Netbanktyve bryder gennem NemID igen: Stjæler 700.000

Hackere har snydt 8 kunder i Danske Bank for 700.000 kroner. Sikkerhedsmodellen i NemID kan ikke dæmme op for denne type angreb.

Otte Danske Bank-kunder har fået lænset deres netbank-konti for i alt 700.000 kroner

Det fremgår af en pressemeddelelse udsendt af Nets DanID.

»I otte tilfælde har kunder i Danske Bank i de seneste dage været udsat for misbrug i netbanken. Via malware, som brugerne uforvarende er kommet til at installere på deres computere, har it-kriminelle haft mulighed for at udføre det, der med et teknisk udtryk kaldes ”real time phishing”. Misbruget har fundet sted, mens kunderne har været logget ind i deres netbank,« skriver Nets DanID i pressemeddelelsen.

Hackerangrebet har givet de it-kriminelle adgang bruger-id, adgangskode og en nøgle fra NemID-nøglekortet, som de har kunnet bruge til at overføre penge til udlandet, fremgår det af pressemeddelelsen.

Sagen er overdraget til politiet.

Læs også: Se videoen: Sådan kunne hackere snyde danske NemID-kunder for 700.000 kr.

Kombinationen af malware og real time-phishing adskiller sig fra den fremgangsmåde, der i september 2011 gik ud over otte Nordea-kunder. Her benyttede netbank-tyvene sig af en phishing-mail, der sendte brugerne til en falsk netbank-forside.

Læs også: Pærelet at narre NemID fra dig med klonede hjemmesider

Nets DanID mener ikke, at angrebet ændrer ved den generelle sikkerhed bag NemID, og at man trygt kan anvende sin netbank, som man plejer.

Version2 forsøger ihærdigt at få en kommentar fra Nets DanID.

Læs også: DanID afviser endnu en gang kritikken: NemID er sikker nok

Kommentarer (69)

Baldur Norddahl

Hvorfor? Fordi DanID (bankerne) er ligeglade med min sikkerhed i forhold til diverse offentlige systemer. Det selvom identitetstyveri kan være meget ubehageligt for den enkelte. Men kun hvis det koster en bank penge vil DanID gøre noget ved det.

Så derfor er det godt at der bliver stjålet lidt håndører fra Danske Bank.

Finn Aarup Nielsen

Ha! var jeg lige ved at sige: dette er jo en gammel nyhed, - den med de 8 bankkunder. http://www.version2.dk/artikel/nemid-phishing-nordea-netbank-otte-kunder... Er Ritzau kørt af sporet?

Så opdagede jeg at det er en ny historie, - og banken er en anden. :-)

Måske kan talskvinde Jette Knudsen genbruge hendes uptalelse fra september 2011:

»Ja, det vil kunne ske igen, hvis folk reagerer på phishing-mails. Derfor er det meget vigtigt at understrege, at man aldrig skal give sin adgangskode eller NemID-nøglekort til nogen som helst,« siger Jette Knudsen.

Martin Jensen

Den var Breaking News på forsiden af Dr.dk - og jeg har fået Breaking News SMS fra DR, samt notifikation af DR's nyheds App på IOS.

Nu har DR.dk så nedjusteret den til forsideartiklen uden 'breaking' prædikat; - men det er fedt at en mere bred befolkning fik det serveret som en 'breaking news' - så det ikke kun er i snævre IT kredse man ved, at den er gal.

Søren Hetland Basse

Det må da være forholdsvis simpelt at give Nem-ID brugerne mulighed for at sætte en øvre grænse for overførsler til udlandet. For de fleste af os vil det være mere betryggende, såfremt man ikke kan overføre mere end eks.vis 10.000,- Kr til udlandet, uden at gennemføre en ekstra sikkerhedsprocedure. På den måde vil det nok ikke kunne betale sig for de kriminelle at sidde og lure på hvornår de skal slå til. Man kunne vel også sætte straffen for at fungere som indenlandsk "Mule" op!

Henrik Madsen

Ja der er i sandhed noget om det gamle ordsprog om at vil man ikke høre så må man føle.

Jeg går generelt ikke ind for kriminalitet men jeg må sige "god vind" til hackerne, håber satme de tager godt for sig af godterne, bankerne og DanID VAR advaret så de er i den grad selv ude om ALT det lort hackerne gør ved dem.

