Digital identitet i Europa beror på mer än bara digitala plånböcker

I framtiden kan danskarna som till exempel ringer till sin läkare eller försäkringsbolag få frågan om de vill använda MobilePay för att verifiera sin identitet.

Det blir möjligt eftersom Idura lanserar en ny lösning som gör det möjligt för företag att verifiera kundernas identitet direkt i MobilePay eller MitID under ett telefonsamtal.

Idag blir många fortfarande ombedda att uppge information som adress, födelsedatum eller tidigare betalningar när de kontaktar kundtjänst. Men de metoderna har blivit mindre säkra.

Idag gör Artificiell intelligens det möjligt att efterlikna mänskliga röster och personlig information kan läckas eller köpas online. Det innebär att bedragare i princip kan ringa till ett företag och låtsas vara en kund.

Med den nya lösningen kan företaget skicka ett meddelande till kundens mobiltelefonen där kunden bekräftar sin identitet direkt i MobilePay. Mobilepay används av cirka 4,7 miljoner danskar.

"Varje dag använder tusentals danskar MobilePay för att det är ett enkelt och smidigt sätt att betala. Vi har valt att göra MobilePay tillgängligt för Caller authentication eftersom det är ett säkert sätt att identifiera sig på. Säkerheten i MobilePay är hög och det är omöjligt för kriminella att utge sig för att vara en MobilePay-användare utan att ha kontroll över både telefonen och användaren. Därför är det naturligt att använda MobilePay för att verifiera sin identitet när man pratar med ett företag", säger Jeanette Hertzum, Country Manager på MobilePay.

MitID kan också användas
För många danskar kommer MobilePay att vara det enklaste sättet att verifiera sin identitet under ett samtal eftersom appen kan skicka en notis direkt till telefonen.

Det kommer också att vara möjligt att använda MitID. Då måste användaren själv öppna MitID-appen och godkänna förfrågan. Det kan vara svårare för många mitt i ett samtal. 

Anledningen är att MitID av säkerhetsskäl inte använder notiser. Det finns en risk att en användare får en notis och godkänner en identitetsförfrågan utan att vara uppmärksam, även när personen inte är i kontakt med kundservice. 

Brist på användarvänlighet kan vara en utmaning för vissa danskar. En ny undersökning från Ældre Sagen i februari visar att nästan en tredjedel av danskarna, särskilt äldre, fortfarande upplever problem med digitala självbetjäningslösningar som MitID.

Samtidigt kommer MitID fortsättningsvis att vara lösningen som används i situationer med högre säkerhetskrav, till exempel om en bankkund behöver godkänna ett lån eller liknande.

Snabb etablering väntas
Lösningen har redan lanserats i Norge och bygger på erfarenheter från Sverige där digital identifiering i telefonsamtal används i stor utsträckning av banker, försäkringsbolag, myndigheter och stora serviceorganisationer.

Iduras VD förväntar sig att lösningen snabbt får genomslag i Danmark.

"I Sverige är det standard i de flesta callcenters idag. I det danska näringslivet finns en tydlig oro för att artificiell intelligens ska kunna efterlikna människors röster. Därför förväntar vi oss att de flesta större företag med kundservicecenter kommer att använda lösningen inom några år", säger Niels Flensted-Jensen.

I Danmark har liknande lösningar hittills krävt stora specialanpassade integrationer och individuella utvecklingsprojekt. Med Iduras lansering finns tekniken nu för första gången tillgänglig som en standardiserad mjukvarulösning, se hur i videon: 

Verifierbara intyg förändrar det digitala identitetsområdet och kommer snart att bli en del av vårt dagliga liv.

I Europa föreskriver den nya eIDAS 2.0-förordningen att en EU Digital Identity Wallet (EUDI Wallet) ska skapas för hantering av verifierbara intyg. Det innebär att alla EU:s medlemsländer måste tillhandahålla en digital identitetsplånbok till intresserade medborgare senast 2026. Som ett resultat av detta åtagande utvecklas de relevanta standarderna och tekniska specifikationerna snabbt.

Här kommer SD-JWT-standarden och dess tillämpning i SD-JWT-baserade verifierbara intyg.

JWT och SD-JWT: Förstå skillnaden

Om du har arbetat med identitets- och autentiseringssystem tidigare har du förmodligen stött på JSON Web Tokens (JWTs). JWT har blivit standarden för traditionell webbautentisering: De är allmänt vedertagna, enkla att använda och tillförlitliga.

