Du må være registrert og logget inn for å kunne legge ut innlegg på freak.no
X
LOGG INN
... eller du kan registrere deg nå
Dette nettstedet er avhengig av annonseinntekter for å holde driften og videre utvikling igang. Vi liker ikke reklame heller, men alternativene er ikke mange. Vær snill å vurder å slå av annonseblokkering, eller å abonnere på en reklamefri utgave av nettstedet.
  31 3057
Et rent hypotetisk tankegang her. Om man kunne forestille seg at man hadde en device som kunne lese dataene av et hvilket som helst kontaktløs debit/credit kort, hvordan går man frem ved å klone det til et blankt kort? Må man bruke en spesiell type software for å lese av og legge inn?

Om andre har andre innspill er de velkommene
Dette får du tak i om du vet hvor du skal søke.
(det som skjer i grove trekk, det er langt mer komplisert...)

Lese dataen kan du enkelt gjøre, problemet er at det ikke hjelper deg stort. Når du bruker et kontaktløs bankkort så benytter du deg av chippen (emv) på kortet som lager en kryptografisk signatur og det blir utført et kryptografisk challenge/response mellom kortet, terminalen og de som prosesserer betalingen for eier av terminalen. Det du vil ha er privatnøkkelen på kortet, men denne er brent inn og det er ikke helt rett frem å hente ut denne uten å samtidig ødelegge kortet. Det er heller ingen enkel prosess å hente ut nøklene fra et smartcard.
Trådstarter
28 1
Sitat av Deezire Vis innlegg
(det som skjer i grove trekk, det er langt mer komplisert...)

Lese dataen kan du enkelt gjøre, problemet er at det ikke hjelper deg stort. Når du bruker et kontaktløs bankkort så benytter du deg av chippen (emv) på kortet som lager en kryptografisk signatur og det blir utført et kryptografisk challenge/response mellom kortet, terminalen og de som prosesserer betalingen for eier av terminalen. Det du vil ha er privatnøkkelen på kortet, men denne er brent inn og det er ikke helt rett frem å hente ut denne uten å samtidig ødelegge kortet. Det er heller ingen enkel prosess å hente ut nøklene fra et smartcard.
Vis hele sitatet...
Bra med kvalitet innspill. Men si at du leser av og legger det inn på et blankt kort, og du har PIN koden til det aktuelle kortet. Det bør jo holde i massevis vil jeg tro?
Klart, men da har du strengt tatt ikke oppnådd noe som helst. Det er også mange systemer som skal fange opp duplikatkort, så du kan legge fra deg tanken med å bare lage to kort.
Sist endret av Deezire; 2. januar 2020 kl. 15:17.
Trigonoceps occipita
vidarlo's Avatar
Donor
Sitat av Blixen Vis innlegg
Bra med kvalitet innspill. Men si at du leser av og legger det inn på et blankt kort, og du har PIN koden til det aktuelle kortet. Det bør jo holde i massevis vil jeg tro?
Vis hele sitatet...
Ikkje om kortet er korrekt laga. Då vil det ikkje utlevere privat nøkkel uansett. Kortet er eksplisitt laga for at det skal vere nær umulig å hente ut privat nøkkel.

Dei angrepa eg har fått med meg går heller ikkje ut på det, men å utnytte protokollsvakheiter rundt nøkkelen.
Trådstarter
28 1
Sitat av vidarlo Vis innlegg
Ikkje om kortet er korrekt laga. Då vil det ikkje utlevere privat nøkkel uansett. Kortet er eksplisitt laga for at det skal vere nær umulig å hente ut privat nøkkel.

Dei angrepa eg har fått med meg går heller ikkje ut på det, men å utnytte protokollsvakheiter rundt nøkkelen.
Vis hele sitatet...
Om du kunne utdype dette med protokollsvakheter hadde vært konge. Har gjort mye research tro det eller ei men har ikke blitt noe klokere

