Ny NemID-malware går efter alle netbankkunder – ingen kan vide sig sikker

Ny malware spreder sig gennem usikre hjemmesider. Malwaren er ikke målrettet nogen bestemt netbank, men går efter alle bankkunder i Skandinavien.

Nu florerer der igen malware rundt, der har til formål at lænse danske bankkunders konti. I modsætning til tidligere angreb er den nye malware ikke målrettet nogen bestemt bank, men kan ramme alle, uanset hvilken netbank man bruger. Flere banker advarer nu deres kunder om at være på vagt, når de logger ind på netbanken.

Angrebet er det tredje offentligt kendte angreb, hvor kriminelle bruger phishing til at komme forbi netbankernes sikkerhed efter indførelsen af NemID-loginløsningen.

Malwaren kommer typisk til udtryk som et ekstra popup-vindue, når man logger ind på sin netbank. Popup-vinduet har til formål at franarre offeret sine log ind-oplysninger. I flere tilfælde har popup-vinduet haft et logo fra en anden bank end den, som kunden har forsøgt at logge ind på.

Advarsel fra Jyske Bank

Spreder sig igennem hjemmesider

Malwaren spreder sig gennem usikre hjemmesider. Det er typisk hjemmesider med en forældet Wordpress eller med bannerreklamer, hvor det er lykkedes it-kriminelle at inficere hjemmesiden med skadelig kode.

Læs også: Hacket netbank-kunde afslører: Ond NemID-trojaner smadrede Windows

Ifølge Peter Kruse, sikkerhedskonsulent ved CSIS, er det hele Skandinavien, der er under angreb.

»Det, der har været karakteristisk for Skandinavien, er, at vi er sluppet billigt. Det kunne godt være, at it-kriminelle er ved at få øjnene op for Skandinavien,« siger Peter Kruse til Version2.

Hvor udbredt malwaren er, eller hvordan den præcis virker, kan sikkerhedsvirksomheden CSIS ikke sige noget om endnu, men en efterforskning er i gang.

Kun få ofre

Ifølge virksomheden bag NemID, Nets, er det under ti kunder, som er blevet bestjålet med det nye malware.

Læs også: Her er bagmanden: Sådan snød Arthur Williams NemID og stjal fra Nordea-kunder

»Det er et udtryk for, at bankerne har ændret deres overvågning her de seneste måneder, så der bliver fanget mange flere forsøg på indbrud, « siger Nets pressechef, Søren Winge, til Version2.

Det bedste, man selv kan gøre for at undgå malwaren, er at holde sin computer opdateret.

Kommentarer (48)

Thomas Hansen

NemID er bare ikke sikkert.
Det kan det aldrig blive.
Det er jo trivielt og latterligt, at skulle læse og trolle om det, næsten hver dag.

Krav om at brugerne selv skal holde deres maskiner fri for mallware, som er et af grundlagene for at NemID fungerer, er jo helt umulige at opfylde.
Det kan man ganske enkelt ikke.
Dermed er grundlaget for NemID, " ikke eksisterende ".

Christian Have

Hvis du kan komme med den overordnede ide eller tanke til et autentifikationssystem der er sikkert selvom brugerens endpoint er kompromitteret, så har du løst en frygtelig masse problemer.

Joanna Rutkovskas arbejde med Qubes OS er netop ud fra tanken om at hvis dit endpoint er kompromitteret, så er alt håb ude.

Det ville virkelig være interessant at høre, hvordan du forestiller dig et system der ville være i stand til at løse endpoint udfordringen.

Jacob Pind

Tysker har jo hbci kortlæser med tastaturfelt, hvor kortet skal i og man skal trykke kode ind, og mobil etan version hvor den skal op til en skærm, men nej vi skal selvf opfinde noget helt fra bunden, og det skal ihverfald være så det aldrig kan erstattes af et system hvor den total overvågning ikke er indbygget via fejldesign.

Jesper Lund

»Det er et udtryk for, at bankerne har et ændret deres overvågning her de seneste måneder, så der bliver fanget mange flere forsøg på indbrud, « siger Nets pressechef, Søren Winge, til Version2.

Det er positivt at bankerne i deres bank-end systemer holder øje med mistænkelige login forsøg og transaktioner, Og naturligvis har bankerne et økonomisk incitament til dette da de hæfter for misbrug (i hvert fald når vi taler om privatkunder). Bankerne har også 10-15 års erfaringer med netbank misbrug som de kan trække på.