En begränsning med JWT:er är dock att all information som de innehåller i JWT-anspråk delas med den som tar emot dem. Behovet av en mer integritetsskyddande lösning ledde till utvecklingen av ett nytt SD J WT-format (Selective Disclosure JWT). Till skillnad från traditionella JWT:er är SD-JWT:er utformade för att endast avslöja nödvändig information.

Vad är selektivt avslöjande?

Selektivt avslöjande låter individer bestämma vilken information de vill avslöja för en tredje part. Detta skiljer sig från standardmetoder där alla uppgifter måste lämnas ut på en gång.

Bilden ovan illustrerar denna skillnad genom att jämföra den traditionella JWT och SD-JWT: i SD-JWT är påståendena hashade och därför dolda, vilket kräver ytterligare information för att komma åt dem, en i taget. (Vi ska se hur detta uppnås längre fram).

Selektivt utlämnande ger större integritet och kontroll över personuppgifter. Det är i linje med nya integritetsbestämmelser och passar väl in i den decentraliserade identitetsmodellen, som ger individer större självbestämmande över sina personuppgifter.

SD-JWT-baserade verifierbara intyg

SD-JWT-based Verifiable Credentials (SD-JWT VC) är ett nyutvecklat format för att uttrycka verifierbara intyg, baserat på SD-JWT-standarden som vi just diskuterade.

Dess främsta egenskap är möjligheten att möjliggöra selektivt utlämnande. Detta gör det möjligt för legitimationsinnehavare - personer som innehar eller använder digitala legitimationshandlingar - att endast dela specifik information, istället för att tvingas avslöja alla uppgifter som finns i en verifierbar legitimationshandling.

Användningen av selektivt avslöjande i SD-JWT VC är frivillig: Formatet kan också användas utan några påståenden om selektivt avslöjande.

Kolla in vår ordlista för verifierbara refer enser om du är ny i ämnet. Där förklaras modellen Issuer-Holder-Verifier och andra termer som används i den här artikeln.

Hur det fungerar: en kort teknisk översikt

Kort sagt, när en SD-JWT VC utfärdas till en innehavare, inkluderar en utfärdare endast de hashade anspråksvärdena i den signerade delen av legitimationen. Sedan bifogas klartextformerna för alla dolda anspråk, så kallade Disclosures, till den signerade delen av SD-JWT.

När innehavaren presenterar information för en kontrollant kan denne välja vilka anspråk som ska avslöjas och endast inkludera motsvarande upplysningar i en SD-JWT som tillhandahålls kontrollanten. Verifieraren verifierar hashes och signaturen för att bekräfta att alla avslöjade påståenden ursprungligen var en del av den JWT som undertecknats av utfärdaren. Verifieraren får dock inte tillgång till några anspråksvärden som inte ingår i de tillhandahållna Upplysningarna.

Låt oss nu ta en närmare titt på hur den här processen fungerar.

Utfärdande av en SD-JWT VC

1. Skapande av JWT-anspråk: Utfärdaren börjar med att skapa JWT-anspråk med personuppgifter som ska ingå i en legitimation som utfärdas till Innehavaren. Anspråken kan se ut på följande sätt:

2. Skapande av upplysningar: Utfärdaren väljer vilka av anspråken som är berättigade till selektivt utlämnande (eller väljer inte några om selektivt utlämnande inte krävs av användningsfallet). Varje kvalificerat anspråk omvandlas till en Disclosure genom att sammanfoga attributnamnet och värdet och prefixera det med ett salt: salt + attributnamn + värde. Saltet förhindrar att angripare kan gissa sig till värden i klartext via ordboksattacker.

Resultatet läggs in i en JSON-array. Om t.ex. förnamn, efternamn och ssn är avsedda för selektivt utlämnande kan resultatet se ut så här:

Observera att vi inte lägger till Disclosure för "id"-anspråket: Detta innebär att "id"-anspråket alltid kommer att vara tillgängligt för verifieraren.

JSON-matriserna konverteras sedan till base64-strängar, som kommer att representera upplysningarna:

Senare, när det är dags att skicka referensen till innehavaren, kommer utfärdaren att inkludera upplysningarna i en SD-JWT VC genom att sammankoppla dem till den signerade delen av referensen med ett tilde-tecken (~).

Disclosure är en kombination av ett salt, ett cleartext-anspråksnamn och ett cleartext-anspråksvärde, som används för att beräkna en hashdigest för respektive anspråk.

