Svindel og misbruk av BankID

Siste ukers medieoppslag viser at det har vært flere episoder i år hvor man har klart å svindle bankkunder ved bruk av BankID.

I noen av tilfellene har bankkunden hatt BankID-brikke fra før, hvor svindler har skaffet seg brikke nr. 2, mens i andre tilfeller har ikke bankkunden benyttet denne tjenesten, men svindler har greid å skaffe seg BankID i kundens navn.

BankID benyttes som kjent til elektronisk signering og skal gi sikker identifisering og signering på nett. I tillegg til banktjenester kan BankID benyttes til innlogging i Altinn, kommunale tjenester, adresseendring og budgivning på fast eiendom, samt tinglysing (Kilde: BankID).

Dagens Næringsliv, 18.07.2014, viser til en hendelse hvor en kunde som ikke har tatt i bruk BankID ble svindlet. Vedkommende bodde på den tiden i utlandet og det tok noe tid før banken fikk kontakt med vedkommende. Resultatet var at kundens konto ble tappet for penger. Det vises også til flere svindelsaker i artikkelen.

Politiinspektør Håvard Norbø i Politidirektoratet uttalte seg til Dagens Næringsliv om saken;
«- Når Bankid stjeles og misbrukes, er gjerningspersonen på innsiden – ikke utsiden – av gjerdet, og kan gjøre mye større og raskere skade. Vi trenger et godt system for håndteringen av Bankid-brikkene, som i seg selv holder et teknisk høyt sikkerhetsnivå. Dagens ordning for utstedelse og utlevering er for sårbart og utnyttes av kriminelle.»

Nordbø siteres videre i artikkelen om fremgangsmåter svindlere har benyttet; «…kriminelle bestiller en Bankid-brikke nummer to gjennom å opprette kundeforhold til en bank i en annen persons navn ved bruk av fødselsnummer. Deretter hentes Bankid-brikken med falsk legitimasjon i Post i butikk. Gjerningsmennene prøver seg så frem ved å logge seg på de ulike nettbankene inntil de finner nettbanken offeret har fra før. Bankid-brikken er nemlig ikke begrenset til bruk i kun én nettbank. Ofrene er ofte eldre mennesker med penger i banken som ikke sjekker nettbanken sin så ofte eller som ikke benytter nettbank fra før. – Dette vil vi se mer av fremover, og det økonomiske skadepotensialet er stort, sier politiinspektør Nordbø.»

Direktør i Datatilsynet, Bjørn Erik Thon, sier i et intervju med Aftenposten noen dager senere, at han vil ha en gjennomgang av utstedelser av BankID. Bekymringen er relatert til at uvedkommende kan få tilgang til personlig informasjon i offentlige registre.

Bankkundene som har vært utsatt for ID-tyveri ved bruk av BankID er imidlertid ikke økonomisk skadelidende. Ubehaget og usikkerheten knyttet til å bli utsatt for ID-tyveri er en annen sak.  Bevisstgjøring og opplæring av både brukere og ansatte er derfor veldig viktig. I tillegg må prosessene være tilpasset slik at sikkerheten blir ivaretatt, basert på tankegangen «sikkerheten er ikke bedre enn det svakeste ledd». Rutiner knyttet til utstedelse og utlevering må holde et høyt sikkerhetsnivå, slik at personlig informasjon ikke kommer på avveier, og man reduserer risiko for at personer blir utsatt for ID-tyveri. Ofte må noe brukervennlighet ofres for at sikkerheten skal holde et høyt nivå. Vi må kunne stole på tjenestene som tilbys og tilliten svekkes når sikkerheten ikke er tilstrekkelig.

I de tilfeller hvor man har oppgitt sin BankID kode av ulike årsaker, kan det anses som at man har opptrådt uforsvarlig, og man risikerer å bære tapet selv. Å oppgi BankID-koden sin er som å skrive en «blankofullmakt – bruk den til hva du vil…..».

NorSIS anbefaler

For privatpersoner:

  •  Oppgi aldri koden til din BankID brikke – denne er din personlig. Har du problemer med bruken – kontakt banken – ikke venner/familie.
  • Har du mistanke om at andre kjenner til din kode, eller du har oppgitt den til andre – bytt kode umiddelbart. Dette gjøres i påloggingsbilde i Nettbanken.
  • Sjekk kontoutskriften ofte, slik vil du se om kontoen din blir tappet.
  • Enkel sjekk for å se om det er utstedt flere BankID-brikker på deg personlig; du vil ved pålogging med BankID få en nedtrekksmeny og «valgmulighet» mellom brikkene. Dette får du ikke når det bare er utstedt en brikke. Kontakt banken umiddelbart hvis det er opprettet flere brikker uten din godkjennelse. (Kilde: BankID).
  • BankID på mobil krever ikke brikke- husk sikkerhet på mobilen!

Generelle tips for å redusere ID-tyveri er;

  • Sperr deg for kredittvurdering – ingen uvedkommende får opprettet kreditt eller søkt om kredittkort i ditt navn.
  • Kontroller at posten kommer til rett adresse og ha lås på postkassa.
  • Ikke spre personlige opplysninger unødvendig.

For ansatte:

  •  Er arbeidsoppgavene dine av slik art at du må utføre kontroll av legitimasjon, sett deg godt inn i rutiner som finnes på arbeidsplassen, for hvorledes dette skal gjøres og hvorfor det er viktig.
  • Krev gode rutiner av ledelsen.
  • Sjekk at bilde og signatur stemmer overens.
  • Still kunden kontrollspørsmål hvis du er i tvil.

For ledere:

  •  Gi dine ansatte god opplæring i hvordan sjekke legitimasjon og husk å fortelle HVORFOR. Det er enklere å utføre gode kontroller, når man vet hva som kreves og hvorfor det er viktig.
  • Lag gode rutiner slik at de ansatte vet hva de skal se etter når de kontrollerer legitimasjon. Bevissthet er viktig og lag enkle regler, som f.eks; Pass må være på plass!
  • Sikkerhet vs. brukervennlighet – hva er best for kunden? Gå gjennom prosesser og finn det svakeste leddet.

Les mer

Dagens Næringsliv; Kriminelle har funnet et hull.
Aftenposten; Datatilsynet frykter BankID tyverier. 

www.idtyveri.info – Tips om å forbygge ID-tyveri 
www.idtyveri.info Tips når man mistenker at ID er misbrukt 
NorSIS veiledning Sikkerhetsledelse

Publisert: 27. juli 2014

Informasjon fra NorSIS er hentet fra flere kilder. NorSIS vurderer informasjon før publisering, men NorSIS kan ikke holdes ansvarlig for skade eller tap som kan oppstå som følge av ukorrekt, manglende eller utilstrekkelig informasjon.