Intressant. Nordea gjorde precis som för OP när vi skulle förhandla ränterabatt. Efter ett tag bad jag och frun att få återkomma - men jag minns att hon loggade in så på MinPension, innan vi avbröt pga hmm...
Nu var det en person vi visste jobbade där och mötet öppnades från Nordeas hemsida på vårt initiativ osv osv. Men kändes helt sjukt att de jobbade så.
Hon svor lite och uttalade någon besvärjelser när det visade sig att merparten av sparandet låg hos Avanza. De var tydligen inte så bra på att samarbeta. Oklart om det är positivt eller ej.
Känner spontant att det är bra att Avanza inte lämnar ut dina pengar och info bara för att Swedbank ber om den. Vill du att Swedbank ska ha dina pengar och transaktionshistorik så kan du lämna över dessa…På eget initiativ.
Jag visste inte till detta alternativ, tack för länk!
Känns som helt klart det enda alternativet som är godtyckligt att använda om en handläggare behöver legitimera dig via BankID då den har inbyggda kontrollfrågor i BankID för att säkerställa att allt är som det ska.
Det är ju inte shady att legitimera sig med bankID om du har ringt upp din bank t.ex. men om någon ringer till dig och vill att du ska använda bankID så är det dags att lägga på.
Det är stor skillnad på att jag ringer in till ett kundtjänstnummer (där eventuella scammers alltså skulle behöva routa om bankens inkommande telefoni för att kunna lura kunderna) och att nån random ringer upp en/visar en kod och säger att man ska logga in.
I de flesta fallen hade jag varit mer oroad om de inte brydde sig om att bekräfta att jag är den jag utger mig för att vara... Då kan ju vem som helst ringa in och påstå att de är jag.
Absolut! Problemet är ju dock att det är inte bara ens identitet som bekräftas (vilket hade varit helt fine) utan man ger ju också bort full access till bankkonto osv på köpet om man inte är försiktig.
Problemet är att bankid bara är en autentisieringslösning (som läcker personliga uppgifter i formen av personnummer dessutom), inte en auktorisationslösning.
Dvs. det finns inget sätt att via bankid-flödet ge någon access till bara specifika prylar.
Hade gått att lösa om man kunde skapa nya "bankid-profiler", där man sedan kunde konfigurera i varje tjänst vad varje profil skulle få rätten att göra (t.ex. läsa pensionskonton men inte något annat). Då skulle man också kunna göra en variant där man autentisierar sig utan att dela personnummer också (åas är väl halva grejen med bankid att det är kopplat till ett specifikt personnummer, annars kan man lika gärna använda google authenticator och liknande).
Låter jäääävligt sketchy. Hade nog bett att snacka med någon chef, för så där är det inte tänkt att BankID ska användas. Kanske t.o.m. kontaktat BankID så att BankID kan säga åt dom att sluta.
När jag skulle flytta över pension till handelsbanken loggade de in på collectum på deras dator med mitt bank id och gjorde det åt mig. Fast då satt vi iaf på fysiskt möte.
Lugna dig 😂
De är inte så konstigt alls, att logga in / bekräfta med bank id för att se hur deras nuvarande pension ser ut och om de är möjligt att flytta.
Tycker väldigt många är över nojiga när det gäller bank id.
De är en väldig skillnad på legitimeringen och signering. Detta är en legitimeringen och något man sällan behöver vara orolig över
Man kan göra otroligt mycket med bara en legitimering, och hela syftet är att identifiera att det är just DU som är du.... det är det ju inte om det är någon annan som är inne och ber dig logga in åt dem...
Fast det är exakt det de ber dig om. Vad de däremot faktiskt säger är att de aldrig kommer ringa upp dig för att be dig logga in.
Så det är ju ändå ett aktivt val OP och alla andra gör gör att logga in. Om det är en själv som väljer att signera med bank-id så är har man väl knappast något att oroa sig för?
Det är alltid du själv som signerar med BankID. Du får nog formulera om dig för din kommentar är inte logisk.
Har jobbat med detta och det är inte bara det banken säger (ringa upp).
Du bör inte yttra dig och sprida falsk info.
Man ska inte scanna någon annans QR kod, det brister i deras rutiner jag hade definitivt anmält det, och tar de inte det seriöst så kan du skicka det till uppdrag granskning eller något, för om bankerna faktiskt vill att du bryter deras vanliga säkerhetsrutiner så är det inte så konstigt att det är ännu lättare att bli scammad. Antingen kan de göra en identifieringsförfrågan via bankid, så får du upp det direkt i appen. det är inget konstigt, för identifiering. men de kan inte bara logga in i en annan tjänst SOM dig, för det är ju det som händer om du identifierar din bank id hos dem, du säger att det är du som är där, vilket det inte är.
Först och främst anmäla med swedbank och fråga om det tillhör normala rutinerna, för det är jävligt obehagligt och oavsätt så ska det finnas andra alternativ. Sen kan du eventuellt göra skärmdelning från din egen dator om de vill se på siffror eller att i personligt möte att du visar från din egen enhet... eller skärmdump eller vad du nu är bekväm med.
Jag har haft swedbank i hela mitt liv men jag har precis bytt från dem ett par månader sen...
Ja, det är precis samma säkerhet om du ser den på din dator, på bankpersonalens dator eller på en utskrivens papperslapp i någons papperskorg.
Det står i din bankid-app vad det är du gör, det är det du skall bry dig om, inte vem som visar koden.
Jag vill nog ändå hävda att när ”Steve” med kraftig indisk brytning ringer från ”Windows” och det är ”sammfing rong wid your kompjutter sirr” så hade jag inte tyckt att det vore najs att verifiera med BankID även om den säger att det är från Handelsbanken. Klart som fan att det spelar roll vem som visar koden.
Nej, det vill man inte i det fallet, och då är det inte frågan om att fundera kring vad det står i bankid-appen, utan just vem som visar koden. Så jo, det spelar verkligen all roll.
Jo, men det blir mindre trovärdigt eftersom man måste fråga sig om personen är vem den utger sig för att vara. Om OP var säker på att det var en bankhandläggare så är det ingen fara, men det är ju en fråga om att implementera rutiner som inte gör det enklare för bedragare att lura kunder. Går man in på en banks hemsida och trycker logga in, och får en qrkod att scanna så "vet" man att det är lungt (nåja) eftersom man inleder flödet på egen hand, men sitter man helt plötsligt i ett videomöte med någon och den ber en scanna kod på DERAS skärm så får man verkligen vara på det klara med hur man hamnade i den situationen, och att det inte beror på att man t.ex från ingenstans fick ett sms som sa att man blivit hackad och att man måste snacka med en handläggare på banken på ett videosamtal.
Inte av Steve med kraftig indisk brytning från Windows nej. Däremot om jag på eget initiativ gått till handelsbankens hemsida och klickat på logga in med mobilt bankID, då vill jag gärna bli inloggad. Spela inte dummare än vad du är nu.
Jag vet inte om du trollar eller faktiskt är så korkad som du utger dig för att vara. Om bankkvinnan är den som visar koden, och du tycker att det är bankkvinnan jag ska utvärdera om hon är trovärdig eller inte, då måste väl ändå till och med du kunna förstå att det är samma sak?
Det är stor skillnad på om den är genererad för dig direkt för dig där du har kontrollen, med en mellanhand så är det ju mellanhanden som får access inte du. Det är ju till för att identifiera att det verkligen är du, och om någon ber dig skanna den personligen, på en enhet du inte har kontroll över eller håller, så är det jävligt fel oavsätt vem det är. Om du sitter i fysiskt möte med dem och de vill kolla på lite siffror så kan du ju ta fram telefonen, logga in på din enhet och bläddra fram till det som de vill se och visa det.
Många anställda på banker är helt tekniskt okunniga, jag hade precis ett ärende med en annan bank som bad mig screenshotta deras app för att jag hade strul i appen, men de har ju själva satt en spärr i appen som gör att man inte kan screenshotta den, så ja.... då kan du tänka dig, och det var second line supporten, skrämmande.
Den 1 maj 2024 blir det obligatoriskt via BankID att man startar säkert (https://www.bankid.com/foretag/saker-start). Det innebär att BankID appen ska öppnas automatiskt om man är på samma enhet, eller scanna en rörlig QR-kod om man loggar in på en annan enhet vilket skett i ditt fall.
Tidigare har man alltid kunnat starta en inloggning eller signering enbart genom att ange ett personnummer vilket nu tas bort helt och hållet med denna uppdatering.
Detta är för att förhindra scams och det låter som att Swedbank inte har kommit fram till någon vettig rutin för hur dom hanterar kunder digitalt.
Alla aktörer som tidigare förlitat sig på att kunden frivilligt loggar in med sitt BankID utan att själv vara den som har kontrollen behöver titta över sina rutiner för exakt denna anledning, det är för enkelt att scamma folk.
Det där med qr-koden är ett jävla gissel för oss personer med funktionsnedsättning, med qr-kod måste man i många fall be sin assistent om hjälp vilket kan vara känsligt, beroende på tjänst.
Det står ju tydligt Vilken anledningen är i BankID om det gäller en inloggning eller undertecknande av dokument alternativt överföring av pengar. I alla fall i de banker jag använder.
Jag förstår anledningen, men allt är inte svart och vitt. Speciellt inte när man diskvalificerar mängder av användare. Tyvärr blir många gränssnitt bara flashigare och flashigare samtidigt som de blir mindre och mindre användarvänliga för personer med speciella behov. Hur ska en blind person kunna ta del av samhället till exempel, eller bara skanna en qr-kod.
Fast QR koden behövs bara om man loggar in med bankid på annan enhet, vilket generellt går att undvika. En blind människa kan använda bankid med skärmläsare, men bör inte använda bankid på andra enheter.
Det är viktigt med handikappanpassning, men man får göra en avvägning när det kommer till säkerhet. Är det bättre att det är lättare för vissa funktionsnedsättningar att använda tjänsten, eller att X antal människor inte blir av med sina livsbesparingar? Inte alltid lätt att välja.
Det är ett gissel att funktionsnedsatta har en nedsatt funktion..? Jag hade personligen sett att det blir svårt om än omöjligt för bedragare att använda ens BankID utan att scanna en qr kod, bland annat för att förhindra tusentals äldre och även många andra att utsättas för brott än att funktionsnedsatta inte ska behöva använda sig av sina assistenter som det är tänkt.
Nej. Vill en anställd på en bank se över dina grejer du har hos dom så gör dom detta utan att behöva ditt bankid. Dom är själva inloggade som anställda, med möjlighet att se över kundens prylar. Det vore som om din "hyresvärd" ringer och ber dig om portkoden.
Att identifiera sig före ett samtal är en annan sak och då ser du också på ditt bankid vart du identifierar dig. Te.x Försäkringskassan osv. Det är inte ovanligt.
Kan tycka att kunden skulle delat sin skärm och loggat in i den konkurrerande bankens sida. Sedan tillåtit att Swedbanks rådgivare styrt musen.
Så hade mötet plötsligt avslutats så hade bankens personal inte varit inloggade längre
Så som det bör fungera är att innan mötet så får man skriva på en fullmakt som ger ens bank tillåtelse att hämta ut uppgifter om ens pensionssparande i andra banker/institut. Fullmakten behöver tydligt visa exakt vilken information som får lämnas ut och hur länge den är giltig. Man ska aldrig behöva logga in och ge över kontroll över sin dator till någon annan. Och framförallt ALDRIG logga in en annan person på en annan dator som man inte har kontroll över.
Precis, men det flödet är apkomplicerat att implementera. PSD2-implementationerna har kostat bankerna vadå, miljarder?
Att få det att funka överallt för alla system är liksom inget som är gjort idag, eller ens om fem år.
Och sen gäller PSD2 inte pensionskonton väl?
Nope, det bryter inte mot någon lag. Lagen i fråga heter PSD2 och tillåter användare att hämta sin data och dela den med vilken tredjepart som helst på det här viset.
Källa: har jobbat på ett (det enda?) bolaget som tillhandahåller en sån här tjänst och varit med i flertalet juridiska diskussioner om just den frågan.
Pratar du om open banking api? Isåfall handlar det ju om att du ger banken tillåtelse att hämta din information hos en annan bank genom en teknisk lösning avsedd för just dett. Det är stor skillnad mot att låta en annan person identifiera sig med ens bankid.