Men kan vi regne med samme opmærksomhed (rettidige omhu, ville nogen måske sige) hos det offentlige når vi alle sammen skal tvinges til at bruge OCES NemID til offentlig selvbetjening?

Esben Damgaard

Var begrundelsen for at gå væk fra den gamle digitale signatur ikke til dels at man ikke kunne forventer at folk kunne holde malware væk fra deres computer?
Her ville NemID komme som en løsning. Nu siger de til folk at hvis man vil være sikker på at NemID ikke hackes, så skal man holde malware væk fra sin computer. Præcis samme problemstilling som før.

Keld Scotwin

Selv phising kan undgås ved kombination af "noget du er" biometri og datacenters kontrol af (og verifikation) af "det er bankens hjemmeside" du har taler med. Bl.a. indeholder løsningen en usb baseret device som kun brugeren ved hj. a. sit fingeraftryk kan aktivere. Men sikkerheden ligger også i kombinationen med verifikationen af det er bankens autoriserede hjemmeside.
Alt foregår krypteret. Umiddelbart er både brugernavn og adgangskoder unødvendige..

Martin Frandsen

Kan også anbefale AddBlock Plus fordi den blokerer reklamebannere (Inklusive dem der anvendes til spredning af 0days.)

"Sandboxing" (at køre en virtuel boks eller et ekstra stykke software) er måske en mere solid løsning, men det er måske også noget der er uden for almindelige brugeres rækkevidde.

Problemet med dumtID er at det grundlæggende design er det dummeste nogensinde. Én nøgle der åbner alt... stupid stupid stupid. Dette parameter gør nøglen/systemet til et særdeles attraktivt mål, hvilket reelt påvirker den faktiske sikkerhed man kan opnå i drift.

Monopolet danID skal udfordres af mindst endnu en leverandør. Uden konkurrence får vi ikke bedre og mere sikre løsninger på bordet.

Martin Leopold

Hej,
Er der nogen der har noget konkret information (ud over den rituelle kølhaling af NemId)? På Nets' side er omtalt en virus - hvilket kan lede tankerne hen på at brugerens PC skal være inficeret. Antager vi at virusen kun virker til Windows kunne man være så heldig at f.eks. Mac eller Linux brugere ikke er i fare for det her angreb. Er det tilfældet?

  • Martin

https://www.nets-danid.dk/om_nets_danid/presse/01052012_nye_tilfaelde_af...

Henrik Madsen

"Malwaren spreder sig gennem usikre hjemmesider. Det er typisk hjemmesider med en forældet Wordpress eller med bannerreklamer, hvor det er lykkedes it-kriminelle at inficere hjemmesiden med skadelig kode."

Jamen så er det jo nemt at undgå ..

Man skal bare undgå at besøge "usikre hjemmesider med bannerreklamer"..

I den forbindelse må vi jo så konstatere at f.eks ekstrabladet.dk er en usikker hjemmeside :

http://borger.itst.dk/aktuelt/virus-gemt-i-bannere-pa-hjemmesider

Henrik Madsen

Anders Larsson

Tilsyneladende er Nets/DanId ved at skifte certifikater - hvorfor kunder bedes "Always Accept" et usikkert certifikat:

http://www.nordea.dk/Privat/Daglig+%C3%B8konomi/Internet+og+telefon/Nets...

Og det er ikke den gamle fejl .. det er d.d.
For at logge på Netbank (2 forskellige) er jeg nødt til at acceptere et ukendt certifikat i Firefox (Ubuntu)

Det bliver da efterhånden ment at vide hvornår man skal stole på NemID ... aldrig

Allan S. Hansen

Var begrundelsen for at gå væk fra den gamle digitale signatur ikke til dels at man ikke kunne forventer at folk kunne holde malware væk fra deres computer?
Her ville NemID komme som en løsning. Nu siger de til folk at hvis man vil være sikker på at NemID ikke hackes, så skal man holde malware væk fra sin computer. Præcis samme problemstilling som før.

Lige præcis. Det er utroligt at der ikke er flere der borer lidt i argumentationen fra den gang kontra hvad de fortæller os nu.

Men nu er det jo alligevel for sent, fordi vi alle er tvangsbundet til NemID ifb. med mange ting og det har kostet så mange penge at man ikke kan opgive det.

