobilt BankID utan QR-kod.

Separat signering

Ett flertal  banker kräver en separat signering vid tillägg av nya betalningsmottagare. Samtliga banker i utvärderingen kräver också signering vid skapande av en ny betalningsorder eller utförande av en direktbetalning. I de fall där signering krävs för att lägga till nya betalningsmottagare höjs ribban för bedragarna ytterligare. Det innebär att de  måste få offret att utföra minst tre olika åtgärder innan de kan komma över några tillgångar, något som förhoppningsvis gör offret misstänksamt. Ingen av bankerna i utvärderingen tillåter heller utfärdande av BankID eller koppling av ett nytt telefonnummer för Swish utan signering via BankID eller kortläsare.

Mobilt BankID ger högre säkerhet i kombination med QR-kod

Vi kan konstatera att ribban har höjts avsevärt den senaste tiden för bedrägeriförsök, åtminstone för de bankkunder som använder Mobilt BankID för legitimering mot sin internetbank. Detta främst i och med införandet av QR-koder i legitimeringsprocessen för Mobilt BankID, vilket genom sitt krav på närhet minimerar risken att fel person legitimeras. QR-koden som förnyas löpande säkerställer att endast den person som har tillgång till QR-koden kan legitimeras. Giltighetstiden på QR-koden är i samtliga fall också så kort att det är osannolikt att en bedragare hinner skicka över den till offret och lyckas övertala den drabbade att godkänna inloggningen. De enda fall där QR-kod inte krävs för Mobilt BankID hos de utvärderade bankerna idag, är de fall där det Mobila BankID:t finns på samma enhet som inloggningen initierades från. Synligheten hos Mobilt BankID är också god för dig som kund då du vid legitimering får presenterat en text för dig som förtydligar vilken typ av transaktion som utförs.

Bankdosa eller kortläsare utan sladd underlättar för bedragare

Av de banker vi har testat inom ramen för denna granskning, är det bara Forex bank som har strikt krav på autentisering med närhetsprincipen (förhindrar möjligheten till inloggning på en enhet som inte finns på samma fysiska plats som den enhet som du använder för legitimeringen). Övriga banker har någon variant som skulle kunna användas för att logga in en enhet som inte kräver strikt närhet. I de fall en bankkund använder sig av en bankdosa eller kortläsare utan sladd för att autentisera sig, går det fortfarande att lura till sig tillgång till offrets internetbank då närhetsprincipen satts ur spel. Vid användning av bankdosa eller kortläsare får användaren ingen visuell indikation om vilken typ av transaktion det är som godkänns, vilket också underlättar för en bedragare.

Andra svaga punkter i bankernas säkerhetslösningar

Endast SEB hade en ytterligare verifiering av ett nytt BankID. Det pekar på att utfärdande av BankID kan vara en svag punkt. Om någon bank skulle slarva med säkerheten kring utfärdandeprocessen skulle det med andra ord potentiellt kunna orsaka stor skada.

De svagaste punkterna som vi har identifierat är de autentiseringar och signeringar som görs med bankdosa eller kortläsare utan sladd. Här finns det en risk att en bedragare skulle kunna lura sitt offer att knappa in koder två gånger i sin dosa. Det kan i några fall räcka för att bedragaren ska kunna genomföra en transaktion eller utfärda ett nytt BankID, vilket sedan kan utnyttjas för vidare transaktioner.

- Ett stort problem är att många äldre inte använder Mobilt BankID utan förlitar sig på bankdosor för att göra sina bankärenden. Det är också denna grupp som i många fall utgör målgruppen för bedragare. Detta ökar riskerna för att äldre blir lurade, säger Ulf Stenberg.

Bankerna har mycket information på sina webbplatser som handlar om säkerhet och bedrägerier. Det står varningar vid inloggning på nära nog alla internetbanker. Problemet är att det inte blinkar några varningar när du knappar in din PIN-kod i bankdosan. Det är där risken är som störst, inte när du själv loggar in på sin bank.

Funderar du över något?

Som medlem i Villaägarna får du bland annat fri tillgång till Sveriges mest kompletta expertrådgivning.

Funderar du över något?

Som medlem i Villaägarna får du bland annat fri tillgång till Sveriges mest kompletta expertrådgivning.