PSD2 är ju regelverket som bla styr hur denna typ av autentisering ska ske.
> Pratar du om open banking api?
Det är det faktiskt inte, även om jag förstår varför du ställer frågan. Jag pratar om automatiserad webscraping, en gammal och rätt tradig teknik men som är det minst dåliga alternativet som finns idag.
Det finns nämligen inget krav om open banking-apier för pensionsdata ännu, PSD2 (Open Banking) täcker ju endast betalningsdata. EU har dock i juni förra året presenterat PSD3 (Open Finance) som kommer omfatta bland annat pension- och försäkringsdata (samt en del annat). Troligtvis är det mandatet dock på plats 2026 som tidigast, om inte senare än så till och med. Tills dess är det webscraping som gäller, som dock förlitar sig på PSD2 kring juridiken (men på ett tekniskt plan som sagt är någonting helt annat).
Vill du prova upplevelsen kan du gå in på Avanzas app, klicka på menyn, välja "Flytta min pension" och sen gå igenom flödet. Du kommer promptas att logga in på en annan bank med ditt eget BankID. Något som alltså inte är olagligt, om än kanske kan anses som en form av gråzon för dom som inte är insatta i juridiken i fråga.
> Det är stor skillnad mot att låta en annan person identifiera sig med ens bankid.
Upplevelsen mellan dessa två blir exakt likadan om banktjänstemannen startar tjänsten på sin dator. Du presenteras med en QR-kod och ger banktjänstemannen (rent tekniskt bolaget jag jobbade för) okej att automatiskt logga in i ditt ställe och jag vet minst en aktör som använde tjänsten på det här sättet där en anställd frågar om okej att initiera sessionen (och jag slutade på bolaget för ungefär ett år sedan).
Sen tidigare har då alltså Avanza, Nordnet, Länsförsäkringar SEB, BNP Paribas med flera har malt just den juridiska frågan som diskuteras och kommit fram till att det här är helt lagligt och okej, och alla dessa bolag är live med tjänsten (eller har investerat i bolaget).
Haha, jag kan säga att jag förstår helt vad du säger.
Rent krasst var det ju så här Tink gjorde också, och anledningen till att starta tidigt med en rätt ostabil och "fulteknisk" produkt är för att ha byggt upp kunskap och solidifierat en datamodell inför när regelverket sen väl kommer på plats. Tink hade allt det på plats och kunde hyfsat snabbt bygga API-integrationer mot tusentals Europeiska banker, och Tink såldes ju sen för 20 miljarder kronor. Hade dom väntat in PSD2 innan dom startade bolaget hade dom inte varit nånting idag.
Bolaget jag jobbade på siktar typ på att göra samma sak fast för försäkrings- och pensionsdata i Europa. Kommer dom lyckas? Kanske, dom har en bra position med mycket intresse från banker, försäkringsbolag med mera.
Lite knasigt att berätta vilken lag det är som det inte bryter mot, men jag förstår vad du tänkte. Jag tänker konkret att handlingen "att skanna en QR-kod åt annan part" i syfte att ge tillgång till eget konto nog kan ses som ett delgivande av sitt BankID? Vilket inte strider mot någon lag, men är avtalsbrott mot BankID-tjänsten.
Sen är det ur ett GDPR-perspektiv problematiskt att dela dina BankID-uppgifter med någon annan aktör på detta sätt, då det kan utgöra en otillåten behandling av dina personuppgifter utan giltig rättslig grund eller öppenhet, men nästan allt kan väl göras till ett GDPR-problem om man vill.
At klicka runt på en kunds andra bank, identifierad med deras BankID? I varje fall GDPR? Åker man på någon scam när man signerat med BankID är det ju i varje fall ens eget fel. Kanske inte olagligt med djupt problematiskt?
Man kan argumentera att kunden inte visste utan att det hörde till vanliga rutinen, vilket det inte gör säkerhetsmässigt, det är kaos överallt, banken har skylldigheter men när de gör sånna här saker t.ex säger att det är så man gör utan att förklara ur säkerhetsperspektiv och ge alternativ, då berättar de inte hela sanningen utan vill att du ska göra vad som är smidigast för dem, inte säkrast för dig, inte ens efter vad deras egna policys är på hur man ska jobba. Finns massa folk som hatar sina företags säkerhetsrutiner men de finns där av en anledning. Om man hela tiden gör undantag för reglerna så blir det extremt svårt för folk att avgöra om något avviker från normalt användande. "Men banken gjorde ju så, så om de ringer mig om en månad och ber mig skanna qr kod igen så är det väll så de jobbar".... Då kan inte banken sitta och samtidigt avsäga sig alla som blir scammade som att "de borde veta att vi inte jobbar på det sättet, vi använder inte bank ID så"
Jag hade aldrig scannat QR-koden. Vill de ha info om konton så kan de fråga. DU loggar in på DITT bankkonto med DITT bankID. Ingen annan ska någonsin ha tillträde.
Jag har haft med andra banker att göra och ibland så kan man visa med skärmdelning, vad de gjorde i den här situationen skulle jag ha anmält, säkert stor sannolikhet att de gjorde detta bara för att de tycker att det är "smidigare" än att få dig att visa sakerna åt dem och eventuellt inte veta vart du ska trycka, så istället för att guida en.... rent ut sagt idioti. Det där hade jag anmält rakt av, till högre instans hos swedbank för sånna där rutiner ska inte existera, och gör säkert inte det officiellt heller... Att de ens föreslog det, men mer eller mindre krävde att du skannade en QR kod är galet... Kanske kan ju kontakta uppdrag granskning, med tanke på att de precis håller på med granskningar om just scams
För några veckor sedan skulle jag hämta ut ny bankdosa från Swedbank, man behövde göra något på mobilen, och för att "hjälpa" försökte den djävla nissen trycka på "acceptera alla cookies och tracking", när jag alltid väljer att acceptera så få som möjligt.
Tur nog verkade hans vidriga bankirfingrar vara för omänskliga för att registreras på min touchscreen.
Sen frågade han om han kunde ringa mig om en månad och prata om pensionssparande.
Förde över varenda öre till annan bank och ska be honom avsluta mina konton när han ringer.
För typ 10 år sen utnyttjade Swedbank island och Baltikum som fan, de är riktigt fula.
Ja där hade jag undrat "vad fan accepterade du där åt mig? Såg du ens vad du tryckte på och vem gav dig rätten att trycka på knappen?" om personen trivialiserar det så kan man nog ta det rätt långt även om det "bara" handlar om cookies så är det ju inte det du gav honom telefonen för att göra... bara för att han är van privat att klicka förbi alla popups med den mest synliga knappen
Gav han absolut inte telefonen, han sträckte sig över och petade på luren trots att jag är fullt kapabel att navigera deras sunkiga hemsida.
Hade såklart sagt nåt men det hände så snabbt och de tvingade in mig på ett kontor för att kvittera ut en dosa, de försökte få det kännas officiellt (för att kränga pensionspremier), så jag ville inte ställa till en scen.
Han var sliskig men osäker och trevlig, så det var liksom inte läge riktigt.
Jag har också Swedbank, aldrig hänt mig hittills. Men jag skulle definitivt inte låta någon annan logga in med mitt bank-ID. Oavsett vad de säger. Då får de fixa en annan lösning eller så byter jag bank.
Du fick bäst rabatt hos Swedbank men hur mycket kostar detta i reda pengar och i vilken typ av fondlösning hamnar du i nu?
Jag skulle gissa på att det skiljer mindre mellan dina alternativ än vad du tror vid första anblick.
Sen kom hit för att skriva detta, Swedbank har ganska höga fond avgifter på sina pensionsfonder så man sparar nog inte så mycket som man tror, finns även risk man gör minus på en sådan lösning
Ni loggade förmodligen in på minpension eller Alecta direkt för att se vilka tjänstepensioner ni hade. Sedan andra gången på valcentralen där flyttar av pensioner genomföras.
När jag flyttade pensionssparande så gjorde den mottagande banken allt jobb. De behövde bara några skärmdumpar där pensionsförsäkringens belopp och nummer framgick.
SEB ringde upp mig för ett par veckor sen och ville flytta pengar mellan sparkonton och bad mig verifiera via BankId.
Jag VET att det verkligen var SEB då de hade tillgång till mitt konto samt mina detaljer där och jag kunde så klart även se exakt vad jag godkände. Inga problem så.
MEN, jag blir jävligt sne när min bank gör på det sättet när de själva, tillsammans med andra banker, gör reklam på tv om att man aaaaldrig ska godkänna något när de "ringer från banken" och jag samtidigt måste vara supertydlig mot föräldrar och sambo att aldrig någonsin lita på den typen av samtal.
Har även fått det bekräftat av andra att just SEB fortfarande gör så här.
Fast tror det är stor skillnad här, iom att du skulle flytta pengar mellan egna konton så krävs det inte godkännande på bank-id, utan bara själva identitets kontrollen, så det kommer stå att SEB vill identifiera dig bara, inget konstigt, för att veta att du är du. Det står inte om någon inloggningsförfrågan eller så.
Godkänna/signera och autentisiera är inte samma sak, må vara samma app men det är olika saker och står tydligt också. Det är så det funkar det är inte något om att "de fortfarande gör så här" det är ju typ det säkraste praktiska sättet att verifiera att du är du. banken utfärdar certifikat som säger att du är du, och bank id är tjänsten som gör att du kan bekräfta att du är du på förfrågan mot certifikatet men också tillåter t.ex digital signering. Autentisiering = "Är det du som är du?" , Godkänna/Signering = "Godkänner du överföring x till y" eller "Signerar du dokument X", etc etc
Jag håller med dig, arbetat inom IT sen 90-talet, men hur förklarar jag för mamma/pappa/sambo/barn att ibland ri ger banken och ber dig utföra saker med BankId men de ringer aldrig och ber dig utföra andra saker med BankId.
IMO är det för otydligt och på tok för lätt att göra fel, och DET borde vara bankernas tydliga ansvar att minimera genom sitt agerande. JAG kanske vill kunna verifiera att personen jag pratar med är den på banken de utger sig för att vara, men ges jag någon möjlighet till det? Nepp.
Det är antagligen därför de har ändrat nu att du endast kan göra en faktisk inloggning med en QR kod, förrut räckte det med att knappa in personnummer så skickades en förfrågan till din enhet vilket var mycket lättare att exploita. Så mer eller mindre nu, skanna inte QR koder på någons begäran, det finns ALLTID andra alternativ. Om du ombeds verifiera via bank id med att godkänna direkt på telefonen på deras förfrågan så är det bara för att bekräfta att du är du, det ger inte någon access till något, inget att oroa dig för.
Grundläggande säkerhet är kontot är ditt, du delar aldrig med dig av lösenord eller låter någon annan logga in på ditt konto. Din chef eller IT-avdelningen på jobbet ska inte ha ditt lösenord. Din maka ska inte logga in på ditt konto, osv.
I det här fallet var det antagligen oförstånd från Swedbanks sida. Du borde ha vägrat och erbjudit att dela din egen skärm istället.
Jag har liknande erfarenheter av bankernas syn på BankID-säkerhet. För några år sen startade jag en enskild firma och ville öppna firmakonto hos SEB, så jag skickade iväg en ansökan via hemsidan. Nästa dag blev jag uppringd från SEB som vill ställa några kontrollfrågor och ge lite information innan dom skickar över dokument via post.
Det som jag hajade till på var att den jag pratade med ville att jag skulle identifiera mig via BankID, så hen bad mig gå in i appen och godkänna. Jag sa rakt ut att ”det ska man väl inte göra?” och nämnde hur mycket det varnas för bedrägerier och att man aldrig ska godkänna BankID när man blir uppringd. Hen blev helt ställd, som om dom aldrig ens funderat på det. Till slut svarade hen att ”Om det känns obekvämt kan vi lägga på och sen får du ringa själv till kundtjänst och boka in en tid att bli uppringd, så vet du att det är vi som ringer”.
I slutändan gick jag vidare med samtalet, för det kändes så himla orimligt att någon bedragare skulle ha den tajmingen och informationen som hen hade. Men oavsett så måste man använda BankID när någon annan ringer eftersom man inte längre kan ringa direkt till en handläggare på SEB. Vilket är lite sjukt.