3. Skapande av utfärdarsignerad JWT: Utfärdaren skapar en SD-JWT-nyttolast som inkluderar de hashade versionerna av avslöjandena (istället för klartextkraven) i en matris med namnet"_sd". Den resulterande nyttolasten kan se ut på följande sätt:

Påståendena i klartext från steg 1 har nu ersatts av de hashade värdena för motsvarande Utlämnanden. Observera att SD-JWT-legitimationen kan innehålla påståenden i klartext (t.ex."id") bredvid de avslöjbara påståendena.

_sd_alg anger den algoritm som används för hashning.

När nyttolasten har uppdaterats lägger utfärdaren till en SD-JWT Header med typvärdet vc+sd-jwt och en valfri algoritm, t.ex:

och signerar token. Detta bildar den så kallade Issuer-signerade JWT.

4. Valfri nyckelbindning: Emittenten kan, innan den signerar SD-JWT-nyttolasten i föregående steg, inkludera en publik nyckel som är associerad med innehavaren - eller en referens till den - i nyttolastavsnittet i den emittentsignerade JWT. Detta är en förutsättning för att Innehavaren ska kunna skapa en Key Binding JWT (KB-JWT) vid verifieringstillfället.

Kryptografisk nyckelbindning gör det möjligt för Innehavaren att visa legitimt innehav av en SD-JWT VC genom att bevisa kontroll över samma privata nyckel under både utfärdande och presentation. En SD-JWT med nyckelbindning innehåller en publik nyckel, eller en referens till en publik nyckel, som motsvarar den privata nyckel som kontrolleras av Innehavaren.

Närvaron av KB JWT gör det med andra ord möjligt för innehavaren att bekräfta att de är samma person som legitimationen har utfärdats till när de presenterar uppgifterna för verifieraren. Dessutom säkerställs att Upplysningarna verkligen har valts av Innehavaren.

5. SD-JWT VC skickas till innehavaren: Slutligen kombinerar Utfärdaren den av Utfärdaren signerade JWT med Upplysningarna separerade med tilde ('~') och skickar referensen till Innehavaren:

I takt med att fler privata och offentliga tjänster flyttar ut på nätet laddar vi upp mer data på webben. Personlig information finns nu på hundratals, om inte tusentals, servrar. En nackdel med vår växande digitala närvaro är ökningen av identitetsstölder.

I den här artikeln går vi igenom hur identitetsstöld fungerar, vilka metoder cyberbrottslingar använder och vilka åtgärder du kan vidta för att skydda dig. Även om vi fokuserar på de tre nordiska länderna - Danmark, Sverige och Norge - gäller de allmänna riktlinjerna oavsett var du befinner dig.

Vad är identitetsstöld?

Identitetsstöld är när någon får tag på och använder dina personuppgifter, till exempel ditt personnummer, bankkontouppgifter eller inloggningsuppgifter. Målet är ofta att stjäla pengar, få tillgång till tjänster eller begå bedrägerier i ditt namn. I praktiken kan det handla om att köpa varor, öppna ett bankkonto, registrera ett telefonabonnemang eller ansöka om kreditkort eller lån med någon annans identitet.

Den stora bilden: en ökning av cyberhot som riktar sig mot identiteter

Cyberattacker och cyberbrottslighet ökar i antal och blir mer sofistikerade för varje år.

Under 2023 utsattes Europa för fler cyberattacker än någon annan region, och bedrägerier på nätet är fortfarande ett stort hot på kontinenten. Medan ransomware och romansbedrägerier ofta får mer uppmärksamhet är identitetsstöld mycket enklare och snabbare att genomföra och tjäna pengar på. Nationella identitetsnummer, kreditkortsuppgifter och annan personlig information kan stjälas och säljas på den mörka webben eller användas av brottslingar för snabb vinst. Nätfiske - en av de viktigaste teknikerna för identitetsstöld - är fortfarande en av de mest populära formerna av cyberbrottslighet.

Ny forskning från IBM visar att det under 2023 skedde en kraftig ökning av cyberhot som specifikt riktade sig mot identiteter . Intressant nog väljer många angripare en enklare väg än att hacka sig in i system genom att logga in med redan stulna inloggningsuppgifter. Detta förklaras av överflödet av komprometterade identiteter på den mörka webben: Det är lättare för brottslingar att få tag på giltiga inloggningsuppgifter än att utnyttja sårbarheter i programvaran eller utföra nätfiskeattacker.