David Anker

Alle snakker om at vi skal lege NemID i en sandkasse, men det er ikke en løsning for den almindelige Windows-bruger, hvor magelighed>sikkerhed. Kan man, ved indsættelse af et read-only USB-stick, afvikle et program, uden om computeren, der opretter en sikker forbindelse til NemID, for derefter at køre java-appletten lokalt? Altså en Sandkasse i et USB-stick (muligvis unikt, så der ikke behøves papkort, selvom papkortet er blevet det mindste problem nu)

/David

Niels-Jørgen Jørgensen

Efter at have oplevet at jeg skulle give min NemID kode to gange, anden gang i et popup vindue der til forveksling lignede den fra banken, med den rette https link i venstre hjørne som også lignede bankens, har jeg lukket min adgangen ved at spærre den.

Jeg syntes at det var mærkeligt med det ekstra pop up vindue, men jeg lavede min gerning i netbanken, loggede af. Men var urolig over at skulle gøre det to gange med min NemID. Så jeg valgte at logge ind igen, for at spærre min adgang.

Dagen efter snakkede jeg med hotline, og fortalte dem hvad der var sket. Hotline kunne ikke afvise at det var et forsøg. Så nu har jeg også betilt et nyt NemID kort, det bevirker at det NemID kort jeg har pt er spærret. Hvilket er godt i det tilfælde at tyvene skulle have fået en kode.

Jeg fandt dog ud af at jeg burde have skiftet mit ID og adgangskode før jeg skiftede mit NemID kort, da man skal bruge NemID kode for at kunne skifte ID og kode...

Men så snart jeg har det nye NemID kort så skifter jeg ID og kode i netbanken...

Jeg synes det er træls at være udsat for tyveri-forsøg. Jeg har ikke meget tiltro til sikkerheden vedrørende NemID.

Man kunne også se det som et udtryk for at jo smarter man laver systemerne jo smarter bliver dem der vil tage ens penge... der er udvikling ;-)

Jeg glæder mig til en mere sikker løsning.

Rodrick Dalton

Det bedste måde at sikre brugerne af NemID, osv. vil være at fjerne deres ansvar for at stå for sikkerheden.

For mange personer har et for forældet styre-system som ikke er opdateret pga. at den er ulovligt installeret, mangler antivirus og anti-malware programmer.

Adgang til det offentlig kan nemt sikres ved at lave et "NemID bootbar CD/DVD", da man ikke kan gemme malware på CD/DVD'en er systemet sikker ved opstart. Hvis der findes USB-sticks med "write lock" for at forhindre at malware kan gemmes dimsen... så er dette osse et løsning.

Da malware kan køre direkt fra RAM, skal de vigtige ting fortages før man besøger de gængse malware fælder.

Jesper Frimann

"Ifølge virksomheden bag NemID, Nets, er det under ti kunder, som er blevet bestjålet med det nye malware."

Det stemmer ikke særlig godt overens med det som Danske Banks support fortalte min svigerinde.
Jeg tror, der er gået lidt semantik i den her.. Det kan da godt være at det kun er lykkedes at slippe uden om bankernes fraud detection i 10 tilfælde, altså at der faktisk er stjålet noget, men hvor mange er så faktisk blevet 'hacket' ?

Igen så vil et offentlig system, der bruger NemID til f.eks. at ændre adresse, jo ikke have samme bagved liggende sikkerhedsforanstaltninger, som en bank har.

Vi bliver holdt for nar.

// Jesper

Jørgen Elgaard Larsen

Flere banker advarer nu deres kunder om at være på vagt, når de logger ind på netbanken.

Og hvordan er man så det?

Java-appletten kører på bankens hjemmeside - så man kan ikke umiddelbart se, om den kommer fra DanID eller ej. Bankens (eller golfklubbens) hjemmeside kan være hacket eller ramt af noget XSS. Så man må bruge Firebug e.l. for at se, hvilken applet, der kører.

Ydermere er det problematisk, at man indtaster sit password, før man får verifikation fra serveren om, at den kender én (ved at den kender en nøgle på OTP-kortet). Især når man kun skal bruge passwordet til at godkende transaktioner.

Hans Schou

Alle snakker om at vi skal lege NemID i en sandkasse, men det er ikke en løsning for den almindelige Windows-bruger, hvor magelighed>sikkerhed.


Det med magelighed, er en hård nyser.