Sitat av Deezire Vis innlegg
Klart, men da har du strengt tatt ikke oppnådd noe som helst. Det er også mange systemer som skal fange opp duplikatkort, så du kan legge fra deg tanken med å bare lage to kort.
Vis hele sitatet...
Så mao., å lese av emv chipen er bare et lite steg i totalbilde om jwg skjønner deg riktig. Vet lite om omfavne av slikt stil i Norge men man ser jo at UK slet med dette fenomenet i en lenger periode
Sist endret av Blixen; 2. januar 2020 kl. 15:21. Grunn: Automatisk sammenslåing med etterfølgende innlegg.
Jeg vet ikke helt hvilket fenomen du sikter til, men om det var kopiering av magnetstripe så er det en helt annen beast. De fleste banker vil uansett avvise alle transaksjoner med magnetstripe tvert om det ikke var initiert av terminalen eller processor. Du kan se det selv ved å bare bruke magnetstripen, enten vil den avvise hele greia eller så vil de bare be deg bruke chip eller chip via kontaktløs.
Sitat av Deezire Vis innlegg
Jeg vet ikke helt hvilket fenomen du sikter til, men om det var kopiering av magnetstripe så er det en helt annen beast. De fleste banker vil uansett avvise alle transaksjoner med magnetstripe tvert om det ikke var initiert av terminalen eller processor. Du kan se det selv ved å bare bruke magnetstripen, enten vil den avvise hele greia eller så vil de bare be deg bruke chip eller chip via kontaktløs.
Vis hele sitatet...
Dra kortet ut og inn av terminalen 3 ganger, så gir terminalen deg beskjed om å bruke stripe.
Jeg har ikke prøvd det selv, men det er mulig det fungerer. Men poenget står enda, det må initieres av terminalen. Det er nok ikke mange kjøpene uten emv du skal gjøre før det blir flagget, spesielt ikke når du har gjort det på flere terminaler som alle sier de støtter emv.
Trådstarter
28 1
Vet at magnetstripa er fortsatt funksjonell, oftest etter at chippen blir avvist så er det stripe og signatur som oftest
Trådstarter
28 1
Sitat av Deezire Vis innlegg
Jeg har ikke prøvd det selv, men det er mulig det fungerer. Men poenget står enda, det må initieres av terminalen. Det er nok ikke mange kjøpene uten emv du skal gjøre før det blir flagget, spesielt ikke når du har gjort det på flere terminaler som alle sier de støtter emv.
Vis hele sitatet...
Altså i korte trekk at RFID skim er nytteløst her til lands? Må jo være en smutthull man kan reagere på
I Norge i dag så er kopierte kort stort sett et problem på terminaler som er offline, typisk parkeringsautomater og parkeringshus. Alt annet blir plukket opp så fort at det sjeldent lønner seg for selv den mest dedikerte skurken. Det har vært et par gode DefCon-talks om det, kan være verdt å sjekke ut om man syntes det er interessant.

Jeg husker ikke hva jeg har sett, men denne kom opp på Google: https://www.youtube.com/watch?v=lucp2isxpAc

Sitat av Blixen Vis innlegg
Altså i korte trekk at RFID skim er nytteløst her til lands? Må jo være en smutthull man kan reagere på
Vis hele sitatet...
Ja, egentlig. Det er noen svakheter i implementasjonen, som at f.eks. kontaktløs betaling ikke krever PIN før en viss sum eller antallet transaksjoner, og at dette blir håndhevet av front end processor (FEP), som ikke er din bank, men som banken din stoler på.

Nå kommer det nye EU-regler på denne fronten mener jeg å huske, så da tettes nok det hullet også. Du kan ha opplevd akkurat det problemet i utlandet, hvor du enten fikk avvist fra terminalen (banken din stusset på transaksjonen og ville ha PIN, når en terminal har avvist kontaktløs emv så må den bruke PIN på neste) eller at du får kjøpt for mer enn 600,- totalt i ett enkelt kjøp.

(Dette er langt unna mitt fagfelt, så tar forbehold om at jeg mikser litt terminologi her...)
Sist endret av Deezire; 2. januar 2020 kl. 15:50. Grunn: Automatisk sammenslåing med etterfølgende innlegg.
Sitat av Blixen Vis innlegg
Altså i korte trekk at RFID skim er nytteløst her til lands? Må jo være en smutthull man kan reagere på
Vis hele sitatet...
Må det?