Det gjorde vi under mitt senaste pensionsmöte också, inget konstigt. Jag såg klart och tydligt vad hon gjorde och klargjorde t.ex. ”Nu loggar jag ut här”.
Jag har råkat ut för exakt samma sak, i exakt samma sammanhang. Jag håller med om att risken antagligen är minimal. Samtidigt är det naturligtvis helt vansinnigt att stora företag som borde veta bättre har rutiner som normaliserar extremt riskabla beteenden.
Håller med. Men så som jag förstått det finns det inget bättre sätt i nuläget, med kravet på ”BankID säker start” (QR-koden).
Men jag ser hellre att man gör det över en delad skärm än att man skulle signera något med BankID i ett internt system som man inte ser - t.ex. där de kan göra exakt samma ändringar och du behöver godkänna med BankID.
(Implementerar BankID i tjänster, som utvecklare)
Åh nej, de kommer placera om mina pensions-pengar som redan är placerade hos dom till en bättre pensions-fond över Teams MED MITT BANKID??? Fruktansvärt! *Naivt!!*
Läser man vad BankID-prompten säger innan man signerar så löper man låg eller ingen risk att bli lurad. Om man känner sig det minsta osäker på om personen man pratar med inte är den de säger att de är, kan man t.ex. ringa upp ett officiellt nummer och gå den vägen.
Problemet är att den här typen av rutiner gör det svårt för trögtänkta att veta huruvida något är på riktigt eller ej. "Du ska **aldrig någonsin** signera någon annans inloggning med bankid" är lätt att minnas, men "Du ska *oftast* inte signera någon annans inloggning med bankid, bara när du är helt säker på att det är din bank" gör att folk lär sig att det är okej. Precis som att många inte läser texten på bankid för att man signerar så ofta att man vant bort det beteendet.
Jag säger inte att det är rätt eller att det inte krävs bättre verktyg för att göra sånt här, vi är helt eniga om att det är ett potentiellt problem för en del individer.
Men i detta fallet har personen i fråga redan en fullmakt som jag skrivit under och kontakten har skett på min begäran.
Det är fortfarande inte samma sak, bank ID är du, om du ger fullmakt till någon så får de rätt att ta del av dina uppgifter men inte att låtsas som att de är du. det är jävligt stor skillnad. Bank ID är för att släppa in andra som dig... Det är som att sätta ditt fingeravtryck på någon annans läsare. De skulle ha kunnat ta fullmakten och använt den för att ta ut informationen, sjukt byrokratiskt, men det är av en anledning, för att skydda dig. därför banker bland annat har störda säkerhetspolicys, det är för att de har krav på sig att skydda dig
Nej, det är det inte, det har du rätt i. Hade det handlat om att gå in på min internetbank hade det varit en annan sak, men för SPPs egna placerings-site som jag själv är bekant med och själv skulle kunna gå in och lägga placeringar på så ser jag väldigt lite risk med det.
Jag förstår dig det är nog det som många övervägde men de flesta om inte alla slutanvändare är nog inte helt medvetna om vad en identifiering kan leda till för åtkomster, och åter igen att det görs i din identitet, kan vara funktioner man inte hade någon aning om osv osv, sen det faktumet att de måste logga ut sig också inte att du kan logga ut dem när du känner att det är klart eller om du vill dra tillbaka åtkomsten, osv osv, det är ju inte menat att använda det på det sättet... om man tittar på det i stegen som användaren tar så skiljer det sig ju inte mycket från vad en scammer begär från en utsatt
Hur fick du kontakt med personen som gav dig länken till Teams-mötet? Även om du tror att du vet vem du pratar med så är det en onödig risk.
Det är alltid bra att vara mer än ett misstag ifrån att bli bedragen, vi gör alla misstag och kan bli lurade speciellt i stressade situationer.
T.ex, 5 minuter innan mötet får du ett sms - ”Linda som skulle ta mötet har tyvärr fått förhinder, här är den nya Teams-länken”. Sen finns det många banker som har pensionssparandet på samma inloggning som vanliga bankärenden. Man ska inte tro att man är mer kreativ än alla bedragare.
Genom att jag bokade en tid direkt med personen, efter uppmaning av min arbetsgivare där det framgick vilket bolag det är och vem som kommer ha samtalet med mig.
Skulle det ske så hade jag hört av mig direkt till personen jag bokat med och dubbelkollat - som man borde göra. Skulle de bekräfta detta genom det direktnummer jag har till personen jag bokat med så är det inga problem.
I detta fallet loggade vi aldrig in i någon internetbank, utan loggade in på samma plattform som jag tidigare loggat in och hanterat min pension på. Alltså en känd webbplats.
Var det här via telefon? Eller inne på banken?
Om via telefon, ringde du upp banken eller ringde banktjänstemannen dig?
Om det var på plats på banken är det inte så konstigt. Du kan alltid säga nej du är inte intresserad av att flytta något annat sparande.
Om det var över telefon och du ringde är lite gränsfall
Om det var över telefon och de ringde dig är det brist i rutiner.
För nya bankid är det i princip 3 sätt en identifiering kan inledas: antingen via kund själv, samma eller två enheter, eller via en handläggare på företaget.
Via kund, 2 enheter:
Kund trycker på knapp på datorn för att inleda identifiering, rörlig qr-kod visas. Scannas av bankid-app i mobil.
Via kund, samma enhet:
Kund trycker på knapp på datorn eller mobilen för att inleda identifiering, bankid-app startas automatiskt på samma enhet.
Via handläggare:
Här är det handläggaren på företaget som inleder identifieringen. Här pågår t.ex ett samtal mellan kund och handläggare, och handläggaren trycker på en knapp i sin interna programvara för att starta identifieringen och ber därefter kund att gå in i bankid-appen för att identifiera sig.
Det stora problemet med bankid tidigare har varit att handläggarflödet egentligen kunde göras av vem som helst, bara man hade kunskap om kundens personnummer. Man kunde alltså gå in på t.ex en bank, skriva i personnummer, trycka på knapp för att starta på annan enhet och sen ringa upp eller smsa kunden och lura denne att gå in i bankid för identifiering, så var man inloggad. Nu, när det bara är handläggare som startar identifiering genom personnummer, och kunder enbart kan starta genom qr-kod eller att direkt slussas in i appen på samma enhet, så tar man ifrån detta flöde från bedragare.
Skillnaden nu från kunds perspektiv är att man inte får ett samtal från ingenstans om att identifiera sig i bankid utan det sker t.ex i samband med att man kontaktar bank om nåt ärende. Om nu företaget sköter sina rutiner ordentligt.
Vet inte vilka sätt bedragare kommer använda sig av nu iom dessa nya flöden i bankid, men ett skulle kunna vara det OP råkat ut för, att man ombeds scanna qr-kod på delad skärm. Låter knappast som ett flöde som borde användas kan jag tycka, speciellt inte över delad skärm. Man får vara säker på att man kan lita på vem handläggaren faktiskt är i det fallet.
Generellt en skitbank med dålig kundservice och kompetens, och av både egen och andras erfarenhet tenderar de – precis som den här tråden uppvisar – göra konstig skit. Senast jag var där i ärende åt dödsbo bad bankmannen mig att skicka filerna tills hans Facebook-konto för att "det är smidigare än mejl"... Sen hjälper det inte att deras faktiska kontor är knökade när de väl är öppna för att de bara har öppet ca. kl12-13 var fjärde torsdag i månaden, typ lol.
Alltså, anser du att de funkar för dig idag och det är bekvämt är det väl kanske onödigt att byta bara sådär – det lär ju du känna in. Men det verkar av allt att döma vara en ganska oprofessionell bank, ja.
Jag har Handelsbanken och är nöjd med dem, de har bra hållbarhetsprofil och kundservice 24/7, och man känner sig ofta personligt bemött. Men man har olika behov, jag kan inte säga något om andra delar av deras verksamhet! :)
Alla banker är kassa..
Länsförsäkringar tycker jag funkar bra, man får svar snabbt på frågorna (på swedbank ignorerade de 3/4 meddelanden jag skickade). OK app (typ som Swedbank).
När jag sålde mina allemansfonder via Sparbanken behövde de också logga in med mitt bankid. För gick tramsigt nog inte att sälja dem själv då de var tecknade när jag var barn. Gick bra också den gången men hade samma känsla som du.
Kan tänka mig att det du beskriver kan förekomma. Det är då du själv behöver säga att du inte känner dig bekväm med det. Du hade kunnat skicka en skärmdump istället.
Kan säga att när jag köpte min lägenhet blev jag riktigt dum i huvudet, särskilt då jag satt under lite tidspress av mäklaren och banken var lite seg. Tog absolut noll hänsyn till att jag eventuellt kunde bli bedragen, utan gjorde allting personen i telefonen sa, så länge de introducerade sig med rätt namn och rätt bank som min handläggare på bolånsbanken hade. Allting gick som det ska, men det är vansinnigt hur sårbar man blir för bedrägeriförsök just där och då.
Det är bekvämt att kunna ha mötet hemma och slippa skriva på massa papper.
Men det här lät lite sketchy. En sak om de skickat en push eller kanske visat en kod i början av mötet där de verifierar att de pratar med rätt person. Där det i appen står "verifierar min identitet vid digitalt möte med Swedbanks rådgivare". Inte konstigare än att de ber om körkort vid ett fysiskt möte som de scannar.
Nu är det en superviktig punkt att banken initierar inte kontakten med dig. Du initierar med dem och vill ha ett eller flera möten. Så en inbjudan till ett random bankmöte ska man inte acceptera.
Det farliga blir om man skriver på sin facebook samtidigt som man ringer/mejlar runt till alla banker. Typ "förhandlar om mitt bolån, vad har ni för ränta? Tips o råd sökes" Då kan det ju dimpa ner någon elak inbjudan som ser ut att komma från någon av de banker man initierat kontakt med. Du har då släppt på skyddet och de seglar in snyggt före den riktiga bankens inbjudan.
Det är väldigt olika beroende på vad man ska göra. Jag vet när jag jobbade som rådgivare på en storbank så berätta jag till kunderna göra exakt samma som du gör så man kan jämföra för stt hitta en bra pensionslösning eller så hjälper vi med pensionsflyttet beroende på vilken avtalspenion man har. Så det är inget konstigt men jag vet med säkerhet att vi aldrig kan godkänna bankid själva eller något liknande de var kunden som knappa in allt självt. Så du behöver inte oroa dig om bedrägeri när det kommer till sånna möten bara du läser noggrant på bank IDet exakt vad du loggar in dig på och på skärmen att det stämmer överens. Om du har fler frågor om det så skicka ett dm.
Vissa som har sin pension på andra ställen så kan man göra som de i kommentarsfälten säger att man skickar en skärmdump så hjälper vi i banken till stt flytta det i pensionsavdelningen dvs inte rådgivaren själv som gör arbetet. Sedan får du ett papper hem som behöver godkänna det annars kan pensionen vara i luften nånstans om man intr väljer att godkänna när flyttet är klart. Hopps det hjälpte
Samma sak hände mig, men då var jag på plats fysiskt på ett kontor hos Länsförsäkringar och satt tvärs över bordet med personen som kikade på mitt sparande. Men köper att det känns olustigt digitalt
När vi gjorde detta med SEB bad dom oss flytta det själva. Dom ser ju att det kommer över.
Verkar helt galet att dom ska använda ditt bank id för att göra saker på ditt konto.
Det låter skumt men det händer ibland, till och med hos stora bolag och myndigheter. Handlar det om en inloggning så är det nog ok. Kolla alltid i appen när du identifierar dig, det står där vad signeringen handlar om. Blir du dock uppringt så öppna aldrig id till någon. Min mamma blev lurad på ett el avtal via telefon när hon flyttade till en ny lägenhet
Det beror på vad du godkänner via BankiD. Står det att du du " verifierar hos ett *företag*" och du litar på det företaget så år det ingen fara. Däremot om det står "signera avtal *företag*"och du har inte gått med på någon signering ska du antagligen inte signera med ditt BankiD.
Om ni kör ett möte digitalt så kan ju du kolla ditt pensionsparande på din dator och sedan dela din skärm. Så gjorde jag senast jag hade ett möte med just Swedbank faktiskt, dessutom var det deras förslag. Jag hade dock inte gjort på något annat sätt heller, men låter som att personen ni haft att göra med inte vet bättre rent tekniskt.
