BankID kaller metoden helt trygg – professor anbefaler den mobile

Sjøl om flere har blitt svindla for tusener etter å ha brukt BankID, er metoden helt sikker, fastholder selskapet. En professor i informatikk anbefaler likevel BankID på mobilen. Nå får et av svindelofrene trolig pengene igjen av banken.

Tastetrykk, datamaskin

BankID har med tida blitt en svært vanlig metode for å bevise at man er den man sier på internett. I tillegg til bankene bruker også en lang rekke offentlige etater og enkelte private aktører BankID, og utbredelsen har økt under pandemien.

Foto: Ingvild A. Eide / NRK

– Å bruke BankID er ikke farlig, sier kommunikasjonssjef Hanne Kjærnes.

Tirsdag fortalte NRK om studenten Emma Monsen, som blei svindla for over 40.000 kroner. Banken hennes, Sparebank1 SR-Bank, har flere kunder som har opplevd lignende. I ett av tilfellene fikk svindlerne ut hele 60.000 kroner.

Hanne Kjærnes, Vipps

Hanne Kjærnes, kommunikasjonssjef i BankID og Vipps.

Foto: Ilja C. Hendel

Etter publisering har NRK fått henvendelser fra flere urolige BankID-brukere. Gjennomgangstonen er at BankID fram til nå har blitt oppfatta som helt trygg, men at svindelsakene stiller BankID i et helt annet lys.

Brukte kodebrikke

Monsen opplevde følgende: Via det som så ut som hybel.no fikk hun en SMS om visning på et ledig rom. I SMS-en var ei lenke hvor hun måtte oppgi BankID for å avtale visning. Muligheten til å velge BankID på mobil kom aldri opp, så hun brukte kodebrikka.

Kodebrikke for BankID fra SpareBank1 SR-Bank

Emma Monsen brukte kodebrikke før svindelen. Men både kodebrikke, BankID på mobil og eventuelle apper utvikla av banker anses som like trygge, sier Hanne Kjærnes i BankID.

Foto: Kaj Hjertenes / NRK

Hun oppga ingen annen informasjon enn personnummer og koden fra BankID. Identifiseringsmetoden hadde hun måttet bruke på hybel.no flere ganger før.

Dagen etter oppdaga hun at sparekontoen med nesten 42.000 kroner var tom.

Kjærnes bedyrer at det ikke er noen grunn til å miste tiltro til BankID som identifiseringsmetode.

– Det som er utrolig viktig å vite er at seriøse aktører aldri kommer til å sende ut SMS-er hvor de ber om sensitiv informasjon, sier hun.

Mener svindlerne har hatt flaks

BankID er en del av Vipps, som jobber med både betalings- og identifiseringsløsninger. De har nå sett nærmere på Monsens konkrete sak. Kjærnes har ikke noe nøyaktig tall, men opplyser at Monsen har oppgitt engangskode mer enn én gang.

Likevel: Studenten oppga aldri hvilken bank hun var kunde i. Likevel fant svindlerne det ut. Ved å vite hvor i landet hun var registrert, og kunne de finne riktig bank raskere, tror BankID.

Emma Monsen

Emma Monsen trodde hun hadde kontakt med utleieren av et rom, og oppga BankID for å avtale en visning. I virkeligheten hadde hun kontakt med svindlere.

Foto: Kaj Hjertenes / NRK

– Svindlerne har sannsynligvis hatt flaks og truffet ganske fort. Slik kunne de logge seg inn i hennes nettbank og tømme sparekontoen, dessverre, sier Kjærnes.

NRK har etterpå kontakta Emma Monsen, som ikke kan huske at hun gjorde mange forsøk. Hun kan likevel ikke utelukke at hun gjorde mer enn ett.

Professor: – Bruk mobilen

Fredrik Manne er professor i informatikk ved Universitetet i Bergen. Han mener bruken av kodebrikke er en svakhet med BankID. På mobil får nemlig brukerne tydeligere informasjon om hvem de identifiserer seg overfor, mener han.

Fredrik Manne

Fredrik Manne, professor i informatikk ved Universitetet i Bergen.

Foto: Jens Helleland Aadnanes / Universitetet i Bergen

Monsen trodde hun identifiserte seg overfor hybel.no, men har i stedet gjort det overfor svindlerne.

– Men BankID skal fungere i mange sammenhenger. Så at man har ulike måter å identifisere seg på, er helt naturlig, sier han.

Professoren er ikke skeptisk til BankID som system, men er klar på at han anbefaler mobil BankID.

– Da er det vanskeligere for den som skal svindle deg å få deg til å gjøre de operasjonene som skal til, sier han.

Professorens bekymring over kodebrikka kommenterer Hanne Kjærnes i BankID slik:

– Sikkerheten er like god på alle områdene, sier hun, og viser til både kodebrikke, BankID på mobil eller apper som bankene sjøl har utvikla.

Får trolig pengene tilbake

Først fikk Emma Monsen beskjed om at pengene hennes var tapt. Nå har banken snudd – litt.

Thor Christian Haugland

Thor Christian Haugland, konserndirektør for kommunikasjon og bærekraft i Sparebank1 SR-Bank.

Foto: Kaj Hjertenes / NRK

– Her tyder ingenting på at studentene har opptrådt uaktsomt, og da kan det bli banken som tar den regninga, sier Thor Christian Haugland, konserndirektør for kommunikasjon og bærekraft i Sparebank1 SR-Bank.

Haugland tror det vil være svært vanskelig å oppdage svindel av denne typen.

– Det ville ha vært svært krevende å se at lenka de trykte på, var falsk, sier Haugland.

Mer BankID under korona

BankID har kjent til denne typen svindel i halvannet år. Bruken av BankID har dessuten økt under pandemien. Flere har gjort mer hjemmefra.

Selskapet er likevel ikke bekymra.

– I fjor brukte en gjennomsnittlig nordmann BankID 200 ganger. Så svindeltallene er veldig lave når en ser på hva en kan bruke BankID til i Norge, sier Kjærnes.

Hun oppfordrer BankID-brukere til å kontakte banken sin umiddelbart dersom de tror de kan ha oppgitt BankID til en useriøs aktør.

– Det viktigste vi kan gjøre, er å videreutvikle tjenesten teknologisk, slik at den blir enda tryggere og vanskeligere å svindle. For eksempel med biometri. Det er veldig vanskelig å stjele fingeravtrykket til noen, sier hun.

Flere nyheter fra Rogaland