Jo hurtigere de her hackere får bevist at NemID er noget lort så vi kan få gang i at få et andet system jo bedre.

Henrik Madsen

Henrik Madsen

Det må da være forholdsvis simpelt at give Nem-ID brugerne mulighed for at sætte en øvre grænse for overførsler til udlandet. For de fleste af os vil det være mere betryggende, såfremt man ikke kan overføre mere end eks.vis 10.000,- Kr til udlandet, uden at gennemføre en ekstra sikkerhedsprocedure. På den måde vil det nok ikke kunne betale sig for de kriminelle at sidde og lure på hvornår de skal slå til. Man kunne vel også sætte straffen for at fungere som indenlandsk "Mule" op!

Da jeg skiftede bank fik jeg et lån som skulle betale det lån jeg havde i den gamle bank ud.

Jeg mener det var omkring 300.000 Kr.

Da jeg lavede overførslen via Nordea's homebank så alt ok ud men 2 minutter efter fik jeg en SMS på min mobil hvor der stod at jeg var ved at overføre 300.000 til en anden bank og at jeg skulle sende en SMS tilbage og svare "JA" hvis det var korrekt og så vidt jeg husker ellers kontakte dem hvis jeg ikke havde gang i sådan noget.

På den måde kunne man selvfølgelig begrænse det men hvor ville det være fesent hvis man allerede nu kun godt et år efter NemID blev indført bliver nødt til at implementere ekstra sikkerhedsprocedurer fordi NemID på det nærmeste er nemmere at omgå end det gamle system.

Håber satme der er nogle politikere som vågner op og stiller nogle krav til DanID..

Henrik Madsen

Henrik Madsen

"Netbanktyve bryder gennem NemID igen"

Øøh, ja selvfølgelig bryder de gennem NemID igen for DanID har jo ikke lukket hullet som de benytter.

Nåååå ja, de har ikke lukket hullet fordi de ikke KAN lukke hullet selvom det er et hul som de blev advaret mod allerede INDEN det blev indført.

Thue Kristensen

Måske kan talskvinde Jette Knudsen genbruge hendes uptalelse fra september 2011:

»Ja, det vil kunne ske igen, hvis folk reagerer på phishing-mails. Derfor er det meget vigtigt at understrege, at man aldrig skal give sin adgangskode eller NemID-nøglekort til nogen som helst,« siger Jette Knudsen.

Men det er jo ikke samme problem.

Mod Nordea var det DanID's skyld, fordi der stik imod best practice ikke er nogen måde for brugeren at vide på om en given NemID-loginboks på en given hjemmeside er reel.

Mod Danske Bank her, så var det ikke NemID's skyld. Man kan ikke sikre sig imod at brugerens computer er inficeret med malware.

Kenneth Nielsen

hvor mange er reelt blevet hacket og fundet for lette grundet manglende kapital på deres konti?

Disse 8 kunder er jo bare dem der er har haft masser kapital til at overfører.

Måske er jeg selv hacket, men de har sgu nok grinet deres røv i laser grundet manglende dækning på mine konti ;o)

Christian Nobel

Man kan ikke sikre sig imod at brugerens computer er inficeret med malware.

Øhh, et af de rigtig vigtige "salgsargumenter" i sin tid var at brugerene var for dumme til at tage rede på sig selv og deres liv, men at "NemID" ville være noget af det bedste der var sket efter skiveskåret brød.

Og at man skulle trygt kunne bruge sin "NemID" fra en hvilken som helst PC, da "sikkerheden" jo skulle være sublim og ubrydelig.

Det nonsens er vist (også) blevet godt og grundigt demonteret nu.

Peter Eriksen

..but i told you so.

Ah, det var lige den nyhed man havde brug for en trist fredag. Man skal ikke være skadesfro, men jeg kan ikke lade være med, at sidde med et kæmpe smil på læben og vente på hvad DanID nu kan finde på af mærkelige søforklaringer :-)

Henrik Madsen

Hvis banken nu havde spurgt efter en af dine ubrugte papkort-koder, så syntes jeg rent faktisk det er udemærket system.

Hvorfor ?

Jeg har ingen mulighed for selv at ændre mit mobilnummer så med mindre de kan :

  1. Stjæle min telefon remote fra Ukraine.
  2. Hacke TDC og opsnappe SMS og spoofe en SMS sendt fra mit nummer.
  3. Hacke netbanken og ændre telefonnummer.