Påstand: I skrivende stund har ingen troverdige aviser rapportert om faktisk forekomst av RFID-skimming "in the wild". Det kan ha ulike forklaringer:
  1. Det forekommer i ganske utstrakt monn, men avisene har bare ikke fått det med seg eller tatt seg bryet med å skrive om det.
  2. Det forekommer ikke.
Hva er mest sannsynlig, 1 eller 2? Så, hvorfor forekommer det ikke ute i felt? Kan det være fordi...
  1. De kriminelle gidder ikke å prøve, til tross for at det er skikkelig enkelt.
  2. Det er ekstremt vanskelig eller endog helt umulig.
Hvis det bare var å kjøpe en duppeditt fra alibaba og laste ned noe ferdig kode fra bukta... Så hadde vi kanskje hørt om det?
Sist endret av Myoxocephalus; 2. januar 2020 kl. 15:57.
Trådstarter
28 1
Sitat av Deezire Vis innlegg
I Norge i dag så er kopierte kort stort sett et problem på terminaler som er offline, typisk parkeringsautomater og parkeringshus. Alt annet blir plukket opp så fort at det sjeldent lønner seg for selv den mest dedikerte skurken. Det har vært et par gode DefCon-talks om det, kan være verdt å sjekke ut om man syntes det er interessant.

Jeg husker ikke hva jeg har sett, men denne kom opp på Google: https://www.youtube.com/watch?v=lucp2isxpAc



Ja, egentlig. Det er noen svakheter i implementasjonen, som at f.eks. kontaktløs betaling ikke krever PIN før en viss sum eller antallet transaksjoner, og at dette blir håndhevet av front end processor (FEP), som ikke er din bank, men som banken din stoler på.

Nå kommer det nye EU-regler på denne fronten mener jeg å huske, så da tettes nok det hullet også. Du kan ha opplevd akkurat det problemet i utlandet, hvor du enten fikk avvist fra terminalen (banken din stusset på transaksjonen og ville ha PIN, når en terminal har avvist kontaktløs emv så må den bruke PIN på neste) eller at du får kjøpt for mer enn 600,- totalt i ett enkelt kjøp.

(Dette er langt unna mitt fagfelt, så tar forbehold om at jeg mikser litt terminologi her...)
Vis hele sitatet...
For all del det virker som at dette kan du meget godt! Spørsmålet videre blir jo om man kan utnytte disse svakhetene til å faktisk trekke av et kort. Om noe klokke hoder vet dette hadde det vært konge å forklare litt bedre for folk som meg som ikke er helt teknofreak.

Sidespor: Vet at når skimmers ble utdatert kom det såkalte Shimmers, hvor utbredt er det? Blir metoden brukt i dag?

Sånne offline terminaler er ikke av noe interesse for øvrig.

Sitat av Myoxocephalus Vis innlegg
Må det?

Påstand: I skrivende stund har ingen troverdige aviser rapportert om faktisk forekomst av RFID-skimming "in the wild". Det kan ha ulike forklaringer:
  1. Det forekommer i ganske utstrakt monn, men avisene har bare ikke fått det med seg eller tatt seg bryet med å skrive om det.
  2. Det forekommer ikke.
Hva er mest sannsynlig, 1 eller 2? Så, hvorfor forekommer det ikke ute i felt? Kan det være fordi...
  1. De kriminelle gidder ikke å prøve, til tross for at det er skikkelig enkelt.
  2. Det er ekstremt vanskelig eller endog helt umulig.
Hvis det bare var å kjøpe en duppeditt fra alibaba og laste ned noe ferdig kode fra bukta... Så hadde vi kanskje hørt om det?
Vis hele sitatet...
Godt poenget, jeg fatter hva du mener, mitt ønske var å bekrefte, eller avkrefte at dette er så vanskelig nå til dags at det er umulig. Alle sånne scams eller hva du kaller det kommer fra et utgangspunkt at det er typ «umulig» til at noen «knekker» koden
Sist endret av Blixen; 2. januar 2020 kl. 16:06. Grunn: Automatisk sammenslåing med etterfølgende innlegg.
Et annet problem er at du også må ha en payment processor / front-end processor med på laget om det skal la seg gjøre. Hvis ikke er du stuck med en lånt terminal, og da tar det en god del tid før pengene kommer på din konto, av helt åpenbare grunner. Så selv om det var en svakhet i kontaktløs betaling så har du ingen god måte å hente ut pengene på.

Det har flere ganger blitt demonstrert hvordan NFC ikke er trygt siden man ganske enkelt kan lese av og videresende et signal. Men det er ingenting unikt med NFC, og det er ganske mye arbeid og mange folk som må til for at du skal få deg en gratis kaffe på Starbucks.