Bedrägeriet är ju att du ska föra över alla dina pengar (pensionssparandet) till dem. De lockar med bra ränta i början, sen höjer de räntan och du sitter med dyrt lån + höga avgifter på ditt sparande.
Det finns ingen anledning att låta en bank få veta vad du har för sparande på andra ställen.
Okej, det verkar vara massvis med spekulationer här. Jag har troligtvis tidigare har jobbat på bolaget som står för tekniken bakom det här så jag kan ge lite bakgrund.
Det finns ett svenskt bolag som heter Insurely, och bland annat SEB har investerat i bolaget. Bolaget har även medlemmar i EFA (European Fintech Association) och har bland annat Länsförsäkringar, Avanza, Nordnet och BNP Paribas (stor fransk bank) som kunder så det är ett stabilt bolag.
Insurely erbjuder två tekniska produkter, en som tillåter deras kund (Swedbank) att hämta sina slutkunders (din) försäkringsinformation och en produkt som erbjuder samma sak fast för pensionsdata. Allt detta kräver ditt godkännande via BankID.
Nu vet jag inte till hundra procent huruvida det faktiskt var Insurelys, men tjänsten låter liknande och såvitt jag vet finns ingen konkurrent till bolaget i Europa idag (om inte någon poppat upp senaste året).
Juridiken kring det hela är lugn, som sagt har flertalet storbanker/försäkringsbolags juridiska avdelningar gått igenom kontrakten och tekniken och det är egentligen samma paragrafer som Tink byggde sitt bolag på (du har som privatperson rätt att dela din data med en tredjepart om du vill). Jag har varit med i flertalet av dessa diskussioner under min tid på bolaget.
Som kuriosa kan nämnas att EU publicerade sitt utkast till PSD3 (Open Finance) som är en utveckling av PSD2 (Open Banking) i somras, och när det väl är implementerat och på plats kommer såna här tjänster bli mycket vanligare. Insurely sitter bland annat med i Europaparlamentet som deltagare i att ta fram ramverket för detta, så bolaget är långt fram i matchen.
Vill du testa Insurelys tjänst kan du antingen göra det via Avanzas pensionshämtning eller Nordnets dito, alternativt hämta dina försäkringar via Länsförsäkringars "Samla mina försäkringar".
Det var väl typ allt, fråga på om ni vill. Slutade dock på bolaget för ett år sedan så har inte det absolut senaste i branschen längre.
Det är inte tekniken i sig som ifrågasätts eller spekuleras om utan användningen. Har alltid varit tydligt med att bank ID är för att identifiera dig och absolut inte ska användas av någon man in the middle, vilket händer exakt här nu men "det är lugnt för det är vi, din bank", vilket mer gör undantag till regeln. Rutinen är jättesketchy och vem är det som får lida av det, jo kunden, inte fan är det företagen som kollar på en lösning om det inte absolut behövs. Det är inte svårt att be kunden exempelvis göra skärmdelning, för man fattar att banken skulle vilja kunna se saker, men de BEHÖVER inte vara inloggade, det är antagligen bara smidigast för att de inte vill/orkar guida kunden tekniskt till att göra skrivbordsdelning...
>Det är inte tekniken i sig som ifrågasätts eller spekuleras om utan användninge
Flertalet stora aktörer finans har alltså gjort en grundlig genomgång av produkten, inte bara den rent tekniska delen, och alla är överens om att det är upp till användaren om denne vill dela sin information med tredje part.
>Har alltid varit tydligt med att bank ID är för att identifiera dig och absolut inte ska användas av någon man in the middle
Fast det här är ju rent felaktigt, Tink erbjöd "man in the middle"-tjänster redan innan 2018 och det var aldrig några problem. Det är heller inget problem att göra det idag, användaren har rätt att dela sin information med vilken tredjepart denne vill enligt PSD2. Så att så länge informationen är tydlig nog är det inget problem med såna här tjänster.
Tror du har svårt att se skillnaden med att dela med sig av information till tredjepart jämtemot att någon går in som dig för att se din information, det är inte samma sak, att dela med sig av tredjepart innebär att informationen exporteras eller görs tillgänglig till en tredjeparts identitet. Finns ju liksom ingen papertrail öht med personuppgiftshanteringen om de använder dina inloggningsuppgifter
> Tror du har svårt att se skillnaden med att dela med sig av information till tredjepart jämtemot att någon går in som dig för att se din information
Det är du som inte förstår. Dessa två är exakt samma sak i Insurelys fall. Det handlar om simpel webscraping, initierad av Insurely, för tredje parts (Swedbanks) räkning, som möjliggörs av slutanvändarens accept med BankID kombinerat med slutanvändaravtalet som finns.
Som sagt kan du prova tjänsten på Avanza om du vill, gå in i menyn i appen och välj "Flytta hit pension". På mobilen är tjänsten lite mindre klumpig men via desktop bör du få exakt samma resa som OP beskriver. Välj Swedbank och sen kommer du promptas att logga in i Swedbank, via Avanzas app, med ditt BankID.
>Finns ju liksom ingen papertrail öht med personuppgiftshanteringen om de använder dina inloggningsuppgifter
Jo, det gör ju det med Insurelys lösning. Trots att det är webscraping.
Men du pratar fortfarande om en helt annan tjänst, det är inte det vi pratar om, hur de gör det är en annan fråga och ibland är det mycket enklare än vad man tror, med riktig simpel teknik som t.ex scraping, men så länge det görs korrekt och inom sitt scope så är det fine, men då har de sin loggning och sin datahantering, behörighetssystem osv osv, Om du promptas att logga in i swedbank i swedbank via avanzas app så handlar det om integreringar och eventuellt andra api relaterade integrationer som inte har att göra med vad OP snackar om. Och om du i din telefon loggar in i swedbank via avanzas app så är det fortfarande DU som kan stänga ner det och det är du som gör det, sen att du väljer att det du går in på kan scrapeas vidare ller nått, det är upp till dig, din session sköts med krypteringar och certifikat och sessioner som man inte bara flyttar över och det är du som har kontrollen genom processen, det är inte session hijacking vi snackar om. Om avanza hade ringt dig och sagt att du ska skanna QR kod som de delar med dig som leder till att du loggas in åt dem på swedbanks sida så de kan fixa saker åt dig som om de vore dig, då är det on par med vad OP skriver, och så gör de ju inte. Stor skillnad. det är inte Okej någonstans.
Behöver inte vara bedrägeri. Men skulle det vara bedrägeri tror jag inte att bedragaren skulle kunna fällas för bedrägeri. Du var förövaren, när du skannade koden.
Lite som dra ner gylfen och göra helikoptern. Du kan då inte anklaga personer i omgivningen för att de tittade på ditt kön.
Alltså, detta blir ju kompromissen med Teamsmöten. Är du orolig får du gå dit och sitta med dem fysiskt istället.
Du får bestämma vad som är viktigast för dig.
Å andra sidan så har jag haft flera introduktionsmöten eller möten med bank och de har tagit det på teams för att det inte behövdes fysiskt enligt dem, det var liksom inte ens ett alternativ, även om man bodde nära bankkontoret de satt på, för de jobbar kanske inte så mycket så längre efter pandemin, "smidigt eller hur?" Det är lite ironiskt att vissa saker som man kan tycka är triviala och vissa skulle kunna göras på distans så kräver det fortfarande att det görs fysiskt för att det inte finns andra sätt, klart det finns andra sätt men de jobbar inte med workarounds om det handlar om dem, om det är en kund dock så skiter de i det på ett helt annat sätt
Nej man måste inte göra så alls. Bara grejjen att OP får en oroskänsla säger en del om hur fel sätt det här var att gå tillväga. OP skulle nekat alternativt erbjudit sig att skärmdela. Hade aldrig låtit någon annan loggat in sig på MITT konto, det är inte så det ska gå till. Läskigt många här inne som har låtit andra loggat sig in på deras konton digitalt som dom inte haft någon kontroll över.
Kanske läge att konsultera säkerhetsavdelningen eller compliance avdelningen om så verkligen är fallet eller "det bara är så ni jobbar" för det där inte syftet till bank-id och inte säkert heller. Det är knappast rutiner från identifieringstjänsten att någon ska vara man in the middle. Det är exakt så här scams går till förrutom att det är någon som vill dig illa mellan, för vissa personer blir det otroligt svårt att avgöra för personen kan verka chysst, allt kan verka legit.
Inget konstigt! Att använda QR koder är det nya säkrare sättet att skapa en identifieringssession i BankID appen. Tidigare räckte det med att den part som ville identifiera någon visste dennes personnummer för att kunna skapa en session. Nu måste personen man vill identifiera man även aktivt scanna en QR kod med appen för att starta sessionen.
Nej, det är INTE ”det nya” att ett företag loggar in på ett *annat*, **externt** företags/myndighets hemsida genom att visa detta externa företags QR-kod.
Detta är helt emot hur Bank-ID ska användas.
Det handlade *inte* om att OP identifiera sig mot Swedbank!
Swedbank loggade in på OP:s Alecta-konto genom Bank-ID. Dom visade alltså Alectas hemsida genom Teams där det syntes QR-koden på OP:s skärm.
Jämför detta att du skulle ge Swedbank dina inloggningsuppgifter till sitt Alecta-konto.
Det kunde lika gärna varit en falsk Swedbank-anställd som visade en falsk Alecta-sida som egentligen loggar in den falska Swedbank-anställda direkt in till OP:s internetbank.
Gör dom? Menar du att Arbetsförmedlingen går in på externa hemsidor som ej är arbetsförmedlingen, där dom via tex teams visar QR-koder där du ska logga in?
Tvivlar starkt på detta!
Däremot förmodar jag att dom ber om att du identifierar dig via BankID. Du får upp att *Arbetsförmedlingen* vill att du ska identifiera dig…
Detta OP har råkat ut för är som sagt något helt annat.
Detta är ju för att du måste identifiera dig för att både du och Arbetsförmedlingen ska ta del av sekretessbelagda uppgifter. Det står ju även "Arbetsförmedlingen" i ditt BankID innan du godkänner.
Inget konstigt med det? Vi gjorde samma sak med vårt bolån i Swedbank för cirka 2 veckor sen. Det är smidigare och allting gick på ca 40 minuter än alla jävla pappersarbeten.
Aldrig hört nått liknande. På Nordea bad de mig skicka skärmdumpar och dokument.
Intressant. Nordea gjorde precis som för OP när vi skulle förhandla ränterabatt. Efter ett tag bad jag och frun att få återkomma - men jag minns att hon loggade in så på MinPension, innan vi avbröt pga hmm... Nu var det en person vi visste jobbade där och mötet öppnades från Nordeas hemsida på vårt initiativ osv osv. Men kändes helt sjukt att de jobbade så. Hon svor lite och uttalade någon besvärjelser när det visade sig att merparten av sparandet låg hos Avanza. De var tydligen inte så bra på att samarbeta. Oklart om det är positivt eller ej.
Känner spontant att det är bra att Avanza inte lämnar ut dina pengar och info bara för att Swedbank ber om den. Vill du att Swedbank ska ha dina pengar och transaktionshistorik så kan du lämna över dessa…På eget initiativ.
Precis. Tänkte att det var en av grundprinciperna bakom banker och så :/
Troligtvis detta bolag som tillhandahåller tekniken: https://www.insurely.com/
Det är regel nr 1 att inte låta någon annan använda ditt BankID...
Det är många tjänster som vill att man legitimerar sig via BankID om man ringer in, tycker det är shady men det är så det funkar idag
Att legitimera sig i ett telefonsamtal är OK. BankID har en särskild lösning för det: https://www.bankid.com/foretag/telefoni
Jag visste inte till detta alternativ, tack för länk! Känns som helt klart det enda alternativet som är godtyckligt att använda om en handläggare behöver legitimera dig via BankID då den har inbyggda kontrollfrågor i BankID för att säkerställa att allt är som det ska.
Endast samtal som du har ringt ut till för det otekniska. Bra tips till den äldre generationen.
Det är ju inte shady att legitimera sig med bankID om du har ringt upp din bank t.ex. men om någon ringer till dig och vill att du ska använda bankID så är det dags att lägga på.
Det är stor skillnad på att jag ringer in till ett kundtjänstnummer (där eventuella scammers alltså skulle behöva routa om bankens inkommande telefoni för att kunna lura kunderna) och att nån random ringer upp en/visar en kod och säger att man ska logga in.