Det bedste bud jeg har hørt, er at køre NemID i en VM (fx VirtualBox til Windows), og i den køre et OS der er prækonfigureret til det, og som starter direkte i en browser. Ingen ting gemmes på disk, eller disken slettes e.l.

Problemet med den løsning for den alm.bruger, er hvis der skal gemmes en CSV/TSV fil på disken (altså et kontoudtog) eller hvis der skal printes. Så er det ikke trivielt at lave sådan et system.

Hvis man vil lave sådan et system med fri software, og distribuere den, så skal man finde en fri Java-version, for Oracles Java er ikke fri software. Det er noget rigtigt skidt at NemID er baseret på ufri software.

Michael Nielsen

De løser problemet i stedet for at smide alt over på brugerne..

Jeg påpegede før de lancerede NemID, før den første kode var skrevet, at der var en løsning hvor brugeren ikke skal bekymre sig om phishing m.v. Den løsning fantes før man opdagede NemID, havde man brugt ca 30 minutter surfing med noget basal sikkerheds viden havde man fundet de forskellige enheder der løser problemet korrekt.

ChipTan er en løsning som tyskerne efterføglende er kommet op med, som jeg vil vædde med er næsten immun over for malware, fordi du ikke har mulighed for at hacke enheden.

Men ak nej, der var åbenbart andre krav bag NemID, krav der ikke havde med sikkerhed at gøre, men snarere det modsatte, tør man sige overvågnings muligheder af borgeren, og at sørge for borgerne ikke kan kommunikere sikkert.

Det er sådan set den eneste grund til man kan fejle så slemt i en logon løsning for ikke at sige digitalsignatur (som man først påstod det er)..

Løsningen NemID er baseret på var forkastet, og alle svagheder allerede kendt i 1994, da jeg først arbejdede med sikkerheds løsninger, allerede den gang gik vi efter hardware baseret RSA (dvs public-private key kryptografi), fordi det er det eneste der tilnærmelseesvis er sikkert, og sikkerheden når man bruger private/publickey kryptografi er at selve teknikken er så immun over for angreb, som teknisk muligt (bugs normalt den største svaghed).. Så er det kun hvis brugeren er blevet narred til at give penge væk (lige som med kontanter)..

Men Ak nej, man valgte at se bort, fra ca 20 års erfaringer inden for kryptografi, og sikkerhedssystemer, og designe et, som en 1. års elev i sikkerhed kunne skude huller i, på størrelsen af en lade port.

Så hvad med at skrotte NemID, og gør det rigtig denne gang ?

og lad være med at spilde endu 2.3 millarder på noget der ikke virker.

Henrik Madsen

Enig med Michael Nielsen

Chiptan systemet som de bruger i Tyskland virker rimeligt hackersikkert.

Man indsætter sit kort i en kortlæser som ikke er tilsluttet computeren og scanner en stregkode på skærmen. Så står der hvilken konto man er ved at overføre til og beløb i displayet på chiptan enheden og så trykker man OK og får en kode fra enheden som man så taster ind.

Hvordan man skulle kunne lokke en kode fra brugeren som passer på ens egen konto og på et formodentligt stort beløb kan man kun gisne om men jeg tror det bliver MEGET svært.

Om ikke andet så tilbyd det da som en alternativ løsning og lad os slippe for elendig sikkerhed og java baserede stats-trojanere på vores maskiner.

Henrik Madsen

Henning Wangerin

ChipTAN er blevet knækket ved hjælp af middelware på klienten.

Der er mulighed for at lave en samlebetaling, og netop den funktion er blevet benyttet, ved at overførslen er blevet ændret af hackeren, og de modificerede info sendt til banken.

Godkendes der kun en enkelt betaling vil konton-nummer og beløb vil begge dele blive vist på kortlæseren. Den overførsel bliver ændret til en multi-betaling til en anden konto.

Ved multibetalinger vises antal betalinger og beløb. Ikke modtagerne, og derfor er der ingen check på om der rent faktisk behandles de rigtige data.

Men det kan selvfølgelig ungåes ved KUN at godkende betalinger en af gangen. Det er bare noget bøvl ;-)

/Henning

Glen Madsen

Magen til fjolser! :)
2048^10 bit krypteret rfid tag indopereret bag øret. og adgangskoden er en iris scanning.

Vi kan godt lave et system der er "sikker" nok men det må jo ikke koste noget !!
Hvorfor ikk kigge på hvad andre gør ? Hvad med FBI/CIA/NCIS osv bruger de os nemid til at logge ind i deres system?