Så er banken ret sikker på at de har fat i mig.

Henrik Madsen

Michael Lykke

Ja eller kræve gentagen NemID underskrift altså med engangskoder.


Hjælper jo ikke på problemet hvis der bliver foretaget et live angreb. Så smider hackeren bare en skærm afsted til kunden der beder dem om at logge ind igen og bruger så den kode til at foretage overførslen med.
Problemet er også at hvis vi pludselig skal bruge 2+ koder pr. besøg i banken så skal du have et nyt papkort hver 14. dag.

Brugen af SMS som verificering hjælper en smule på sikkerheden, men nu er vi jo ved at være ude i en løsning som er et helvede at bruge.
Først skal man forsøge at verificere signaturen på NemID appletten samt SSL certifikatet og sikre sig at man er på et lovligt domæne - fx. nordea.dk og ikke n0rdea.dk. Derefter skal man så logge ind med det irriterende papkort, overføre penge, indtaste endnu en kode efterfulgt af at man skal gribe sin mobil og sende en bekræftigelse tilbage.
Det ville være netbanken fra helvede som er så besværlig at bruge at ingen gider...

Henrik Madsen

Ja eller kræve gentagen NemID underskrift altså med engangskoder.

Det syntes vi er en skide god ide.

Med venlig hilsen

PostDanmark

PS. Mon ikke grunden til at bankerne er gået væk fra at bruge NemID koder til login på netbanken er fordi det koster kassen når folk brænder sig igennem et kodekort på nul komma dut fordi de skal taste koder hele tiden.

Henrik Madsen

Finn Aarup Nielsen

@Thue Kristensen
Tak for afklaringen.

Jeg er dog stadig ikke klar over hvordan misbruget har fundet sted. For 2011-september misbruget hos Nordea var det en falsk side med falsk NemID login-boks (så vidt jeg husker).

Det er ikke klart hvordan det nu er foregået hos Danske Bank. Pressemeddelelsen taler om '”real time phishing”. Misbruget har fundet sted, mens kunderne har været logget ind i deres netbank.' Hvis kunderne bruger deres NemID på den rigtig bank-webside og samtidig har en keylogger installeret, bør angrebet vel ikke umiddelbart kunne lade sig gøre da nøglekortets koder kun kan bruges en gang? (eller har jeg misforstået systemet?). Angrebet kan vel kun finde sted med man-in-the-middle eller ved at kunder giver sine login-oplysninger væk til en inficeret applikation (og så er det ikke nødvendigvis et "real time" angreb)?

Benny Allan Andersen

bankerne, forbryderne stjal fra.
Næste træk:
Nu er det kunderne, forbryderne stjæler fra.
Næste træk:
Det kan trækkes fra i skatteregnskabet. På den måde bliver banken og kunderne delvist skadesløse. Og regningen sendes videre til skatteborgerne. Lyder det helt hen i vejret?

Jesper Frimann

@Martin Kofoed.
Godt argument. Har lige stået og prøvet at forklare min 76 årige svigermor, om hvad svagheden ved NemID er, da hendes 10 år yngre bror har anbefalet hende at få Nemid.

Og hvor kvik min svigermor end er.. det ikke nemt.

// jesper

Niels Didriksen

Måske er jeg selv hacket, men de har sgu nok grinet deres røv i laser grundet manglende dækning på mine konti ;o)


Eller også har de grinet sin røv i laser over, at Verdens Førende IT-Nations Joy and Pride; NemID, har sørget for at de nu også har adgang til din kasino-konto, dine skattepapirer, din recept-medicin-ordrer, flyttemeldings-formularer, diverse website-accounts og meget meget mere af det, som politikerne med djævlens vold og magt tvinger tvinger os til at bruge NemID til.
...frivilligt, skal det jo for en god ordens skyld tilføjes.

Thue Kristensen

Øhh, et af de rigtig vigtige "salgsargumenter" i sin tid var at brugerene var for dumme til at tage rede på sig selv og deres liv, men at "NemID" ville være noget af det bedste der var sket efter skiveskåret brød.

Og at man skulle trygt kunne bruge sin "NemID" fra en hvilken som helst PC, da "sikkerheden" jo skulle være sublim og ubrydelig.

Det nonsens er vist (også) blevet godt og grundigt demonteret nu.