Shimming er bare metoden man kopierer en magnetstripe på. Elektronikken er så liten at den passer inni kortleseren, så det er umulig å se den. Men det er masse counter measures i moderne terminaler som forhindrer shimming. Man pleier å introdusere støy som terminalen selv lett klarer å filterer ut, siden den sendte det ut selv. Det er en katt/mus-lek mellom kriminelle og produsentene.
Sist endret av Deezire; 2. januar 2020 kl. 16:12.
Trådstarter
28 1
Mission impossible forblir impossible altså. Man skulle tro noen hadde satt seg grundig i dette her da mange dører kan åpnes
Trigonoceps occipita
vidarlo's Avatar
Donor
Sitat av Blixen Vis innlegg
Man skulle tro noen hadde satt seg grundig i dette her da mange dører kan åpnes
Vis hele sitatet...
Problemet ditt er at moderne krypto er trygt.

Ikkje trygt som i at det stopper Benny (65). Trygt som i at det stopper NSA. Det er grunnen til at angrep heller konsentrerer seg om å omgå kryptoen. Å klone kort vil sei å få tilgang til privat nøkkel og kopiere den. Poenget med smartkort er at smartkortet aldri utleverer nøkkelen, men utfører kryptografiske operasjoner i CPUen på kortet, og utvlerer resultatet.
Trådstarter
28 1
Sitat av vidarlo Vis innlegg
Problemet ditt er at moderne krypto er trygt.

Ikkje trygt som i at det stopper Benny (65). Trygt som i at det stopper NSA. Det er grunnen til at angrep heller konsentrerer seg om å omgå kryptoen. Å klone kort vil sei å få tilgang til privat nøkkel og kopiere den. Poenget med smartkort er at smartkortet aldri utleverer nøkkelen, men utfører kryptografiske operasjoner i CPUen på kortet, og utvlerer resultatet.
Vis hele sitatet...
Skjønner at å fange nøkkelen er bortimot umulig, noe som for øvrig indikerer på at instansene har effektivt bygget opp et forsvar for slik svindel. Men du nevner dette med å omgå kryptoen, hvordan kan det la seg gjøres?
Sitat av Blixen Vis innlegg
Men du nevner dette med å omgå kryptoen, hvordan kan det la seg gjøres?
Vis hele sitatet...
Det kan for eksempel være snakk om sidekanalsangrep.
Trigonoceps occipita
vidarlo's Avatar
Donor
Sitat av Myoxocephalus Vis innlegg
Det kan for eksempel være snakk om sidekanalsangrep.
Vis hele sitatet...
https://www.schneier.com/blog/archiv...he-midd_1.html er konkret døme på det eg hadde i tankane.
Dette vil være lite hensiktsmessig å utføre.

1. De fleste banker har maksbeløp på noen hundrelapper pr transaksjon i tillegg til at du må ha pinkode for hver x antall transaksjoner/beløp.
2. Du må benytte det klonede kortet fysisk (lett å bli avslørt av kamera etc).

Om du skal gjøre dette for vinning vil du nok heller se mot en bankterminal med denne teknologien og gå rundt på tett befolkede steder og forsøke å gjennomføre transaksjoner mens du går forbi folk (holde terminalen mot baklomma til noen).
Men her vil du også få vanskeligheter med å gjemme deg iom at pengene må betales ut til en konto.
Trådstarter
28 1
Det var det jeg tenkte i utgangspunktet, for i mitt hode bør den info en kontaktløs kort gir til en POS, kunne anvendes til en annen POS hvis man klarer å lese av og skrive på et nytt kort. Men altså, om disse kortene ikke gir fra seg nøkkelen ved kommunikasjon til terminal, hvordan vet terminalen at kortet er faktisk ikke duplisert ?
Sitat av Blixen Vis innlegg
Det var det jeg tenkte i utgangspunktet, for i mitt hode bør den info en kontaktløs kort gir til en POS, kunne anvendes til en annen POS hvis man klarer å lese av og skrive på et nytt kort. Men altså, om disse kortene ikke gir fra seg nøkkelen ved kommunikasjon til terminal, hvordan vet terminalen at kortet er faktisk ikke duplisert ?
Vis hele sitatet...
Asymmetrisk kryptografi.
Banken har den offentlige nøkkelen, men den private nøkkelen ligger på kortet og deles ikke med noen. Ikke engang banken. Banken har altså mulighet til verifisere at kortet har riktig privatnøkkel, men har hverken behov for privatnøkkelen, eller mulighet til å skaffe den.
Trigonoceps occipita
vidarlo's Avatar
Donor
Sitat av Blixen Vis innlegg
Det var det jeg tenkte i utgangspunktet, for i mitt hode bør den info en kontaktløs kort gir til en POS, kunne anvendes til en annen POS hvis man klarer å lese av og skrive på et nytt kort.
Vis hele sitatet...
Problemet er primært at du antar kortet er ein dings som gir ifra seg data. Det er feil. Kortet ditt er ei datamaskin, med CPU og RAM. Den får transaksjonsinformasjon frå terminalen, utfører ein matematisk operasjon på den, kombinert med informasjon som aldri forlater kortet, og svarer det til terminalen.