Lars Christensen

Det er helt rigtigt at man kan bruge Digital Signatur på skat.dk og e-boks - men når DS udløber kan man ikke få den fornyet og aller mest sjovt er det, at hvis man ønsker en tastselv kode til skat.dk - så skal man sørme have NemId, blot for at kunne sende en email via skat.dks website.

Jeg hader konspirationsteorier - men jeg synes det snerper hen imod en godt gennemtænkt og indarbejdet strategi.
Hvorfor har de ansvarlige ikke brugt lige så megen tid på at udvikle SlemId til et sikkert system, som de har brugt på at finde muligheder til at tvangsbinde os til denne bambusløsning?

Mvh Lars plbrake.dk

Finn Christensen

Men kan vi regne med samme opmærksomhed (rettidige omhu, ville nogen måske sige) hos det offentlige når vi alle sammen skal tvinges til at bruge OCES NemID til offentlig selvbetjening?

Nej da, og for øjeblikket kan der være aktiveret flere angreb, hvor oplysninger løbende tappes fra OCES registre. Kontoen stemmer jo :) Der stjæles kun tekst via kopiering, som borgeren jo kan hente sin egen kopi af - selv ikke et enkelt bogstav mangler :)

Mangler der kr. vil de fleste opdage det - om ikke andet lidt forsinket - men OCES er ifm. der offentlige område jo det som vi kalder vores følsomme oplysninger. Det er en misforståelse at anvende 'Vi gør det vi er bedst til' filosofi (NemID) her.

Ligeledes endnu mere tåbeligt at udbrede samme koncept til diverse private aktører, der sælger et eller andet godtkøbskram til folket. Mængden af angrebsvinkler bliver blot forøget, og jo flere jo hurtigere prikkes der hul på sikkerheden.

Henrik Madsen

Ja Finn, det bliver sjovt når man f.eks kan omregistrere sin bil via NemID.

Så kan den polske tyveknægt nappe en PapID kode, omregistrere bilen i eget navn og så ellers snige sig ind og snuppe din nøgle til bilen.

Bliver han stoppet på vej ud af landet vil bilen stå opført som om det var hans egen og han kan køre bilen til Polen..

Man forestiller sig ligefrem de kriminelle sidde og tænke på Svend Gehrs udtalelse .... "Det er genialt det der"...

Henrik Madsen

Psuedo Unknown

Jeg var så "heldig" at være ude hos et familiemedlem som var inficeret af dette nye malware.

Som så mange andre fulgte jeg anvisningerne fra både Nordea og dan-id om at kontakte hotline og ellers køre BankTexeasy Detection Tool. Ingen af metoder hjalp mig dog. Hotline kunne desværre ikke hjælpe mig, det måtte jo være en forældet browser eller noget bøvl med Java.

Jeg besluttede mig for selv at kigge nærmere på det. Det er rigtig nok som flere skriver, at man skulle logge ind to gange, og det undrede også mig straks.

Det skal siges at der er tale om real-tidsphising da jeg gik ind via www.nordea.dk og derfra videre til webbank login. Alle SSL forbindelser var oprettet med certifikat udstedt til Nordea.

Når man kom ind på 'netbank.nordea.dk/netbank/' triggede det malware'en som omskrev html siden til at vise et falsk NemID login. Dette login var ikke en java applet, men en plain html kode der hentede sine ressources (billeder mv.) fra www.auth-banking.org/a/ndk/ (ndk for Nordea DK).

Efter man havde logget ind - denne login formular acceptere vilkårlige brugernavne og password - blev man sendt videre til den rigtige Java Applet udstedt af DanID.

Jeg browsede mig ind på auth-banking.org og gennemlæste kildekoden inden siden blev nedtaget.

I kildekoden kunne jeg identificere følgende finanielle insitutioner:
Nordea Denmark
Rabobank Netherland
ING Netherland
Abramro Netherland
Dexia Belgium
ING Belgium
OGONE
Postbank Germany
Fortis Belgium

Kildekode og screenshot's haves stadig.

Konklusion.
Jeg synes det er ærgeligt at efter man har kontaktet både Netbank support og anderkendt sikkerhedsfirma som bla. Danid referer til får man ingen hjælp. Din browser skal sikkert opdateres, din java er for gammel, det er sikkert en kendt virus mv.