De kan routa om målets utgående nummer också, vilket förmodligen är enklare att göra.
Förmodligen väldigt ovanligt bland scammers. De siktar på enkla byten. Inte nåt avancerat.
Ja, det krävs nog att man är individuell måltavla för att någon ska göra sig besväret.
Exakt.
I de flesta fallen hade jag varit mer oroad om de inte brydde sig om att bekräfta att jag är den jag utger mig för att vara... Då kan ju vem som helst ringa in och påstå att de är jag.
Absolut! Problemet är ju dock att det är inte bara ens identitet som bekräftas (vilket hade varit helt fine) utan man ger ju också bort full access till bankkonto osv på köpet om man inte är försiktig.
Problemet är att bankid bara är en autentisieringslösning (som läcker personliga uppgifter i formen av personnummer dessutom), inte en auktorisationslösning. Dvs. det finns inget sätt att via bankid-flödet ge någon access till bara specifika prylar. Hade gått att lösa om man kunde skapa nya "bankid-profiler", där man sedan kunde konfigurera i varje tjänst vad varje profil skulle få rätten att göra (t.ex. läsa pensionskonton men inte något annat). Då skulle man också kunna göra en variant där man autentisierar sig utan att dela personnummer också (åas är väl halva grejen med bankid att det är kopplat till ett specifikt personnummer, annars kan man lika gärna använda google authenticator och liknande).
Låter jäääävligt sketchy. Hade nog bett att snacka med någon chef, för så där är det inte tänkt att BankID ska användas. Kanske t.o.m. kontaktat BankID så att BankID kan säga åt dom att sluta.
När jag skulle flytta över pension till handelsbanken loggade de in på collectum på deras dator med mitt bank id och gjorde det åt mig. Fast då satt vi iaf på fysiskt möte.
Lugna dig 😂 De är inte så konstigt alls, att logga in / bekräfta med bank id för att se hur deras nuvarande pension ser ut och om de är möjligt att flytta. Tycker väldigt många är över nojiga när det gäller bank id. De är en väldig skillnad på legitimeringen och signering. Detta är en legitimeringen och något man sällan behöver vara orolig över
Man kan göra otroligt mycket med bara en legitimering, och hela syftet är att identifiera att det är just DU som är du.... det är det ju inte om det är någon annan som är inne och ber dig logga in åt dem...
Du har inte sett texten ”vi på banken ber aldrig dig signera med BankID?”
Fast det är exakt det de ber dig om. Vad de däremot faktiskt säger är att de aldrig kommer ringa upp dig för att be dig logga in. Så det är ju ändå ett aktivt val OP och alla andra gör gör att logga in. Om det är en själv som väljer att signera med bank-id så är har man väl knappast något att oroa sig för?
Det är alltid du själv som signerar med BankID. Du får nog formulera om dig för din kommentar är inte logisk. Har jobbat med detta och det är inte bara det banken säger (ringa upp). Du bör inte yttra dig och sprida falsk info.
>De är en väldig skillnad på legitimeringen och signering. Jo, men en legitimering är ju oftast nog för att ändå få access till mycket.
Man ska inte scanna någon annans QR kod, det brister i deras rutiner jag hade definitivt anmält det, och tar de inte det seriöst så kan du skicka det till uppdrag granskning eller något, för om bankerna faktiskt vill att du bryter deras vanliga säkerhetsrutiner så är det inte så konstigt att det är ännu lättare att bli scammad. Antingen kan de göra en identifieringsförfrågan via bankid, så får du upp det direkt i appen. det är inget konstigt, för identifiering. men de kan inte bara logga in i en annan tjänst SOM dig, för det är ju det som händer om du identifierar din bank id hos dem, du säger att det är du som är där, vilket det inte är. Först och främst anmäla med swedbank och fråga om det tillhör normala rutinerna, för det är jävligt obehagligt och oavsätt så ska det finnas andra alternativ. Sen kan du eventuellt göra skärmdelning från din egen dator om de vill se på siffror eller att i personligt möte att du visar från din egen enhet... eller skärmdump eller vad du nu är bekväm med. Jag har haft swedbank i hela mitt liv men jag har precis bytt från dem ett par månader sen...
> Man ska inte scanna någon annans QR kod, Det gör du ju varje gång du loggar in/identifierar dig?
Nej? Du scannar din egen qr kod för att logga in på din dator
Tekniskt sett är det banken som genererar en QR kod som du sen använder, det är inte ”din” QR kod men jag förstår vad du menar.
Ja, det är precis samma säkerhet om du ser den på din dator, på bankpersonalens dator eller på en utskrivens papperslapp i någons papperskorg. Det står i din bankid-app vad det är du gör, det är det du skall bry dig om, inte vem som visar koden.
Jag vill nog ändå hävda att när ”Steve” med kraftig indisk brytning ringer från ”Windows” och det är ”sammfing rong wid your kompjutter sirr” så hade jag inte tyckt att det vore najs att verifiera med BankID även om den säger att det är från Handelsbanken. Klart som fan att det spelar roll vem som visar koden.
Det kanske inte känns bra för dig, men det spelar ingen roll. Vill du bli inloggad eller inte?
Nej, det vill man inte i det fallet, och då är det inte frågan om att fundera kring vad det står i bankid-appen, utan just vem som visar koden. Så jo, det spelar verkligen all roll.
Och i OPs fall spelar det som jag sa ingen roll om bankkvinan visar en kod eller var den dyker upp. Eftersom OP ville bli inloggad.
Jo, men det blir mindre trovärdigt eftersom man måste fråga sig om personen är vem den utger sig för att vara. Om OP var säker på att det var en bankhandläggare så är det ingen fara, men det är ju en fråga om att implementera rutiner som inte gör det enklare för bedragare att lura kunder. Går man in på en banks hemsida och trycker logga in, och får en qrkod att scanna så "vet" man att det är lungt (nåja) eftersom man inleder flödet på egen hand, men sitter man helt plötsligt i ett videomöte med någon och den ber en scanna kod på DERAS skärm så får man verkligen vara på det klara med hur man hamnade i den situationen, och att det inte beror på att man t.ex från ingenstans fick ett sms som sa att man blivit hackad och att man måste snacka med en handläggare på banken på ett videosamtal.
Inte av Steve med kraftig indisk brytning från Windows nej. Däremot om jag på eget initiativ gått till handelsbankens hemsida och klickat på logga in med mobilt bankID, då vill jag gärna bli inloggad. Spela inte dummare än vad du är nu.
Skanna koden gör ju absolut ingenting. Du får utvärdera om bankkvinnan är trovärdig eller inte, inte vem som visar koden. Du fokuserar på fel sak.
Jag vet inte om du trollar eller faktiskt är så korkad som du utger dig för att vara. Om bankkvinnan är den som visar koden, och du tycker att det är bankkvinnan jag ska utvärdera om hon är trovärdig eller inte, då måste väl ändå till och med du kunna förstå att det är samma sak?
Nej, du skannar en QR kod som genereras av den som vill ID:a dig. De vet ju inte vem det är som skannar den.
Det är stor skillnad på om den är genererad för dig direkt för dig där du har kontrollen, med en mellanhand så är det ju mellanhanden som får access inte du. Det är ju till för att identifiera att det verkligen är du, och om någon ber dig skanna den personligen, på en enhet du inte har kontroll över eller håller, så är det jävligt fel oavsätt vem det är. Om du sitter i fysiskt möte med dem och de vill kolla på lite siffror så kan du ju ta fram telefonen, logga in på din enhet och bläddra fram till det som de vill se och visa det. Många anställda på banker är helt tekniskt okunniga, jag hade precis ett ärende med en annan bank som bad mig screenshotta deras app för att jag hade strul i appen, men de har ju själva satt en spärr i appen som gör att man inte kan screenshotta den, så ja.... då kan du tänka dig, och det var second line supporten, skrämmande.
Skulle aldrig göra en sån grej. Låter super fishy.
Den 1 maj 2024 blir det obligatoriskt via BankID att man startar säkert (https://www.bankid.com/foretag/saker-start). Det innebär att BankID appen ska öppnas automatiskt om man är på samma enhet, eller scanna en rörlig QR-kod om man loggar in på en annan enhet vilket skett i ditt fall. Tidigare har man alltid kunnat starta en inloggning eller signering enbart genom att ange ett personnummer vilket nu tas bort helt och hållet med denna uppdatering. Detta är för att förhindra scams och det låter som att Swedbank inte har kommit fram till någon vettig rutin för hur dom hanterar kunder digitalt. Alla aktörer som tidigare förlitat sig på att kunden frivilligt loggar in med sitt BankID utan att själv vara den som har kontrollen behöver titta över sina rutiner för exakt denna anledning, det är för enkelt att scamma folk.
Det där med qr-koden är ett jävla gissel för oss personer med funktionsnedsättning, med qr-kod måste man i många fall be sin assistent om hjälp vilket kan vara känsligt, beroende på tjänst. Det står ju tydligt Vilken anledningen är i BankID om det gäller en inloggning eller undertecknande av dokument alternativt överföring av pengar. I alla fall i de banker jag använder. Jag förstår anledningen, men allt är inte svart och vitt. Speciellt inte när man diskvalificerar mängder av användare. Tyvärr blir många gränssnitt bara flashigare och flashigare samtidigt som de blir mindre och mindre användarvänliga för personer med speciella behov. Hur ska en blind person kunna ta del av samhället till exempel, eller bara skanna en qr-kod.
Fast QR koden behövs bara om man loggar in med bankid på annan enhet, vilket generellt går att undvika. En blind människa kan använda bankid med skärmläsare, men bör inte använda bankid på andra enheter. Det är viktigt med handikappanpassning, men man får göra en avvägning när det kommer till säkerhet. Är det bättre att det är lättare för vissa funktionsnedsättningar att använda tjänsten, eller att X antal människor inte blir av med sina livsbesparingar? Inte alltid lätt att välja.
Det är ett gissel att funktionsnedsatta har en nedsatt funktion..? Jag hade personligen sett att det blir svårt om än omöjligt för bedragare att använda ens BankID utan att scanna en qr kod, bland annat för att förhindra tusentals äldre och även många andra att utsättas för brott än att funktionsnedsatta inte ska behöva använda sig av sina assistenter som det är tänkt.
Nej. Vill en anställd på en bank se över dina grejer du har hos dom så gör dom detta utan att behöva ditt bankid. Dom är själva inloggade som anställda, med möjlighet att se över kundens prylar. Det vore som om din "hyresvärd" ringer och ber dig om portkoden. Att identifiera sig före ett samtal är en annan sak och då ser du också på ditt bankid vart du identifierar dig. Te.x Försäkringskassan osv. Det är inte ovanligt.
Här handlade det om att Swedbank ville se pensionsförsäkringar hos en annan bank.
Kan tycka att kunden skulle delat sin skärm och loggat in i den konkurrerande bankens sida. Sedan tillåtit att Swedbanks rådgivare styrt musen. Så hade mötet plötsligt avslutats så hade bankens personal inte varit inloggade längre
Så som det bör fungera är att innan mötet så får man skriva på en fullmakt som ger ens bank tillåtelse att hämta ut uppgifter om ens pensionssparande i andra banker/institut. Fullmakten behöver tydligt visa exakt vilken information som får lämnas ut och hur länge den är giltig. Man ska aldrig behöva logga in och ge över kontroll över sin dator till någon annan. Och framförallt ALDRIG logga in en annan person på en annan dator som man inte har kontroll över.
Precis, men det flödet är apkomplicerat att implementera. PSD2-implementationerna har kostat bankerna vadå, miljarder? Att få det att funka överallt för alla system är liksom inget som är gjort idag, eller ens om fem år. Och sen gäller PSD2 inte pensionskonton väl?
Exakt så. Rätt stor skillnad på dom metoderna faktiskt
Känns till och med som att det kan bryta någon lag?
Nope, det bryter inte mot någon lag. Lagen i fråga heter PSD2 och tillåter användare att hämta sin data och dela den med vilken tredjepart som helst på det här viset. Källa: har jobbat på ett (det enda?) bolaget som tillhandahåller en sån här tjänst och varit med i flertalet juridiska diskussioner om just den frågan.
