Posts Tagged Swish

Inside info om Swish-tjänsten

Inside info om Swish-tjänsten

Gästinlägg från en Whistleblower

Detta inlägg är ett gästinlägg, jag fick detta mailat till mig och tyckte att det var vettigt att publicera. Det handlar om en person som arbetat med utvecklingen av Swish och han berättar om inside information från det uppdraget. Delvis finns information om detta på Bitcoin-guiden här och vi har en annan sida under arbete som handlar om säkerhet och anonymitet online.

Swish: Inside-Info & Varning

Bäste Ragnar,
Vill tacka dig för att du frågade innan publicering, uppskattas mycket och fick mig att tänka på några tillägg: Jag tog mig tid och fördjupade några saker om Swish/BankID. Sen skrev jag en eller två meningar till om Wasabi Wallet samt om vikten att byta insättnings-adresser hela tiden. hade tidigare bara skrivit att man ska göra det mellan varje order men ej VARFÖR man ska det. Folk har nog lite lättare att ta till sig dessa uppmaningar och följa det om de får det förklarat.. ganska avancerat men försökt ta det så enkelt som möjligt. Skrev en Electrum guide också!

Bakgrund & Historia

Att produkten Swish lyckades utvecklas och lanseras så snabbt (2012) beror på att bolaget bakom, ”Getswish AB” ägs tillsammans utav Sveriges 6 största banker och samarbetar nära med ytterligare 6 stycken. Swish var tidigare driftad från Bankgirot (som i sin tur också ägs utav dessa 6 banker), nu flyttad till ett utav nordens största IT konsult bolag utav säkerhetsskäl. Detta nära samarbete mellan banker är väldigt unikt i världen och varit väldigt fruktsamt. För att kunna göra transaktion behöver man identifiera sig med BankID som ägs utav Finansiell ID BID AB, även de ägda utav bankerna och numera lagd på entreprenad istället för Bankgirot, precis som SWISH.
Sedan ett par år tillbaka (nästan från starten) så har Polisen sporadiskt kunnat skicka in listor med namn och eller person nr, som anställda sedan slagit på i databasen och sammanställt all Swish historik mellan specifika datum/mottagare och skickat tillbaka, nästan allt kan kartläggas och resultatet ritas numer upp och ser ut som ett mer avancerat topologi diagram ungefär. Det ifrågasätts aldrig varför historiska utdrag om transaktioner begärs ut, och vi vet inte vad dessa personer är misstänkta för heller.

Aktuellt

Dessa listor, som ni kanske förstår tog lång tid att att sammanställa, överlag hela processen att dra ut och skicka tillbaka är allt-som-allt mycket manuellt arbete för tekniker. Polisen har i alla år tjatat om att att hela tiden få mer insyn och ta del utav uppgifter — Vilket de till beviljats mer och mer vart eftersom, tyvärr. Och över tid har dessa listor från Polisen bara blivit längre och längre!!
Vi som jobbar med/kring detta har tidigare haft känslan utav (och hört skvaller från Polisen samt andra anställda på olika bolag kring oss som driftar/utvecklar) att begärda utdrag främst handlat om Grova BLOCKET skojare, tungt kriminella och gäng som säljer droger på gatunivå — Och olika typer utav penningtvätt som olika målvakter som dessa nyttjar ..samt andra finansiella brott som ”BankID ligor”. Det senaste fenomenet är för övrigt är otroligt sofistikerat.. är hela telemarketing grupper i lokaler ibland som sitter och ”attackerar” en hel by eller mindre stad i taget. Med hjälp utav Sveriges korkade och alldeles för generösa offentlighetsprincip + personuppgiftslag (PuL) — Ändå ganska sjukt att man på en och samma webbsida kan se en persons ålder, inkomst, relationer, domar, adress ja till och med jäkla bild på huset man bor i?!!? Att förhindra att folks inkomst/förmögenhet syns hade hjälpt REJÄLT emot dessa bedrägerier, då de utsatta nästan i regel är utvalda med omsorg, vi skulle även slippa en del larviga tidningsrubriker som ”lista: rikast i kommunen” o.s.v. med — Men det här är en annan diskussion! För den som är intresserad finns bedragare inspelade och upplagda från Polisen på YouTube ..Sista sak om detta: Inte bara äldre som blir bedragna! Finns stort mörkertal då många skäms och känner sig dumma och ej vill anmäla, tyvärr! Det ska man göra så dessa drägg inte kan köra på helt obemärkt. Personlig gissning är även att svenskar faktiskt är lite mer gullible och blåögda, vi är inte är lika skeptiska eller fientligt inställda till myndigheter och t.ex. banker här som i andra länder. I Sverige verkar folk tro att banker existerar för hjälpa till och har tjänster för att ”vara snälla” — Och inte för att tjäna pengar, ganska naivt. Nåja, tillbaka till det relevanta(!)..