Ettersom transaksjonsdata (inkludert engangsdata) inngår vil du ikkje kunne bruke den informasjonen om igjen.
Trådstarter
28 1
Da har jeg blitt noe klokkere på området, takker alle for flott innspill så langt
Anonym bruker
"Kjær Oter"
Generert avatar for denne anonyme brukeren
Om du først skal være tjuv så er det vel bare å gjøre som mange andre? Be folk om å sende deg penger. Det er folk som lever av å scamme folk på den måten. Er vel bare varianter av den gode gamle nigeria scammen, bare at folk oftere nå spiller på offerets følelser og dermed blir det offeret selv som blir narret til å foreslå å hjelpe. Ofte blir slikt henlagt virker det som. Eller så kan du kanskje komme opp med en egen variant av svindel feks med kodebrikken? Stjele kodebrikker straks du klarer å finne, få eller lure ut koden av offeret? Hvordan er det i andre land er det blitt vanlig med chip? USA feks bruker alle banker og kortutstedere chip eller kan du reise over dit og bruke metoder som ikke lengre virker her til lands? Eller kanskje i sør amerika eller asia? Sikkert ikke alle land som er kommet like langt?
Trådstarter
28 1
Sitat av Anonym bruker Vis innlegg
Om du først skal være tjuv så er det vel bare å gjøre som mange andre? Be folk om å sende deg penger. Det er folk som lever av å scamme folk på den måten. Er vel bare varianter av den gode gamle nigeria scammen, bare at folk oftere nå spiller på offerets følelser og dermed blir det offeret selv som blir narret til å foreslå å hjelpe. Ofte blir slikt henlagt virker det som. Eller så kan du kanskje komme opp med en egen variant av svindel feks med kodebrikken? Stjele kodebrikker straks du klarer å finne, få eller lure ut koden av offeret? Hvordan er det i andre land er det blitt vanlig med chip? USA feks bruker alle banker og kortutstedere chip eller kan du reise over dit og bruke metoder som ikke lengre virker her til lands? Eller kanskje i sør amerika eller asia? Sikkert ikke alle land som er kommet like langt?
Vis hele sitatet...
Haha var bare ute etter å lære mer om mekanismen bak dette Men din ide om bankid hørtes jo en hver kjeltrings våte drøm! Hvordan foreslår du å få tak i kodebrikken, finne offeret personlig kode samt personnummer? Om du har et godt svar på det skal du faen meg få godt betalt av meg
Det jeg ser for meg som en svakhet med kontaktløse bankkort, er dersom noen har en trådløs betlaingsatomat.
Hvis man bare trekker små beløp og kaller bedriften for noe som kan passe med stedet man opererer i, så vil man kunne går rundt å belaste folk med mindre beløp de færreste vil gidde å henge seg opp i, så lenge vi snakker tosifrede beløp.
Sist endret av Veggen; 3. januar 2020 kl. 00:42.
Anonym bruker
"Kjær Oter"
Generert avatar for denne anonyme brukeren
Sitat av Blixen Vis innlegg
Haha var bare ute etter å lære mer om mekanismen bak dette Men din ide om bankid hørtes jo en hver kjeltrings våte drøm! Hvordan foreslår du å få tak i kodebrikken, finne offeret personlig kode samt personnummer? Om du har et godt svar på det skal du faen meg få godt betalt av meg
Vis hele sitatet...
Hadde jeg hatt en helt detaljert oppskrift så hadde jeg vel sett på det som plan B om alt annet blir til ingenting og hadde neppe delt den på et forum.