Enig. Problemet i det her tilfælde er dog nærmere at NemID er blevet, ikke at NemID er dårligt. Både 2-faktor og den forhadte skjulte sikkerhedskode i billedfilerne gør det sandsynligvis noget besværligt for angriberne.

Ikke at det skulle forhindre angriberne i simpelthen at erstatte hele HTML-siden med deres egen kopi, før Java-appletten har haft en chance for at loade. Jeg gætter på at det er det som er sket her.

Christian Nobel

...frivilligt, skal det jo for en god ordens skyld tilføjes.

Nu ved jeg godt at en dårlig analogi er som en utæt skruetrækker men jeg prøver alligevel:

Som ingeniør nyder man som regel en vis faglig accept, og hvis man som ingeniør påpeger en konstruktionsfejl i f.eks. en bro, vil der som regel blive lyttet.

Så jeg bor ved en kløft hvortil der ned igennem er en sti over til landsbyen på den anden side - det tager en halv time at gå der over, derfor bliver der opført en hængebro så man kan gå derover på 2 minutter, og det er selvfølgelig helt "frivilligt" at bruge broen.

Nu er det jo sådan at jeg som ingeniør kan se at broen er fejlkonstrueret, så da jeg har mit liv kært jeg vil hellere gå den halve time, det må være mit problem - ind til en dag kommunen har fyldt bunden af kløften op med pigtråd, for jeg kan jo bare benytte broen!

Men det er da helt frivilligt at bruge den.

Thue Kristensen

Det er ikke klart hvordan det nu er foregået hos Danske Bank. Pressemeddelelsen taler om '”real time phishing”. Misbruget har fundet sted, mens kunderne har været logget ind i deres netbank.' Hvis kunderne bruger deres NemID på den rigtig bank-webside og samtidig har en keylogger installeret, bør angrebet vel ikke umiddelbart kunne lade sig gøre da nøglekortets koder kun kan bruges en gang? (eller har jeg misforstået systemet?). Angrebet kan vel kun finde sted med man-in-the-middle eller ved at kunder giver sine login-oplysninger væk til en inficeret applikation (og så er det ikke nødvendigvis et "real time" angreb)?

Jeg ved selvfølgelig ikke med sikkerhed hvordan hacket mod Danske Bank er foregået, men jeg synes selv er der er en åbenlys måde at gøre det på.

Tricket er, at når en virus har overtaget din computer, så kan er din egen computer man-in-the-middle. Så når du har surfet ind på siden med login-dialogen, så kan hackeren have installeret et browser-plugin eller lignende (i stil med fx adblock plus), som modificerer siden. Så den rigtige java-applet bliver aldrig vist, men i stedet bliver en falsk HTML-efterligning vist, og angriberen får sendt en besked om at der et offer som er ved at gå i fælden. Alt hvad der vises i denne falske "applet" bliver så sendt til angriber. Herfra kører angrebet i stil med Version2's demonstration af Nordea-angrebet.

DanID's Java-applet bliver aldrig loadet, så den antivirus-kode som muligvis er indbygget i den kommer aldrig til at køre (hvilket de jo har sagt til Datatilsynet er hovedgrunden til at appletten er signeret).

Martin Poulsen
Thue Kristensen

Det er derimod dette. Siden Java-appleten er signeret, har du en mulighed for at vide om den er reel eller ej.

Hvordan vil du kende forskel? Hvis man har klikket "stol altid på DanID", så får du aldrig den dialog mere. Og Java-appletten er jo pixel-for pixel identisk med en HTML-efterligning. Og DanID har aldrig fortalt dig at du ikke må vælge "stol altid på DanID", så hvorfor skulle du ikke have gjort det?

Selv hvis du forventer en "denne applet er signeret - kør den?"-dialog, så vil en sådan dialog kunne efterlignes. Dialogenvinduet popper jo op inde ved browseren, så du kan bare lave en pixel-for-pixel-identisk dialog inde i browseren, som opfører sig lige sådan. Eller et popup-vindue som efterligner den. Du skal være særdeles vågen for at fange den; jeg ville sandsynligvis falde i med begge ben, og din gamle mor har ikke en chance.

Jeg har for resten NemID's chefudviklers ord for, at man ikke kan kende forskel på en rigtig applet og en HTML-efterligning. Fra da jeg klagede over problemet til Datatilsynet, for mere end et år siden.