Polisen ber om listor allt oftare

Tillämpningsområden för dessa utdrag från folks Swish historik t.ex. har med tiden utökat kraftigt från Polisen, och målet är att kunna direkt upptäcka när en stackars ”average Joe/Jane” köper droger på nätet — Och de kommer tyvärr att ha lyckas till fullo med det ganska snart! Detta har inte gått tidigare p.g.a. historiskt mindre resurser hos både hos Polisen och oss kontra det manuella arbetet. I BankID finns sedan länge ca: 15 st (kanske fler, men väldigt hysch-hysch) olika parametrar som mäts och loggas varje gång någon identifierar sig eller signerar något. Som A: enskilda användes mönster, B: enskild i relativt till alla inräknat, och C: generell, alltså alla användare, den totala statistiken. Alla kombinationer används i olika syften/lägen. Några exempel på parametrar är bl.a:
  1. Telefon modell, Operativsystem (OS) och dess version utav samt installerad BankID version.
  2. Telefonmast man är uppkopplad till, samt eventuellt WIFI och operatör.
  3. Rytm, eller tempo man skriver in sin personliga kod, eller belopp.
  4. Nuvarande geografiska läge (GPS).
  5. Latitud & longitud på själva telefonen läge, alltså exakt vilken position den har. Så om man vill vara överambitiös eller förvilla kan man t.ex. se till att hålla telefonen helt annorlunda och signera i helt annan tempo än normalt (OBS: rekommenderas då INTE vid suspekta transaktion/signering — Då det blir kontraproduktivt säkerhetsmässigt för er! Ganska lätt att för en algoritm att upptäcka allt lurt, eller för oss att skrapa ihop om du låt säga håller telefonen upp och ned varje gång något lurt signeras hehe).
Sedan något år eller två år tillbaka har nya funktioner utvecklats fram i rask takt, detta i form utav algoritmer som automatiskt upptäcker och reagerar på suspekta överföringar. Som behöver vara extra pricksäkra i och med GDPR lagar där data måste roteras ut och i en förlängelse raderas hela tiden efter en tid. Kan då handla om vissa belopp som endast eller ofta används till en mottagare, eller ”flaggad” mottagare som är misstänkt för brott. Allt har automatiserats, och allt flaggat som suspekt hamnar i temporär korg, kompileras till långa (långa, långa, långa) listor. Antal personer som vi delade innan detta går inte ens att jämföra med detta.. Det kommer framöver att gå oerhört mycket lättare, framförallt snabbare.

Polisen vill själva kunna leta i registret fritt

Ett annat förslag som dom närmat sig mer och mer, är att Polisen själva ska få slå i dessa databaser, utan någon som helst mellanhand – ”ett litet antal utvalda poliser med speciella rättigheter” heter det, men ärligt.. kan vi lita på det? Gissningsvis NEIN! Hur skulle det i sådant fall säkerhetställas, skulle de granska sig själva? Ungefär lika smart och effektivt som när Socialstyrelsen ska granska sig själva hehe. Och några tänker nu ”men vadå ska vi inte lita på att Polisen följer de lagar och regler som finns”? Svaret skulle jag säga är: ”Jo visst! När de är så illa tvungna”.. annars tar dom sig gärna diverse friheter — Därför, är det nog bäst att köra på ”need-to-know-basis” och låta dom gå via icke-partiska mellanhand (som inte slår allt för nyfiket på allting för ofta SAMT kanske helt obefogat).

Potentiella Problem & Mörka Moln

2020 året så köpte ”P27 Nordic Payments Platform” upp hela Bankgirot — I ett försök att få en gemensam betalplattform mellan alla Nordiska länder, samtidigt som de aktivt försöker utrota kontanter helt med en ”E-krona”. Den hela tiden ökande samarbetet mellan krypto handelsplatser/plattformar/exchanges och staten/Polisen siar om en oklar och osäker framtid för de flesta kunder på drogshoppar som Flugsvamp. Alla handelsplatser för kryptovaluta lämnar ut uppgifter om kunder och transationer utan att tveka. Oavsett hur stor kunden i fråga är till dom, för de är livrädda att riskera sitt eget skinn och licens, otroligt mycket pengar för dom att gå miste om för dom då, och stark konkurrens! Vi har ju bara sedan ett år tillbaka se dessa handelsplatser sparka ut kunder från deras plattformar, i vissa fall (Bitstamp bl.a.) helt utan att ens uppge anledning, troligtvis för att undvika diskussion. ”Känns” även som att Bitstamp är en utav de exchanges som är extra pigga på att dela info, känns shady minst sagt – medan Localbitcoins är mer säkert, varför kan jag inte ens hitta någon DIREKTA bevis för, men det verkar vara en ”kollektiv känsla” jag delar med många. Dom har också många sätt att betala med, en fördel! Och har man tålamod och letar/väntar kan man t.o.m. undvika att behöva identifiera sig hos vissa säljare (de flesta brukar kräva detta minst första köp). Även om man legitimerat sig när man öppnar konto så är det givetvis bra att dra ner på sådana tillfällen också.