Det de gjør er vel mer social engineering, manipulering enn det er hacking. Men har lest mange saker om folk som står frem og har blitt lurt. Det kan være fra hundretusen til over million på et offer. Dette er nok long game, altså må du legge inn litt innsats og tid for å vinne tilliten. Men har lest om tilfeller der folk faktisk selv har gitt fra seg kodebrikke og koden - tjuven har selvsagt ikke sagt han skal tømme kontoene og kanskje gjøre ID tyveri eller ta opp lån men finner en forklaring som er troverdig nok til at offeret kjøper det.

Dette er jo lavmåls gangsterliv. For da rammer du enkeltmennesker som vil måtte bære tapet selv. Og du må også bryte tilliten du har bygd opp så det svir nok dobbelt opp. Både økonomisk og knust selvfølelse fordi de har gått på en scam som alle forteller dem de burde ha sett.

Om du har noe empati så finner du andre ting. Feks leser deg opp på hvordan folk via telefon og epost klarer å få foretak til å betale ut millionbeløp til det de tror enten er en ekte kunde eller aller helst at de tror de betaler pengene til et avdelingskontor i utlandet. Større sjanser for at politiet vil bruke ressurser men foretak har forsikringer, og kan sikkert tåle tapet.
Sitat av MeTheWall Vis innlegg
Det jeg ser for meg som en svakhet med kontaktløse bankkort, er dersom noen har en trådløs betlaingsatomat.
Hvis man bare trekker små beløp og kaller bedriften for noe som kan passe med stedet man opererer i, så vil man kunne går rundt å belaste folk med mindre beløp de færreste vil gidde å henge seg opp i, så lenge vi snakker tosifrede beløp.
Vis hele sitatet...
Det er et ganske kjent "angrep" mot kontaktløs betaling, men det skalerer veldig dårlig. Bankene har blitt ekstremt flinke på å oppdage mistenkelige transaksjoner, og det fordrer at du har en avtale med en payment processor hvis du skal ha noe håp om å hente ut pengene innen bankene reverserer betalingen. Det er ganske rett frem å leie en terminal, men da kommer ikke pengene inn til deg, de blir gjerne holdt i 3-4 dager nettopp fordi det har vært et problem med stjålne kort og utnyttelse av kontaktløs betaling.
Trådstarter
28 1
Sitat av Anonym bruker Vis innlegg
Hadde jeg hatt en helt detaljert oppskrift så hadde jeg vel sett på det som plan B om alt annet blir til ingenting og hadde neppe delt den på et forum.

Det de gjør er vel mer social engineering, manipulering enn det er hacking. Men har lest mange saker om folk som står frem og har blitt lurt. Det kan være fra hundretusen til over million på et offer. Dette er nok long game, altså må du legge inn litt innsats og tid for å vinne tilliten. Men har lest om tilfeller der folk faktisk selv har gitt fra seg kodebrikke og koden - tjuven har selvsagt ikke sagt han skal tømme kontoene og kanskje gjøre ID tyveri eller ta opp lån men finner en forklaring som er troverdig nok til at offeret kjøper det.

Dette er jo lavmåls gangsterliv. For da rammer du enkeltmennesker som vil måtte bære tapet selv. Og du må også bryte tilliten du har bygd opp så det svir nok dobbelt opp. Både økonomisk og knust selvfølelse fordi de har gått på en scam som alle forteller dem de burde ha sett.

Om du har noe empati så finner du andre ting. Feks leser deg opp på hvordan folk via telefon og epost klarer å få foretak til å betale ut millionbeløp til det de tror enten er en ekte kunde eller aller helst at de tror de betaler pengene til et avdelingskontor i utlandet. Større sjanser for at politiet vil bruke ressurser men foretak har forsikringer, og kan sikkert tåle tapet.
Vis hele sitatet...
Det var ment ironisk haha BankID svindel er ikke noe for meg, da for det første det krever elendig moral, og for det andre at du blir avslørt med engang. Om du har klart å «lure» dama di til å gi ifra seg sensitiv info er vel du den første personen politiet ser på. Tror alle bankid saker har kjent gjerningsmann