Danske Bank: Vi har fortsat fuld tillid til NemID

Selvom Danske Bank nu også må melde sig som en af de banker, der har haft indbrud i netbanken, fordi kunders NemID-oplsyninger er blevet opfanget og misbrugt, så har bankens koncernsikkerhedschef Poul Otto Schousboe stadig tillid til loginløsningen.

»Naturligvis er jeg tryg ved, at vi anvender NemID,« siger han og tilføjer:

»Er NemID usikker? Ikke umiddelbart, når man er opmærksom på, at der er en risiko for, at man kan komme til at aflevere sine oplysninger et forkert sted.«

I det konkrete angreb har otte kunder i Danske Banks netbank fået inficeret deres computere med malware. Malwaren har opsnappet brugernavn og adgangskode til NemID og derefter en nøgle fra nøglekortet, når brugeren er logget ind i netbanken. Det har i princippet været muligt for brugerne at registrere, at der har været lusk på færde, fordi de blevet bedt om at indtaste endnu en nøgle fra nøglekortet på et tidpunkt i netbank-sessionen, hvor der normalt ikke bliver bedt om en nøgle.

»Jeg siger ikke, at det er nemt at være opmærksom på de her ting, men det er sådan noget, man skal forsøge at være opmærksom på,« siger Poul Otto Schousboe.

Selvom angrebet mod Danske Bank ikke er 100 procent magen til det seneste, vellykkede angreb mod Nordeas netbankkunder i september 2011, så er der overordnet set tale om samme type angreb, der med fagterminologi kaldes for realtime phishing, forklarer Poul Otto Schousboe.

Det vil sige, at de kriminelle bagmænd på den ene eller den anden måde har lokket brugere til at aflevere deres NemID-login oplysninger, inkl. en nøgle fra nøglekortet, som bagmændene så har siddet klar til at bruge til at føre penge ud af ofrets netbank.

Dermed er det anden gang i løbet af seks måneder, at NemID-brugere har været udsat for vellykkede realtime phishing-angreb. Men det får ikke Poul Otto Schousboe til at ryste på hånden i forhold til fortsat at anvende NemID i Danske Bank.

»Det er rigtigt, at der er denne her risiko for realtime phishing-angreb ved login-løsninger af samme type som NemID, men ved andre løsninger er der andre risici. Der er ingen løsninger, der er 100 procent sikre,« siger han.

Nu er Danske Bank sammen med Nets DanID, står bag NemID, ved at analysere angrebet i detaljer.

»Der kommer en nærmere analyse, men jeg kan ikke her få dage efter angrebet sige noget endnu om, hvad der kommer til at ske,« siger Poul Otto Schousboe, som dermed heller ikke endnu ønsker at forholde sig til, om der kommer til at ske konkrete ændringer i forhold til den måde, NemID er designet på i dag.