Sammanfattningsvis

Mitt råd är att helt undvika att använda SWISH till att upprepade gånger köpa droger, både på gatan, men även såklart på platformar där det köps kyrptovaluta – PUNKT. Om vi tar det senare scenariot, visst man kan dra säkerheten hur långt som helst: Köra live med Tails OS, Wasabi Wallet (eller andra svindyra ”tumblers/blenders” m.m.), men man kommer bra långt genom att skaffa ett Revolut konto och betala t.ex. en BTC säljare med det (för övrigt måste man nuförtiden med BankID signera nästan alla köp med känns det som, handlar inte bara om ”din säkerhet” utan att hålla koll på transaktioner och se vart folk lägger pengarna, Big Brother is watching alltså). Angående Wasabi Wallet, är det absolut obtimalt — Minsta insats att tumba i skrivande stund är dock ca: 10.000.. Men har du några IRL kompisar med samma behov: Gå ihop och tumble/använd Wasabi Wallet! Om inte annat blir det högre summor med färre antal överföringar till Flugsvamp vilket är bra istället för flera småsummor. Det blir Flugsvamp gladare för också troligtvis Annars använd Eletrum guiden nedan bara.

Electrum GUIDE

Efter köp utav BTC, är det viktigt att överföra dessa till en ”Cold Wallet”, som är offline och lokalt förvarad på din dator. Ett säkert och enkelt är att använda ”Electrum” — Installera och fixa det med följande 5 steg:
  1. Ladda ner Electrum, från: https://electrum.org/#download — Verifiera gärna GPG signaturen. Det finns guide på sidan där, väl värt att lära sig så man ser till att rätt filer kommer från rätt utgivare!
  2. Skapa plånbok/wallet. Finns t.ex. two factor authentication alternativ (2FA) som de flesta är bekanta med, ej ett krav: ”default_wallet” är.. default namn om man inte redan har ett, klicka next.
  3. Skriv ner ditt nya seed/frös 12 unika ord, dessa ord används när du behöver återställa ditt frö, kanske på ny dator. De går inte att copy/paste utav säkerhetsskäl, skriv ner på en fysisk lapp eller i en keepass databas. OBS: för det senare alternativet, se till att ha flera backuper på databasen.. så du inte bara har en som blir skadad eller försvinner. Vågar du så är det ju lättast (och på ett sätt säkert) ha denna i ditt moln. Se då även till att ha väldigt starkt huvudlösenord, till databasen alltså. Många som förlorat dessa ord till sitt frö och förlorat mycket pengar så, se upp!
  4. Skapa säkert lösenord till din plånbok! Generera ett säkert med Norton exempelvis: https://my.norton.com/extspa/passwordmanager?path=pwd-gen — Electrum kan och bör använda sig utav Tor nätverket och dess noder, så din IP adress inte läcker vid transaktioner med Electrum! Enkelt att ställa in med bokstavligen 1 klick på ”Use Tor proxy at port 9150” under Tools > Network > Proxy   och sedan ha Tor browser uppe/aktivt.. OBS: tänk på att köra över Tor nätverket såväl FRÅN en exchange till Electrum som FRÅN Electrum till Flugsvamp, även om det senare är viktigare. Delade meningar angående huruvida man ska köra Tor Browser+VPN, det beror i princip om man litar på att VPN bolaget inte lämnar ut dina loggar vid förfrågan. Många VPN tjänster uppmuntrar användare att använda deras tjänst med Tor Browser! Använd i sådant fall en server i ett säkert land som Island eller Schweiz med bra lagar — Eller kanske Rumänien, eller något land som inte bryr sig alls om andras förfrågningar — Undvik Amerikanska och Ryska servrar!
Väl på Flugsvamp känns det som att många glömmer detta, så vill påminna om hur viktigt det är att generera en ny mottagaradress hela tiden! Helst mellan varje beställning.. På FS 3.0 går detta endast att göra då ingen order ligger aktivt, samt vart 24:e timme.. folk blir nog otåliga bara beställer hela rasket på en adress vilket är en big NO NO. Varför? Komplicerade grejer, men korta svaret är att blockkedjan är helt publik och transparent, allt ifrån myndigheter till analytiker t.ex. sitter och granskar överföringar utav olika anledningar men ett utav dom är givetvis att identifiera folk. Tänk såhär: BTC är säkrare än kreditkort, men CASH är faktiskt säkrare än BTC — Men 100% blir det aldrig, även CASH går på olika sätt att öronmärka och spåra hehe. Så, används samma insättningsadress 2 gånger gör detta det lättare att identifiera dig som person. Därför det är helt vansinnigt att sitta och föra över från en vanlig exchange till t.ex. FS 3.0 utan att ha som rutin att generera ny adress vid varje insättning. Samma sak i Electrum, där genererar du enkelt en ny adress varje gång vid insättning till din cold wallet. Behöver du, utav någon anledning hålla kolla på olika transaktioner så namnge dessa i Electrum istället.

SÅ, VÄLDIGT KORT

Använd Revolut som är gratis. Köp dina BTC säkert på Localbitcoins. SWISHA aldrig suspekta summor till suspekta personer. Använd Electrum över Tor Browser tillsammans med VPN server på säker plats! Så, stay safe vänner!