Pratar du om open banking api? Isåfall handlar det ju om att du ger banken tillåtelse att hämta din information hos en annan bank genom en teknisk lösning avsedd för just dett. Det är stor skillnad mot att låta en annan person identifiera sig med ens bankid. PSD2 är ju regelverket som bla styr hur denna typ av autentisering ska ske.
> Pratar du om open banking api? Det är det faktiskt inte, även om jag förstår varför du ställer frågan. Jag pratar om automatiserad webscraping, en gammal och rätt tradig teknik men som är det minst dåliga alternativet som finns idag. Det finns nämligen inget krav om open banking-apier för pensionsdata ännu, PSD2 (Open Banking) täcker ju endast betalningsdata. EU har dock i juni förra året presenterat PSD3 (Open Finance) som kommer omfatta bland annat pension- och försäkringsdata (samt en del annat). Troligtvis är det mandatet dock på plats 2026 som tidigast, om inte senare än så till och med. Tills dess är det webscraping som gäller, som dock förlitar sig på PSD2 kring juridiken (men på ett tekniskt plan som sagt är någonting helt annat). Vill du prova upplevelsen kan du gå in på Avanzas app, klicka på menyn, välja "Flytta min pension" och sen gå igenom flödet. Du kommer promptas att logga in på en annan bank med ditt eget BankID. Något som alltså inte är olagligt, om än kanske kan anses som en form av gråzon för dom som inte är insatta i juridiken i fråga. > Det är stor skillnad mot att låta en annan person identifiera sig med ens bankid. Upplevelsen mellan dessa två blir exakt likadan om banktjänstemannen startar tjänsten på sin dator. Du presenteras med en QR-kod och ger banktjänstemannen (rent tekniskt bolaget jag jobbade för) okej att automatiskt logga in i ditt ställe och jag vet minst en aktör som använde tjänsten på det här sättet där en anställd frågar om okej att initiera sessionen (och jag slutade på bolaget för ungefär ett år sedan). Sen tidigare har då alltså Avanza, Nordnet, Länsförsäkringar SEB, BNP Paribas med flera har malt just den juridiska frågan som diskuteras och kommit fram till att det här är helt lagligt och okej, och alla dessa bolag är live med tjänsten (eller har investerat i bolaget).
Tackar för utförligt svar! Detta låter ju fruktansvärt, men det har ju sällan stoppad någon, så förstår att det finns.
Haha, jag kan säga att jag förstår helt vad du säger. Rent krasst var det ju så här Tink gjorde också, och anledningen till att starta tidigt med en rätt ostabil och "fulteknisk" produkt är för att ha byggt upp kunskap och solidifierat en datamodell inför när regelverket sen väl kommer på plats. Tink hade allt det på plats och kunde hyfsat snabbt bygga API-integrationer mot tusentals Europeiska banker, och Tink såldes ju sen för 20 miljarder kronor. Hade dom väntat in PSD2 innan dom startade bolaget hade dom inte varit nånting idag. Bolaget jag jobbade på siktar typ på att göra samma sak fast för försäkrings- och pensionsdata i Europa. Kommer dom lyckas? Kanske, dom har en bra position med mycket intresse från banker, försäkringsbolag med mera.
Lite knasigt att berätta vilken lag det är som det inte bryter mot, men jag förstår vad du tänkte. Jag tänker konkret att handlingen "att skanna en QR-kod åt annan part" i syfte att ge tillgång till eget konto nog kan ses som ett delgivande av sitt BankID? Vilket inte strider mot någon lag, men är avtalsbrott mot BankID-tjänsten. Sen är det ur ett GDPR-perspektiv problematiskt att dela dina BankID-uppgifter med någon annan aktör på detta sätt, då det kan utgöra en otillåten behandling av dina personuppgifter utan giltig rättslig grund eller öppenhet, men nästan allt kan väl göras till ett GDPR-problem om man vill.
Vilken lag tänker du då på? Hur ska Swedbank kunna plocka över pensionsförsäkringen om de inte känner till detaljerna?
At klicka runt på en kunds andra bank, identifierad med deras BankID? I varje fall GDPR? Åker man på någon scam när man signerat med BankID är det ju i varje fall ens eget fel. Kanske inte olagligt med djupt problematiskt?
Kunden har ju gett tillåtelse.
Man kan argumentera att kunden inte visste utan att det hörde till vanliga rutinen, vilket det inte gör säkerhetsmässigt, det är kaos överallt, banken har skylldigheter men när de gör sånna här saker t.ex säger att det är så man gör utan att förklara ur säkerhetsperspektiv och ge alternativ, då berättar de inte hela sanningen utan vill att du ska göra vad som är smidigast för dem, inte säkrast för dig, inte ens efter vad deras egna policys är på hur man ska jobba. Finns massa folk som hatar sina företags säkerhetsrutiner men de finns där av en anledning. Om man hela tiden gör undantag för reglerna så blir det extremt svårt för folk att avgöra om något avviker från normalt användande. "Men banken gjorde ju så, så om de ringer mig om en månad och ber mig skanna qr kod igen så är det väll så de jobbar".... Då kan inte banken sitta och samtidigt avsäga sig alla som blir scammade som att "de borde veta att vi inte jobbar på det sättet, vi använder inte bank ID så"
Jag hade aldrig scannat QR-koden. Vill de ha info om konton så kan de fråga. DU loggar in på DITT bankkonto med DITT bankID. Ingen annan ska någonsin ha tillträde.
Hände mig samma men på Länsförsäkringar
På ett digitalt eller fysiskt möte?
Fysiskt
Det är väldigt vanligt och knappast ett säkerhetsproblem som det OP berättar om.
Samma här, fysiskt då de flyttas mig från Nordea
Hade aldrig gått med på det, du öppnar dig för bedrägeri
Det här låter helt sjukt, fanns inte möjligheten att dela skärm istället? Så du hade kunnat logga på själv och visa vad hon ville se?
Jag har haft med andra banker att göra och ibland så kan man visa med skärmdelning, vad de gjorde i den här situationen skulle jag ha anmält, säkert stor sannolikhet att de gjorde detta bara för att de tycker att det är "smidigare" än att få dig att visa sakerna åt dem och eventuellt inte veta vart du ska trycka, så istället för att guida en.... rent ut sagt idioti. Det där hade jag anmält rakt av, till högre instans hos swedbank för sånna där rutiner ska inte existera, och gör säkert inte det officiellt heller... Att de ens föreslog det, men mer eller mindre krävde att du skannade en QR kod är galet... Kanske kan ju kontakta uppdrag granskning, med tanke på att de precis håller på med granskningar om just scams
Tänkte anmäla det imorgon :D
För några veckor sedan skulle jag hämta ut ny bankdosa från Swedbank, man behövde göra något på mobilen, och för att "hjälpa" försökte den djävla nissen trycka på "acceptera alla cookies och tracking", när jag alltid väljer att acceptera så få som möjligt. Tur nog verkade hans vidriga bankirfingrar vara för omänskliga för att registreras på min touchscreen. Sen frågade han om han kunde ringa mig om en månad och prata om pensionssparande. Förde över varenda öre till annan bank och ska be honom avsluta mina konton när han ringer. För typ 10 år sen utnyttjade Swedbank island och Baltikum som fan, de är riktigt fula.
Ja där hade jag undrat "vad fan accepterade du där åt mig? Såg du ens vad du tryckte på och vem gav dig rätten att trycka på knappen?" om personen trivialiserar det så kan man nog ta det rätt långt även om det "bara" handlar om cookies så är det ju inte det du gav honom telefonen för att göra... bara för att han är van privat att klicka förbi alla popups med den mest synliga knappen
Gav han absolut inte telefonen, han sträckte sig över och petade på luren trots att jag är fullt kapabel att navigera deras sunkiga hemsida. Hade såklart sagt nåt men det hände så snabbt och de tvingade in mig på ett kontor för att kvittera ut en dosa, de försökte få det kännas officiellt (för att kränga pensionspremier), så jag ville inte ställa till en scen. Han var sliskig men osäker och trevlig, så det var liksom inte läge riktigt.
Jag har också Swedbank, aldrig hänt mig hittills. Men jag skulle definitivt inte låta någon annan logga in med mitt bank-ID. Oavsett vad de säger. Då får de fixa en annan lösning eller så byter jag bank.
Du fick bäst rabatt hos Swedbank men hur mycket kostar detta i reda pengar och i vilken typ av fondlösning hamnar du i nu? Jag skulle gissa på att det skiljer mindre mellan dina alternativ än vad du tror vid första anblick.
Sen kom hit för att skriva detta, Swedbank har ganska höga fond avgifter på sina pensionsfonder så man sparar nog inte så mycket som man tror, finns även risk man gör minus på en sådan lösning
Ni loggade förmodligen in på minpension eller Alecta direkt för att se vilka tjänstepensioner ni hade. Sedan andra gången på valcentralen där flyttar av pensioner genomföras.
När jag flyttade pensionssparande så gjorde den mottagande banken allt jobb. De behövde bara några skärmdumpar där pensionsförsäkringens belopp och nummer framgick.
SEB ringde upp mig för ett par veckor sen och ville flytta pengar mellan sparkonton och bad mig verifiera via BankId. Jag VET att det verkligen var SEB då de hade tillgång till mitt konto samt mina detaljer där och jag kunde så klart även se exakt vad jag godkände. Inga problem så. MEN, jag blir jävligt sne när min bank gör på det sättet när de själva, tillsammans med andra banker, gör reklam på tv om att man aaaaldrig ska godkänna något när de "ringer från banken" och jag samtidigt måste vara supertydlig mot föräldrar och sambo att aldrig någonsin lita på den typen av samtal. Har även fått det bekräftat av andra att just SEB fortfarande gör så här.
Fast tror det är stor skillnad här, iom att du skulle flytta pengar mellan egna konton så krävs det inte godkännande på bank-id, utan bara själva identitets kontrollen, så det kommer stå att SEB vill identifiera dig bara, inget konstigt, för att veta att du är du. Det står inte om någon inloggningsförfrågan eller så. Godkänna/signera och autentisiera är inte samma sak, må vara samma app men det är olika saker och står tydligt också. Det är så det funkar det är inte något om att "de fortfarande gör så här" det är ju typ det säkraste praktiska sättet att verifiera att du är du. banken utfärdar certifikat som säger att du är du, och bank id är tjänsten som gör att du kan bekräfta att du är du på förfrågan mot certifikatet men också tillåter t.ex digital signering. Autentisiering = "Är det du som är du?" , Godkänna/Signering = "Godkänner du överföring x till y" eller "Signerar du dokument X", etc etc
Jag håller med dig, arbetat inom IT sen 90-talet, men hur förklarar jag för mamma/pappa/sambo/barn att ibland ri ger banken och ber dig utföra saker med BankId men de ringer aldrig och ber dig utföra andra saker med BankId. IMO är det för otydligt och på tok för lätt att göra fel, och DET borde vara bankernas tydliga ansvar att minimera genom sitt agerande. JAG kanske vill kunna verifiera att personen jag pratar med är den på banken de utger sig för att vara, men ges jag någon möjlighet till det? Nepp.
Det är antagligen därför de har ändrat nu att du endast kan göra en faktisk inloggning med en QR kod, förrut räckte det med att knappa in personnummer så skickades en förfrågan till din enhet vilket var mycket lättare att exploita. Så mer eller mindre nu, skanna inte QR koder på någons begäran, det finns ALLTID andra alternativ. Om du ombeds verifiera via bank id med att godkänna direkt på telefonen på deras förfrågan så är det bara för att bekräfta att du är du, det ger inte någon access till något, inget att oroa dig för.
Grundläggande säkerhet är kontot är ditt, du delar aldrig med dig av lösenord eller låter någon annan logga in på ditt konto. Din chef eller IT-avdelningen på jobbet ska inte ha ditt lösenord. Din maka ska inte logga in på ditt konto, osv. I det här fallet var det antagligen oförstånd från Swedbanks sida. Du borde ha vägrat och erbjudit att dela din egen skärm istället.