Forvirringen her er, at du (og DanID?) tror at man kan konkludere "appletten er signeret" => "brugeren kan vide at han kører den rigtige applet". Det kan man ikke - jeg har kigget i Sun's dokumentation, og jeg kan ikke se at de påstår at signerede appletter giver denne sikkerhed. Det signerede appletter sikrer er "hvis appletten kører med forhøjede rettigheder" => "så er det fordi den er signeret og du har godkendt den via en dialog"-

Martin Poulsen

Forvirringen her er, at du (og DanID?) tror at man kan konkludere "appletten er signeret" => "brugeren kan vide at han kører den rigtige applet".

Nej, forvirringen er at du prøver at glemme hvad du skrev. Du skrev at der stik imod "best practice" ingen mulighed er for at kontrollere om en loginboks er reel. Det er der.

At det er de færreste der ved hvordan de kan skelne, kan vi godt blive enige om. Men hvad kan DanID gøre for at en loginboks ikke bliver efterlignet pixel til pixel? Hvad er "best practice" (som DanID gik stik imod)?

Thue Kristensen

Nej, forvirringen er at du prøver at glemme hvad du skrev. Du skrev at der stik imod "best practice" ingen mulighed er for at kontrollere om en loginboks er reel. Det er der.

Så forklar mig da, hvordan jeg kender forskel! Også så min mor kan forstå det, tak.

At det er de færreste der ved hvordan de kan skelne, kan vi godt blive enige om. Men hvad kan DanID gøre for at en loginboks ikke bliver efterlignet pixel til pixel? Hvad er "best practice" (som DanID gik stik imod)?

Vedtag at man kun må taste sit password ind hvis der står "https://danid.dk" i adresselinjen. Så ved man at man taler ned DanID. Og gør brugeren opmærksom på at han skal checke dette. Det er samme metode som fx OpenID bruger.

Martin Poulsen

Så forklar mig da, hvordan jeg kender forskel! Også så min mor kan forstå det, tak.

Bed om at acceptere signerede appleter hver gang, og kig HTML-koden igennem for kun en applet. Jeg kender ikke din mor, men som jeg skrev længere oppe, så er det de færreste der kan det - det er vi ikke uenige om.

Vedtag at man kun må taste sit password ind hvis der står "https://danid.dk" i adresselinjen. Så ved man at man taler ned DanID. Og gør brugeren opmærksom på at han skal checke dette. Det er samme metode som fx OpenID bruger.

(Det var så ikke lige det jeg tænkte på, da du skrev imod "best practice", men whatever)

Jeg er enig her - omend den også kan udsættes for phishing.

Thue Kristensen

kig HTML-koden igennem for kun en applet.

HTML med javascript er turing-komplet. Teoretisk kan du ikke matematisk forudsige uddata ved at læse kildekoden. Og du er nød til at læse alle CSS og JS-filerne igennem, for måske er den div som <applet ...> ligger i sat til display:none på linje 1243 af den fjerde CSS-fil. Og for at bruge NemID sikkert så skal du selvfølgelig gennemføre denne analyse for hvert enkelt NemID-login.

Det jeg taler om når jeg siger at brugeren har mulighed for at sikre sig er, at en gennemsnitlig bruger har en god chance. At en person person med en PhD i datalogi måske kan sikre sig hvis han bruge en uge per login er irrelevant.

Jeg er enig her - omend den også kan udsættes for phishing.

Nej den kan ej. Kom med et konkret eksempel, tak.

Thue Kristensen

Hvad havde forhindret den falske Nordea-side i at pege på https://danld.dk eller https://danid.eu med en pixel-til-pixel-kopi af https://danid.dk?

danid.eu er så forskelligt fra danid.dk, at folk selv skulle opdage det.

Mht til danld.dk, så skal DanID selvfølgelig opkøbe alle domainer som til forveksling ligner danid.dk. Der er et begrænset antal af dem. Husk på at DK hostmaster kun tillader et stærkt begrænset antal karakterer udover end a-z i .dk-domainer.

Thue Kristensen

nordea.dk og nordea-dk.com skulle man også mene at folk havde opdaget...

Nej, for folk har ikke fået at vide at de skal holde øje med domaine-navnet, og de har ikke at vide hvilke domaine-navne som er de rigtige.