Denna förändring i taktik har lett till alarmerande statistik. Attacker med hjälp av giltiga inloggningsuppgifter ökade med 71%, vilket gör dem till ett av de vanligaste sätten för angripare att bryta sig in i system, vid sidan av nätfiske. IBM rapporterade också en 266% ökning av användningen av infostealing malware som kan låsa upp åtkomst till konton.

Som en före detta identitetstjuv förklarade för The New York Times: "Anledningen till att människor inte blir offer är att det helt enkelt inte finns tillräckligt många brottslingar för att dra nytta av all den information som finns där ute."

Den nordiska kontexten

Det finns flera faktorer som gör de nordiska länderna till särskilt attraktiva mål för olika typer av bedrägerier på nätet. För en omfattande analys, se den nordiska hotbilden för nätbedrägerier 2024.

För det första är förtroendet i Norden högt, både i mellanmänskliga relationer och för statliga institutioner. Förtroende är ett avgörande element som underlättar kommersiella transaktioner, men det gör dem också sårbara för exploatering.

För det andra är de nordiska länderna bland de 20 rikaste länderna i världen mätt i bruttonationalprodukt (BNP) per capita. Människors rikedom och förmåga att få stora lån gör dem till attraktiva mål för bedragare. Norden är också en region med en öppen ekonomi som förlitar sig på internationell handel. Denna internationella exponering bidrar ytterligare till deras ökade sårbarhet för bedrägerier.

Slutligen är de nordiska länderna kända för sin avancerade digitala infrastruktur, som är djupt integrerad med offentliga tjänster. Medborgarna förlitar sig på elektroniska identifieringssystem som MitID (Danmark) och BankID (Norge och Sverige) för att få tillgång till onlineplattformar för myndighetstjänster, bankärenden och hälso- och sjukvård. Detta gör livet mer bekvämt, men innebär också att en persons digitala identitet är avgörande för många aspekter av vardagen.

Sammantaget skapar denna kombination av beroende av digitala plattformar, höga förtroendenivåer och ekonomiskt välstånd gott om möjligheter för cyberbrottslingar. Under 2023 polisanmäldes närmare 260 000 bedrägerier på nätet i Norden, och antalet förväntas öka.

Hur går en identitetsstöld till?

Det finns flera sätt att stjäla någons identitet:

• Phishing-bedrägerier: Kriminella skickar e-postmeddelanden som ser ut att komma från betrodda institutioner som banker, myndigheter eller välkända företag. Dessa meddelanden innehåller ofta skadliga länkar som pekar på nedladdningar av skadlig programvara eller falska webbplatser som är utformade för att stjäla din inloggningsinformation. Phishing-kampanjer genomförs oftast via e-post men kan också ske via SMS (smishing) och telefonsamtal (vishing).
• Telefonbedrägerier: I den här varianten av en phishing-attack ringer bedragare och påstår sig komma från en bank, ett leveransföretag eller någon annan betrodd organisation. De förfalskar ofta nummerpresentatören för att verka legitima.
• Dataintrång: Hackare stjäl känslig information som personnummer och lösenord från företagsdatabaser. De kan sedan sälja dessa uppgifter på den mörka webben eller använda dem direkt för att begå bedrägerier.
• Wi-Fi-hackning: Vissa offentliga Wi-Fi-anslutningar är okrypterade, vilket gör att hackare kan se och utnyttja den information som skickas till och från din enhet. Cyberbrottslingar kan också skapa falska Wi-Fi-hotspots med namn som låter som legitima nätverk, i vad som kallas en ond tvillingattack.
• Poststöld eller stulna dokument: Fysisk post som innehåller personlig eller finansiell information kan stjälas och användas i bedrägliga syften.
• Skimning av kreditkort: Brottslingar använder falska kortläsare i uttagsautomater eller kassasystem för att stjäla kortuppgifter. Medan fysisk skimning är ett minskande hot i EU, verkar reläattacker som riktar sig mot betalkortschip (shimming) öka. Digital skimning sker online, där bedragare stjäl kreditkortsuppgifter från kassasidor.
• Köp av stulna uppgifter på den mörka webben: Den mörka webben är ett stort nätverk av webbplatser och forum som inte är tillgängliga via vanliga webbläsare. Cyberbrottslingar använder den mörka webben för att sälja och dela information som har stulits vid dataintrång.
• Skadlig kod: Cyberbrottslingar kan installera skadlig kod på din enhet via infekterade e-postbilagor, skadliga länkar eller komprometterade webbplatser. När den skadliga programvaran har installerats kan den stjäla personuppgifter, ekonomiska uppgifter och inloggningsuppgifter eller sprida ransomware eller annan skadlig programvara. Omfattningen av attacker med skadlig kod kan vara häpnadsväckande. Qakbot, till exempel, infekterade över 700.000 datorer och minst 54 miljoner euro har betalats ut i lösensummor sedan 2007. Det krävdes en storskalig internationell operation på för att störa ut dess infrastruktur 2023.