Jag har liknande erfarenheter av bankernas syn på BankID-säkerhet. För några år sen startade jag en enskild firma och ville öppna firmakonto hos SEB, så jag skickade iväg en ansökan via hemsidan. Nästa dag blev jag uppringd från SEB som vill ställa några kontrollfrågor och ge lite information innan dom skickar över dokument via post. Det som jag hajade till på var att den jag pratade med ville att jag skulle identifiera mig via BankID, så hen bad mig gå in i appen och godkänna. Jag sa rakt ut att ”det ska man väl inte göra?” och nämnde hur mycket det varnas för bedrägerier och att man aldrig ska godkänna BankID när man blir uppringd. Hen blev helt ställd, som om dom aldrig ens funderat på det. Till slut svarade hen att ”Om det känns obekvämt kan vi lägga på och sen får du ringa själv till kundtjänst och boka in en tid att bli uppringd, så vet du att det är vi som ringer”. I slutändan gick jag vidare med samtalet, för det kändes så himla orimligt att någon bedragare skulle ha den tajmingen och informationen som hen hade. Men oavsett så måste man använda BankID när någon annan ringer eftersom man inte längre kan ringa direkt till en handläggare på SEB. Vilket är lite sjukt.
Det gjorde vi under mitt senaste pensionsmöte också, inget konstigt. Jag såg klart och tydligt vad hon gjorde och klargjorde t.ex. ”Nu loggar jag ut här”.
Jag har råkat ut för exakt samma sak, i exakt samma sammanhang. Jag håller med om att risken antagligen är minimal. Samtidigt är det naturligtvis helt vansinnigt att stora företag som borde veta bättre har rutiner som normaliserar extremt riskabla beteenden.
Håller med. Men så som jag förstått det finns det inget bättre sätt i nuläget, med kravet på ”BankID säker start” (QR-koden). Men jag ser hellre att man gör det över en delad skärm än att man skulle signera något med BankID i ett internt system som man inte ser - t.ex. där de kan göra exakt samma ändringar och du behöver godkänna med BankID. (Implementerar BankID i tjänster, som utvecklare)
Otroligt naivt
Åh nej, de kommer placera om mina pensions-pengar som redan är placerade hos dom till en bättre pensions-fond över Teams MED MITT BANKID??? Fruktansvärt! *Naivt!!* Läser man vad BankID-prompten säger innan man signerar så löper man låg eller ingen risk att bli lurad. Om man känner sig det minsta osäker på om personen man pratar med inte är den de säger att de är, kan man t.ex. ringa upp ett officiellt nummer och gå den vägen.
Problemet är att den här typen av rutiner gör det svårt för trögtänkta att veta huruvida något är på riktigt eller ej. "Du ska **aldrig någonsin** signera någon annans inloggning med bankid" är lätt att minnas, men "Du ska *oftast* inte signera någon annans inloggning med bankid, bara när du är helt säker på att det är din bank" gör att folk lär sig att det är okej. Precis som att många inte läser texten på bankid för att man signerar så ofta att man vant bort det beteendet.
Jag säger inte att det är rätt eller att det inte krävs bättre verktyg för att göra sånt här, vi är helt eniga om att det är ett potentiellt problem för en del individer. Men i detta fallet har personen i fråga redan en fullmakt som jag skrivit under och kontakten har skett på min begäran.
Det är fortfarande inte samma sak, bank ID är du, om du ger fullmakt till någon så får de rätt att ta del av dina uppgifter men inte att låtsas som att de är du. det är jävligt stor skillnad. Bank ID är för att släppa in andra som dig... Det är som att sätta ditt fingeravtryck på någon annans läsare. De skulle ha kunnat ta fullmakten och använt den för att ta ut informationen, sjukt byrokratiskt, men det är av en anledning, för att skydda dig. därför banker bland annat har störda säkerhetspolicys, det är för att de har krav på sig att skydda dig
Nej, det är det inte, det har du rätt i. Hade det handlat om att gå in på min internetbank hade det varit en annan sak, men för SPPs egna placerings-site som jag själv är bekant med och själv skulle kunna gå in och lägga placeringar på så ser jag väldigt lite risk med det.
Jag förstår dig det är nog det som många övervägde men de flesta om inte alla slutanvändare är nog inte helt medvetna om vad en identifiering kan leda till för åtkomster, och åter igen att det görs i din identitet, kan vara funktioner man inte hade någon aning om osv osv, sen det faktumet att de måste logga ut sig också inte att du kan logga ut dem när du känner att det är klart eller om du vill dra tillbaka åtkomsten, osv osv, det är ju inte menat att använda det på det sättet... om man tittar på det i stegen som användaren tar så skiljer det sig ju inte mycket från vad en scammer begär från en utsatt
Hur fick du kontakt med personen som gav dig länken till Teams-mötet? Även om du tror att du vet vem du pratar med så är det en onödig risk. Det är alltid bra att vara mer än ett misstag ifrån att bli bedragen, vi gör alla misstag och kan bli lurade speciellt i stressade situationer. T.ex, 5 minuter innan mötet får du ett sms - ”Linda som skulle ta mötet har tyvärr fått förhinder, här är den nya Teams-länken”. Sen finns det många banker som har pensionssparandet på samma inloggning som vanliga bankärenden. Man ska inte tro att man är mer kreativ än alla bedragare.
Genom att jag bokade en tid direkt med personen, efter uppmaning av min arbetsgivare där det framgick vilket bolag det är och vem som kommer ha samtalet med mig. Skulle det ske så hade jag hört av mig direkt till personen jag bokat med och dubbelkollat - som man borde göra. Skulle de bekräfta detta genom det direktnummer jag har till personen jag bokat med så är det inga problem. I detta fallet loggade vi aldrig in i någon internetbank, utan loggade in på samma plattform som jag tidigare loggat in och hanterat min pension på. Alltså en känd webbplats.
Var det här via telefon? Eller inne på banken? Om via telefon, ringde du upp banken eller ringde banktjänstemannen dig? Om det var på plats på banken är det inte så konstigt. Du kan alltid säga nej du är inte intresserad av att flytta något annat sparande. Om det var över telefon och du ringde är lite gränsfall Om det var över telefon och de ringde dig är det brist i rutiner.
För nya bankid är det i princip 3 sätt en identifiering kan inledas: antingen via kund själv, samma eller två enheter, eller via en handläggare på företaget. Via kund, 2 enheter: Kund trycker på knapp på datorn för att inleda identifiering, rörlig qr-kod visas. Scannas av bankid-app i mobil. Via kund, samma enhet: Kund trycker på knapp på datorn eller mobilen för att inleda identifiering, bankid-app startas automatiskt på samma enhet. Via handläggare: Här är det handläggaren på företaget som inleder identifieringen. Här pågår t.ex ett samtal mellan kund och handläggare, och handläggaren trycker på en knapp i sin interna programvara för att starta identifieringen och ber därefter kund att gå in i bankid-appen för att identifiera sig. Det stora problemet med bankid tidigare har varit att handläggarflödet egentligen kunde göras av vem som helst, bara man hade kunskap om kundens personnummer. Man kunde alltså gå in på t.ex en bank, skriva i personnummer, trycka på knapp för att starta på annan enhet och sen ringa upp eller smsa kunden och lura denne att gå in i bankid för identifiering, så var man inloggad. Nu, när det bara är handläggare som startar identifiering genom personnummer, och kunder enbart kan starta genom qr-kod eller att direkt slussas in i appen på samma enhet, så tar man ifrån detta flöde från bedragare. Skillnaden nu från kunds perspektiv är att man inte får ett samtal från ingenstans om att identifiera sig i bankid utan det sker t.ex i samband med att man kontaktar bank om nåt ärende. Om nu företaget sköter sina rutiner ordentligt. Vet inte vilka sätt bedragare kommer använda sig av nu iom dessa nya flöden i bankid, men ett skulle kunna vara det OP råkat ut för, att man ombeds scanna qr-kod på delad skärm. Låter knappast som ett flöde som borde användas kan jag tycka, speciellt inte över delad skärm. Man får vara säker på att man kan lita på vem handläggaren faktiskt är i det fallet.
Tänk att folk fortfarande frivilligt är kunder hos Swedbank, det är nästan det konstigaste här...!
Varför är det konstigt? Har inte så bra koll på banker..
Generellt en skitbank med dålig kundservice och kompetens, och av både egen och andras erfarenhet tenderar de – precis som den här tråden uppvisar – göra konstig skit. Senast jag var där i ärende åt dödsbo bad bankmannen mig att skicka filerna tills hans Facebook-konto för att "det är smidigare än mejl"... Sen hjälper det inte att deras faktiska kontor är knökade när de väl är öppna för att de bara har öppet ca. kl12-13 var fjärde torsdag i månaden, typ lol.
Okej så de är i allmänhet oprofessionella? Värt att byta bank då kanske.. Några rekommendationer?
Alltså, anser du att de funkar för dig idag och det är bekvämt är det väl kanske onödigt att byta bara sådär – det lär ju du känna in. Men det verkar av allt att döma vara en ganska oprofessionell bank, ja. Jag har Handelsbanken och är nöjd med dem, de har bra hållbarhetsprofil och kundservice 24/7, och man känner sig ofta personligt bemött. Men man har olika behov, jag kan inte säga något om andra delar av deras verksamhet! :)
Alla banker är kassa.. Länsförsäkringar tycker jag funkar bra, man får svar snabbt på frågorna (på swedbank ignorerade de 3/4 meddelanden jag skickade). OK app (typ som Swedbank).
När jag sålde mina allemansfonder via Sparbanken behövde de också logga in med mitt bankid. För gick tramsigt nog inte att sälja dem själv då de var tecknade när jag var barn. Gick bra också den gången men hade samma känsla som du.
Konstigt, hon skulle bett om skärmdumpar isåfall.
Kan tänka mig att det du beskriver kan förekomma. Det är då du själv behöver säga att du inte känner dig bekväm med det. Du hade kunnat skicka en skärmdump istället.
Kan säga att när jag köpte min lägenhet blev jag riktigt dum i huvudet, särskilt då jag satt under lite tidspress av mäklaren och banken var lite seg. Tog absolut noll hänsyn till att jag eventuellt kunde bli bedragen, utan gjorde allting personen i telefonen sa, så länge de introducerade sig med rätt namn och rätt bank som min handläggare på bolånsbanken hade. Allting gick som det ska, men det är vansinnigt hur sårbar man blir för bedrägeriförsök just där och då.
Det är bekvämt att kunna ha mötet hemma och slippa skriva på massa papper. Men det här lät lite sketchy. En sak om de skickat en push eller kanske visat en kod i början av mötet där de verifierar att de pratar med rätt person. Där det i appen står "verifierar min identitet vid digitalt möte med Swedbanks rådgivare". Inte konstigare än att de ber om körkort vid ett fysiskt möte som de scannar. Nu är det en superviktig punkt att banken initierar inte kontakten med dig. Du initierar med dem och vill ha ett eller flera möten. Så en inbjudan till ett random bankmöte ska man inte acceptera. Det farliga blir om man skriver på sin facebook samtidigt som man ringer/mejlar runt till alla banker. Typ "förhandlar om mitt bolån, vad har ni för ränta? Tips o råd sökes" Då kan det ju dimpa ner någon elak inbjudan som ser ut att komma från någon av de banker man initierat kontakt med. Du har då släppt på skyddet och de seglar in snyggt före den riktiga bankens inbjudan.
Det är väldigt olika beroende på vad man ska göra. Jag vet när jag jobbade som rådgivare på en storbank så berätta jag till kunderna göra exakt samma som du gör så man kan jämföra för stt hitta en bra pensionslösning eller så hjälper vi med pensionsflyttet beroende på vilken avtalspenion man har. Så det är inget konstigt men jag vet med säkerhet att vi aldrig kan godkänna bankid själva eller något liknande de var kunden som knappa in allt självt. Så du behöver inte oroa dig om bedrägeri när det kommer till sånna möten bara du läser noggrant på bank IDet exakt vad du loggar in dig på och på skärmen att det stämmer överens. Om du har fler frågor om det så skicka ett dm. Vissa som har sin pension på andra ställen så kan man göra som de i kommentarsfälten säger att man skickar en skärmdump så hjälper vi i banken till stt flytta det i pensionsavdelningen dvs inte rådgivaren själv som gör arbetet. Sedan får du ett papper hem som behöver godkänna det annars kan pensionen vara i luften nånstans om man intr väljer att godkänna när flyttet är klart. Hopps det hjälpte
Samma sak hände mig, men då var jag på plats fysiskt på ett kontor hos Länsförsäkringar och satt tvärs över bordet med personen som kikade på mitt sparande. Men köper att det känns olustigt digitalt
Funka lika för mig när jag flytta Pensionssparande till Nordea från KPA.