For eksempel er seb.dk's netbank-login på adressen https://taz.vv.sebank.se/cgi-bin/pts3/sec/wcp_extra/index_dk.asp . FDB har sendt en email ud med et link til et nemid-login på http://ocdlg.com/dialog/url/?1722.1628.784.4497072.1.https://netbank.entercard.com/ec/engine?locale=da_DK&brand=fddk . Og endeligt så synes DanID at det er rimeligt at indtaske sin kode på https://nemid.nu ...

Så synes jeg altså ikke det er mærkeligt hvis brugerne tror at det er ok at indtaste deres password på nordea-dk.com . Husk også på at vi taler om gennemsniglige danskere, som end ikke er forsøgt oplyst om valide domaine-navne af DanID.

Selv om NemID indførte min metode med kun at taste password på https://danid.dk , så ville der selvfølgelig stadig være nogen som ville gøre noget dumt, og give deres password væk. Der er mange IT-analfabeter mennesker i Danmark :). Men i det mindste ville det så være deres egen skyld. Det ville faktisk være muligt for dem som ville lægge en lille indsats i at forstå sikkerheds-systemet at være sikre. Og det synes jeg er en ret vigtig egenskab ved en digital signatur.

Kristian Larsen

Featuren med SMS godkendelse af bankoverførsler blev jeg først udsat for efter at være blevet flyttet fra deres gamle løsning til nemid løsningen. Set fra mit synspunkt er det Nordeas måde at dobbeltsikre mod evt. problemer med nemid da de jo ikke må have ment det var nødvendigt før.

Martin Poulsen

Nej, for folk har ikke fået at vide at de skal holde øje med domaine-navnet, og de har ikke at vide hvilke domaine-navne som er de rigtige.

"Og så vil Claus Christensen gerne slå fast, at Nordea som altid råder deres kunder til aldrig at give deres loginoplysninger væk, eller reagere på mails, hvor der står, at de skal logge ind på bankens hjemmeside. Den slags mails sender Nordea ikke, lyder det fra banken."

http://www.version2.dk/artikel/saadan-lokkede-kriminelle-nemid-logons-fr...

Selv om NemID indførte min metode med kun at taste password på https://danid.dk , så ville der selvfølgelig stadig være nogen som ville gøre noget dumt, og give deres password væk. Der er mange IT-analfabeter mennesker i Danmark :). Men i det mindste ville det så være deres egen skyld. Det ville faktisk være muligt for dem som ville lægge en lille indsats i at forstå sikkerheds-systemet at være sikre. Og det synes jeg er en ret vigtig egenskab ved en digital signatur.

Så godt som enig.

Carsten Hahn

>>hvor mange er reelt blevet hacket og fundet
>>for lette grundet manglende kapital på deres konti?

Det er nemlig en rigtig god pointe !! Når de har "hacket" kun otte personer og alligevel fået 700k ud af det, så har de otte personer helt sikkert været "udvalgt" på forhånd. De har helt sikkert hacket måske over 100 personer og så droppet dem som ikke havde nok at tage af.

Det er i mine øjne helt usandsynlig at de har hacket otte helt tilfældige bankkunder og så fået så meget ud af det (i første hug).

Thue Kristensen

"Og så vil Claus Christensen gerne slå fast, at Nordea som altid råder deres kunder til aldrig at give deres loginoplysninger væk, eller reagere på mails, hvor der står, at de skal logge ind på bankens hjemmeside. Den slags mails sender Nordea ikke, lyder det fra banken."

Måske for Nordea, men der er mange andre som sender emails ud, som beder folk om at trykke på et link, og så logge ind med NemID. Fx skat.dk . Det er svært at bygge sin sikkerhed op omkring at folk husker politikken for lige netop Nordeas side.

Bare ærgeligt at den kriminelle lige så godt kan hugge passwordet til Nordea når brugeren logger ind med NemID på gentofte-bibliotek.dk ... som ikke har lovet ikke at sende emails til indloging ud. Der er lavet et system hvor det hele står og falder med laveste fællesnævner. Det undrer mig egenligt lidt at bankerne er gået med på den, når de risikerer at skulle betale for de penge som bliver stjålet.

Thue Kristensen

http://www.version2.dk/artikel/skat-dropper-links-i-e-mails-sikkerhed-ko...

:-)

DanIDs regler siger kun at de ikke må linke direkte til login-siden. De må gerne linke til en forside, hvorfra man så kan klikke videre til en login-side. Ud fra et eller andet mystisk argument om at en IT-kriminel ikke kan finde ud af at lave 2 sider. Jeg synes ikke artiklen siger klart hvilke links der vil være i næste email fra skat.dk .