Skydda dig mot identitetsstöld

Eftersom vi ofta använder e-legitimationer och får e-post från betrodda källor är det lätt att bli lurad av något som verkar vara en legitim förfrågan. Att vara vaksam är nyckeln till att skydda sig mot identitetsstöld:

• Var uppmärksam på nätfiske: Klicka aldrig på länkar eller lämna ut personlig information via e-post eller sms.
• Var försiktig på nätet: Lämna inte ut personuppgifter på osäkra webbplatser eller via oönskad e-post eller telefonsamtal. Kom ihåg att HTTPS inte är en garanti för att en webbplats är legitim: Faktum är att mer än hälften av nätfiskewebbplatserna nu använder HTTPS.
• Dela aldrig med dig av personlig information under telefonsamtal. Låt dig inte pressas, även om det står att det är brådskande. Om du är osäker, kontakta företaget eller myndigheten själv via officiella kanaler.
• Håll koll på dina konton: Kontrollera regelbundet dina bank- och kreditkortsutdrag. Om du ser transaktioner som du inte känner igen, kontakta din bank.
• Aktivera tvåfaktorsautentisering: Det ger ett extra lager av säkerhet och gör det svårare för bedragare att komma åt dina konton.
• Använd starka lösenord: Skapa komplexa, unika lösenord för alla konton och undvik att återanvända samma lösenord på olika plattformar.
• Säkra dina enheter: Håll din telefon och dina appar uppdaterade. Överväg att använda en lösenordshanterare för att lagra dina inloggningsuppgifter.
• Strimla känsliga dokument: Förstör dokument som innehåller personuppgifter innan du gör dig av med dem.
• Undvik att använda offentligt WiFi: Kontrollera alltid stavningen av ett nätverksnamn innan du ansluter. Om du måste ansluta till offentligt WiFi ska du alltid använda VPN.
• Var försiktig med sociala medier: Begränsa mängden personlig information du delar med dig av på sociala medier, eftersom cyberbrottslingar kan använda den för identitetsstöld.

Utöver dessa allmänna rekommendationer har varje land specifika riktlinjer för förebyggande åtgärder och åtgärder som ska vidtas om du blir offer för identitetsstöld.

Danmark

Under 2022 utsattes 7 av 10 danskar för bedrägeriförsök via telefonsamtal, e-post och sms, men endast 1 % blev offer.

Det har tagits många initiativ för att öka medvetenheten om bedrägerier, och du kan få mycket information från officiella källor, bland annat guideromhur du upptäcker bedrägerier och en särskild guide om identitetsstöld. Den danska digitala byrån skapade en hotline för digital säkerhet som du kan ringa om din personliga information har blivit stulen.Om du misstänker att du har utsatts för identitetsstöldmåste du anmäla det till polisen.

Sverige

Onlinebedrägerier och digitala bedrägerier kostade Sverige 1,2 miljarder kronor 2023. I likhet med Danmark har över hälften av befolkningen fått ett bluffmeddelande och i cirka 1% av fallen lyckas man.

I BankID:s guide för att förhindra identitetsstöld rekommenderas bland annat att blockera obehöriga adressändringar och att vara försiktig med att dela med sig av personuppgifter. Identitetsstölder ska anmälas till polisen, som också ger riktlinjer för hur man skyddar sig mot bluffsamtal.

Norge

En rapport från 2022 visade att 150 000 norrmän utsatts för identitetsstöld under de senaste två åren. De flesta fallen var kopplade till näthandel, men även identitetsstölder via sociala medier ökar.

Offren uppmanas att meddela företag som de har en kundrelation med och stänga konton som utsätts för obehörig aktivitet. Vid identitetsstöld bör man kontakta polisen.

Learn more about our customers

Criipto provides secure and efficient digital identity solutions for more than 400 businesses.

Learn why companies and organizations from several different industries choose Criipto for eID authentication or digital signatures.

{{cta('a4fb0556-f209-4b30-bf24-e00149f84d30')}}