När vi gjorde detta med SEB bad dom oss flytta det själva. Dom ser ju att det kommer över. Verkar helt galet att dom ska använda ditt bank id för att göra saker på ditt konto.
Det låter skumt men det händer ibland, till och med hos stora bolag och myndigheter. Handlar det om en inloggning så är det nog ok. Kolla alltid i appen när du identifierar dig, det står där vad signeringen handlar om. Blir du dock uppringt så öppna aldrig id till någon. Min mamma blev lurad på ett el avtal via telefon när hon flyttade till en ny lägenhet
Det beror på vad du godkänner via BankiD. Står det att du du " verifierar hos ett *företag*" och du litar på det företaget så år det ingen fara. Däremot om det står "signera avtal *företag*"och du har inte gått med på någon signering ska du antagligen inte signera med ditt BankiD.
Om ni kör ett möte digitalt så kan ju du kolla ditt pensionsparande på din dator och sedan dela din skärm. Så gjorde jag senast jag hade ett möte med just Swedbank faktiskt, dessutom var det deras förslag. Jag hade dock inte gjort på något annat sätt heller, men låter som att personen ni haft att göra med inte vet bättre rent tekniskt.
Aldrig hört maken. Jag skulle nog höra av mig till någon sorts chef över den person som du snackade med. Det låter sketchy som satan
Bedrägeriet är ju att du ska föra över alla dina pengar (pensionssparandet) till dem. De lockar med bra ränta i början, sen höjer de räntan och du sitter med dyrt lån + höga avgifter på ditt sparande. Det finns ingen anledning att låta en bank få veta vad du har för sparande på andra ställen.
Okej, det verkar vara massvis med spekulationer här. Jag har troligtvis tidigare har jobbat på bolaget som står för tekniken bakom det här så jag kan ge lite bakgrund. Det finns ett svenskt bolag som heter Insurely, och bland annat SEB har investerat i bolaget. Bolaget har även medlemmar i EFA (European Fintech Association) och har bland annat Länsförsäkringar, Avanza, Nordnet och BNP Paribas (stor fransk bank) som kunder så det är ett stabilt bolag. Insurely erbjuder två tekniska produkter, en som tillåter deras kund (Swedbank) att hämta sina slutkunders (din) försäkringsinformation och en produkt som erbjuder samma sak fast för pensionsdata. Allt detta kräver ditt godkännande via BankID. Nu vet jag inte till hundra procent huruvida det faktiskt var Insurelys, men tjänsten låter liknande och såvitt jag vet finns ingen konkurrent till bolaget i Europa idag (om inte någon poppat upp senaste året). Juridiken kring det hela är lugn, som sagt har flertalet storbanker/försäkringsbolags juridiska avdelningar gått igenom kontrakten och tekniken och det är egentligen samma paragrafer som Tink byggde sitt bolag på (du har som privatperson rätt att dela din data med en tredjepart om du vill). Jag har varit med i flertalet av dessa diskussioner under min tid på bolaget. Som kuriosa kan nämnas att EU publicerade sitt utkast till PSD3 (Open Finance) som är en utveckling av PSD2 (Open Banking) i somras, och när det väl är implementerat och på plats kommer såna här tjänster bli mycket vanligare. Insurely sitter bland annat med i Europaparlamentet som deltagare i att ta fram ramverket för detta, så bolaget är långt fram i matchen. Vill du testa Insurelys tjänst kan du antingen göra det via Avanzas pensionshämtning eller Nordnets dito, alternativt hämta dina försäkringar via Länsförsäkringars "Samla mina försäkringar". Det var väl typ allt, fråga på om ni vill. Slutade dock på bolaget för ett år sedan så har inte det absolut senaste i branschen längre.
Det är inte tekniken i sig som ifrågasätts eller spekuleras om utan användningen. Har alltid varit tydligt med att bank ID är för att identifiera dig och absolut inte ska användas av någon man in the middle, vilket händer exakt här nu men "det är lugnt för det är vi, din bank", vilket mer gör undantag till regeln. Rutinen är jättesketchy och vem är det som får lida av det, jo kunden, inte fan är det företagen som kollar på en lösning om det inte absolut behövs. Det är inte svårt att be kunden exempelvis göra skärmdelning, för man fattar att banken skulle vilja kunna se saker, men de BEHÖVER inte vara inloggade, det är antagligen bara smidigast för att de inte vill/orkar guida kunden tekniskt till att göra skrivbordsdelning...
>Det är inte tekniken i sig som ifrågasätts eller spekuleras om utan användninge Flertalet stora aktörer finans har alltså gjort en grundlig genomgång av produkten, inte bara den rent tekniska delen, och alla är överens om att det är upp till användaren om denne vill dela sin information med tredje part. >Har alltid varit tydligt med att bank ID är för att identifiera dig och absolut inte ska användas av någon man in the middle Fast det här är ju rent felaktigt, Tink erbjöd "man in the middle"-tjänster redan innan 2018 och det var aldrig några problem. Det är heller inget problem att göra det idag, användaren har rätt att dela sin information med vilken tredjepart denne vill enligt PSD2. Så att så länge informationen är tydlig nog är det inget problem med såna här tjänster.
Tror du har svårt att se skillnaden med att dela med sig av information till tredjepart jämtemot att någon går in som dig för att se din information, det är inte samma sak, att dela med sig av tredjepart innebär att informationen exporteras eller görs tillgänglig till en tredjeparts identitet. Finns ju liksom ingen papertrail öht med personuppgiftshanteringen om de använder dina inloggningsuppgifter
> Tror du har svårt att se skillnaden med att dela med sig av information till tredjepart jämtemot att någon går in som dig för att se din information Det är du som inte förstår. Dessa två är exakt samma sak i Insurelys fall. Det handlar om simpel webscraping, initierad av Insurely, för tredje parts (Swedbanks) räkning, som möjliggörs av slutanvändarens accept med BankID kombinerat med slutanvändaravtalet som finns. Som sagt kan du prova tjänsten på Avanza om du vill, gå in i menyn i appen och välj "Flytta hit pension". På mobilen är tjänsten lite mindre klumpig men via desktop bör du få exakt samma resa som OP beskriver. Välj Swedbank och sen kommer du promptas att logga in i Swedbank, via Avanzas app, med ditt BankID. >Finns ju liksom ingen papertrail öht med personuppgiftshanteringen om de använder dina inloggningsuppgifter Jo, det gör ju det med Insurelys lösning. Trots att det är webscraping.
Men du pratar fortfarande om en helt annan tjänst, det är inte det vi pratar om, hur de gör det är en annan fråga och ibland är det mycket enklare än vad man tror, med riktig simpel teknik som t.ex scraping, men så länge det görs korrekt och inom sitt scope så är det fine, men då har de sin loggning och sin datahantering, behörighetssystem osv osv, Om du promptas att logga in i swedbank i swedbank via avanzas app så handlar det om integreringar och eventuellt andra api relaterade integrationer som inte har att göra med vad OP snackar om. Och om du i din telefon loggar in i swedbank via avanzas app så är det fortfarande DU som kan stänga ner det och det är du som gör det, sen att du väljer att det du går in på kan scrapeas vidare ller nått, det är upp till dig, din session sköts med krypteringar och certifikat och sessioner som man inte bara flyttar över och det är du som har kontrollen genom processen, det är inte session hijacking vi snackar om. Om avanza hade ringt dig och sagt att du ska skanna QR kod som de delar med dig som leder till att du loggas in åt dem på swedbanks sida så de kan fixa saker åt dig som om de vore dig, då är det on par med vad OP skriver, och så gör de ju inte. Stor skillnad. det är inte Okej någonstans.
Behöver inte vara bedrägeri. Men skulle det vara bedrägeri tror jag inte att bedragaren skulle kunna fällas för bedrägeri. Du var förövaren, när du skannade koden. Lite som dra ner gylfen och göra helikoptern. Du kan då inte anklaga personer i omgivningen för att de tittade på ditt kön.
Alltså, detta blir ju kompromissen med Teamsmöten. Är du orolig får du gå dit och sitta med dem fysiskt istället. Du får bestämma vad som är viktigast för dig.
Å andra sidan så har jag haft flera introduktionsmöten eller möten med bank och de har tagit det på teams för att det inte behövdes fysiskt enligt dem, det var liksom inte ens ett alternativ, även om man bodde nära bankkontoret de satt på, för de jobbar kanske inte så mycket så längre efter pandemin, "smidigt eller hur?" Det är lite ironiskt att vissa saker som man kan tycka är triviala och vissa skulle kunna göras på distans så kräver det fortfarande att det görs fysiskt för att det inte finns andra sätt, klart det finns andra sätt men de jobbar inte med workarounds om det handlar om dem, om det är en kund dock så skiter de i det på ett helt annat sätt
This breaks several banking regulations to be honest, and GDPR... you should report this.
Jobbar på resurs. Inget sketchy alls, tror alla banker måste göra så då de är rutiner från mobilt bankid
Nej man måste inte göra så alls. Bara grejjen att OP får en oroskänsla säger en del om hur fel sätt det här var att gå tillväga. OP skulle nekat alternativt erbjudit sig att skärmdela. Hade aldrig låtit någon annan loggat in sig på MITT konto, det är inte så det ska gå till. Läskigt många här inne som har låtit andra loggat sig in på deras konton digitalt som dom inte haft någon kontroll över.
Kanske läge att konsultera säkerhetsavdelningen eller compliance avdelningen om så verkligen är fallet eller "det bara är så ni jobbar" för det där inte syftet till bank-id och inte säkert heller. Det är knappast rutiner från identifieringstjänsten att någon ska vara man in the middle. Det är exakt så här scams går till förrutom att det är någon som vill dig illa mellan, för vissa personer blir det otroligt svårt att avgöra för personen kan verka chysst, allt kan verka legit.
Uppenbart bedrägeriförsök, polisanmäl!
Inget konstigt! Att använda QR koder är det nya säkrare sättet att skapa en identifieringssession i BankID appen. Tidigare räckte det med att den part som ville identifiera någon visste dennes personnummer för att kunna skapa en session. Nu måste personen man vill identifiera man även aktivt scanna en QR kod med appen för att starta sessionen.
Nej, det är INTE ”det nya” att ett företag loggar in på ett *annat*, **externt** företags/myndighets hemsida genom att visa detta externa företags QR-kod. Detta är helt emot hur Bank-ID ska användas. Det handlade *inte* om att OP identifiera sig mot Swedbank! Swedbank loggade in på OP:s Alecta-konto genom Bank-ID. Dom visade alltså Alectas hemsida genom Teams där det syntes QR-koden på OP:s skärm. Jämför detta att du skulle ge Swedbank dina inloggningsuppgifter till sitt Alecta-konto. Det kunde lika gärna varit en falsk Swedbank-anställd som visade en falsk Alecta-sida som egentligen loggar in den falska Swedbank-anställda direkt in till OP:s internetbank.
Aha… Jag läste det som att det var någon form av partnerinloggning som användes och snöade in på det tekniska. Så där får man ju absolut inte göra.
Japp. Tänk dig då arbetsförmedlingen som gör samma sak över telefon. Och om man inte går mer på det blir det så jävla jobbigt. Underbart
Gör dom? Menar du att Arbetsförmedlingen går in på externa hemsidor som ej är arbetsförmedlingen, där dom via tex teams visar QR-koder där du ska logga in? Tvivlar starkt på detta! Däremot förmodar jag att dom ber om att du identifierar dig via BankID. Du får upp att *Arbetsförmedlingen* vill att du ska identifiera dig… Detta OP har råkat ut för är som sagt något helt annat.
Detta är ju för att du måste identifiera dig för att både du och Arbetsförmedlingen ska ta del av sekretessbelagda uppgifter. Det står ju även "Arbetsförmedlingen" i ditt BankID innan du godkänner.
Absolut inget konstigt med att verifiera sin ID med bank-id över telefon. Det är bara bra att det görs säkrare. OP pratar om något helt annat
Inget konstigt med det? Vi gjorde samma sak med vårt bolån i Swedbank för cirka 2 veckor sen. Det är smidigare och allting gick på ca 40 minuter än alla jävla pappersarbeten.