Jeg synes hellere at DanID skulle få noget rigtig sikkerhed, i stedet for sådanne brugeruvenlige og ineffektive regler.

Jeg husker ikke det med Gentofte Bibliotek? Og Google finder heller ikke rigtigt noget. Link?

Jeg mente herlev-bibliotek.dk , fra Version2's demo-video: http://www.version2.dk/artikel/paerelet-narre-nemid-fra-dig-med-klonede-...

Gregers Mogensen

Rent faktuelt er det brugerne, der er blevet snydt, og ikke NemID's sikkerhed der er blevet brudt.

Brugerne har selv (ved at være uforsigtige) udleveret deres brugerid, kodeord og engangskode til hackerne.
Det er hverken DanID's applet, protokol eller servere, der har været kompromitteret.

Artiklens postulerende overskrift svarer til at hævde, at Dankort systemet er brudt, hvis en tyv kan hæve på en andens kort efter at have afluret pin-koden og stjålet pungen.

Det korte af det lange er, at det brugerne som er det svage led, og som bliver angrebet.
Hvis man mener, at vi skal have national sikkerhedsløsning, som ikke er sårbar overfor borgere med malware på deres pc/mobil og som udleverer deres credentials i et phishing angreb, skal vi formentlig have den MEGET store pengepung frem samt formentlig ofre ting som brugervenlighed og mobilitet. Er det virkelig det, folk ønsker?

Nikolaj Brinch Jørgensen
Jacob Hansen

Er det overhovedet muligt at lave et idiotsikret system?

Det er så let at pege fingre af NemID. Men hvordan skal man lave et 100% idiotsikret system? Hvis folk gladeligt trykker på links i en dybt suspekt email, så kan man da lave vilkårligt sindrige systemer, hvorved det alligevel lykkes tyve at liste sig udenom systemerne.

Hvis man kan franarre folk deres identitet ved at sende dem en email - så er det åbenbart NemIDs skyld!
MEN hvis man snupper folks bilnøgle fra deres taske, er det så Volvos skyld? Eller hvis jeg aflurer folks kode til deres dankort, er det så pengeinstituttets skyld?

Hvis forventningerne til et "sikkert system" er, at folk bare skal slå hjernen fra og "gøre som der bliver sagt i en suspekt mail", så er det da svært op ad bakke at designe et sådan system.

Det må være en udfordring til de meget begavede folk i denne debat, at skrue et sådant system sammen. :)

Christian Nobel

Det må være en udfordring til de meget begavede folk i denne debat, at skrue et sådant system sammen. :)

Fin stråmand der.

Sagen er (hvis du havde fulgt med...), at der er adskillige specialister der har prøvet at råbe "systemet" op over de sidste mange år, men der har aldrig været åbnet op for en dialog - i det hele taget er det hele foregået utroligt lukket.

Men du har nok ret i en ting, nemlig at det ikke er muligt at lave et idiotsikkert (selv om jeg faktisk ikke bryder mig om dette udtryk, for det er kun en elitær måde at unddrage sig sit ansvar på), men så skal man tage udgangspunkt i det, og ikke prøve at proppe et system som "NemID" ned i halsen på landets befolkning, ud fra argumentationen om at de ikke selv er i stand til at tage vare på sig selv, så derfor laver vi et system - dem der har fulgt med i timen ville jo kunne huske at lige præcis Hr. og Fru Jensens dårlige tilgang til sikkerhed var et af de væsentligste argumenter for at nøglen til borgernes digitale live skulle administreres centralt.

Og så synes jeg måske også debatten skal til at løfte sig lidt højere end kun at fokusere på de (trods alt i det store regnestykke) småpenge der er blevet stjålet, og som det ikke er lykkedes at skjule for offentligheden, og så i stedet tage fat i hele den skræmmende palette af et digitalt (tyv)tag-selv bord "NemID" er ved at udvikle sig til.

Klavs Klavsen

Ja - Svenskerne og tyskerne har noget der er væsentligt tættere på et sådant - hvor netop de angreb vi ser her, ihvertfald ikke ville være mulige:
http://www.version2.dk/blog/problemet-med-nemids-generelle-sikkerhed-43480

Og bemærk lige at selvom bankerne så sætter en SMS bekræftigelse på bankoverførsler - så hjælper det mig fandme ikke meget, når nogen beslutter sig for at overdrage mit hus til en anden, flytte min adresse eller noget af alt det andet som NemID kan bruges til hvis man har slået "signatur"-delen til (hvilket jeg absolut IKKE har).

Istedet for et chipkort, foretrækker jeg dog en løsning a la pico idéen : http://www.version2.dk/blog/hvis-danmark-var-it-foregangsland-18609

Morten Jensen

Hvorfor er det pludseligt mere sikkert hvis man skal svare JA på en sms? Banken abonnerer ikke på dine CPR-oplysninger mig bekendt - min bank har ihvertfald ikke mine CPR oplysninger. Jeg har selv skullet give dem nyt telefonnummer eller adresse når jeg har skiftet telefon eller bopæl.
Hvis du har adgang til folks netbank via NemID, så har du for ~50%*'s vedkommende også adgang til resten af deres digitale liv via et OCES-certifikat. Så burde det være muligt at snyde selv en SMS autentificering hvis der bare skal svares JA. Hvis det er et OTP fra papkortet, så hjælper det på det.

Mit største problem med NemID er ikke sikkerheden, det er at man ikke har valgt PKI og at man har valgt at bruge en java-applet, ehdddrrrr... Jeg kan ikke gå på netbank fra min telefon. HTML, JS, CSS er rigelig fint til login med brugernavn/password + challenge/OTP.

Jeg er enig med de andre debattører, at tyvene må have søgt en del kandidater igennem før de fandt nogle med så mange kontanter. Der er givetvis masser af folk i Danmark der stadigvæk joiner botnettet uvidende hver gang de starter computeren. Det er svært at garantere sikker kommunikation når hele softwarestacken på klientsiden kan være kompromiteret til kernen - men hva pokker. NemID skal nok tilbyde mere gaffa-tape i form af nye og ENDNU mere hemmelige autentificeringsmetoder. Der er hele tiden et nyt token om hjørnet fornemmer man på pressemeddelelserne; for en beskeden pris naturligvis!

Men hvorfor brokker jeg mig - det er jo valgfrit! Analogien med kløften, broen og pigtråden er ikke helt ved siden af, synes jeg :)

  • Jeg kan ikke finde en artikel der giver det præcise tal for hvor mange af danskerne der har aktiveret OCES, men op til årsopgørelsen mener jeg antallet bevægede sig noget over de skuffende 25% ved udgangen af 2010**

** http://www.version2.dk/artikel/hver-fjerde-vil-ikke-bruge-nemid-til-offe...

Jørgen Larsen

@Gregers - som udgangspunkt er jeg sådan set enig i, at det sådan set ikke er den generelle sikkerhed bag Nem ID, der er brudt. Men et eller andet sted så har Christian Nobel vel en pointe i, at den centraliserede Nem ID løsningen delvis skulle kompensere for hr. og fru Jensens letsindige omgang med sikkerheden? Set ud fra det synspunkt, så har det seneste angreb vel undermineret den påstand?

Leif Guldbrand

Har lige modtaget en "vrøvlet" mail vedr. min konto hos Danske Bank.
Forsøger via Netbank at sende en mail (sourcecode) til Danske Bank, så de er advaret.
Kan bare ikke lade sig gøre, da de ikke vil modtage "< og >" tegn.
Hvordan pokker skal jeg så kunne hjælpe DB, når de nægter at modtage
advarsler !!!!
Jeg er ufatbar.... at DB (og måske andre banker IKKE har en adresse på
anmeldelser af forsøg på phishing.

Log ind eller opret en konto for at skrive kommentarer

JobfinderJob i it-branchen

TDC skifter koncernchef efter faldende mobilomsætning

Jesper Stein Sandal Mobil og tele 14. aug 2015

Nyeste job

KurserStyrk dine evner med et kursus

Grafisk Projektledelse

Hvornår: 2015-10-27 Hvor: Østjylland Pris: kr. 12950.00

Effektiv Problemløsning

Hvornår: 2015-10-29 Hvor: Storkøbenhavn Pris: kr. 8900.00

Controller-kurser

Hvornår: 2015-10-21 Hvor: Storkøbenhavn Pris: kr. 17990.00

Service og brugen af de sociale medier

Hvornår: Hvor: Efter aftale Pris: kr. Efter aftale

Diploma in Engineering Business Administration (EBA)

Hvornår: Hvor: Efter aftale Pris: kr. Efter aftale