Det er muligvis også rigtig nok, og de får sikkert også mange opkald. Men arbejder indenfor sikkerhed og kan argumentere, og tager sig tid til at dokumentere og "eftersøge", så burde der være nogle klokker der ringer.

Slutteligt skrev jeg en abuse-mail til hosting selsskabet og bedte dem om at nedtage siden nedtage hjemmesiden som skete kort tid efter.

Hvad så nu?
Eftersom der sandsynligvis fortsat er tusindvis af zombier i dette netværk er det kun et spørgsmål om tid inden en ny "collector" hjemmeside bliver sat op der bliver peget på. NemID er i sig selv relativt sikkert, det hjælper bare ikke noget når det er under forudsætning af brugeren PC ikke er kompromitteret!

Der er rigtig mange 0-day vulnerabilites lige nu, så det er bestemt ikke sidste gang vi ser det her.. It's only the beginning :-)

Måske det sikreste i den forstand er at skifte til en lille lokalbank (hvis man ser bort fra de bank-krak mv.) hvor sandsynligheden for at de bliver et mål er mindre end f.eks. Nordea som jo er en utrolig vigtig og strategisk brik til at sikre vækst i EU.

Anders Jensen

Tilsyneladende er Nets/DanId ved at skifte certifikater - hvorfor kunder bedes "Always Accept" et usikkert certifikat:

http://www.nordea.dk/Privat/Daglig+%C3%B8konomi/Internet+og+telefon/Nets...

Og det er ikke den gamle fejl .. det er d.d.
For at logge på Netbank (2 forskellige) er jeg nødt til at acceptere et ukendt certifikat i Firefox (Ubuntu)

Det bliver da efterhånden ment at vide hvornår man skal stole på NemID ... aldrig

Naaaa ikke helt, med mindre de har ændret info på siden.

Ceritfikatet validerer faktisk korrekt, og du bliver bedt om at bekræfte dette.

Du bliver IKKE bedt om at stole på et ukendt certifikat... i hvert fald ikke hvis screendumps læses som jeg læser dem :-)

Finn Christensen

Efter man havde logget ind - denne login formular acceptere vilkårlige brugernavne og password - blev man sendt videre til den rigtige Java Applet udstedt af DanID.

Jeg browsede mig ind på auth-banking.org og gennemlæste kildekoden inden siden blev nedtaget.

Tak for at du gad lave lidt seriøs gravearbejde for os alle - diverse medier giver jo diffuse informationer. Er ikke stødt på den endnu, men skyldes sikkert jeg ikke drysser rundt de inficerede sider, samt har effektivt blokeret for flash m.fl.

Ulrich Vestergaard Hansen

Hej Finn

Der kunne sikkert være flere varianter af denne malware som prøver at stjæle login informationer, jeg kan kunne redegøre for den undersøgelse af netop denne variant jeg kiggede på i tirsdags.

Umiddelbart ser det ikke ud til at auth-banking.org/a/ndk laver et valideringsopslag mod NemID samt efterspørger en one-time-key.

Efter man havde tastet brugernavn og password ind blev man sendt direkte videre til DanID's rigtige java-baserede applet.

Altså selvom man havde vidergivet sit brugernavn og password kunne den bagmændende ikke logge ind (umiddelbar analyse, ikke komplet).

Der skal nok være flere der har en scannet version af deres NemID liggende på computeren, så kombineret med dette login forsøg på den falske login, kunne de måske alligevel få noget ud af det.

I så fald kan DanID jo ikke se det.

Det skal heller ikke afvises af malware'en kan manupulere med overførsler når du efterfølgende var logget ind. Hvem ved :-)

Nu ved jeg ikke hvor længe sådan en one-time-key den er gyldig efter den er blevet udstedt af DanID, men man kunne jo godt have forestillet sig at bagmændende havde gået lidt længere og injected en falsk java applet som foretager et legitimt brugeropslag til DanID. Når brugeren så efterfølgende taster den 6 cifrede kode ind der passer med det returnede at den så meldte "fejl i login", sendte den ubrugte kode til bagmændende (hvorfor er det egentlig vi altid antager det er mænd.. nå..). Så havde bagmanden en ubrugt kode, du vil som bruger måske undre dig over du har tastet forkert når du nu var så sikker, men alligevel ikke.

Deres applet er vel i øvrigt også signeret, så laver DanID en validering deraf ville det nok ikke kunne lade sig gøre.

Der er mange teorier, og lige så mange andre kloge mennesker derude der vil os ondt.

Som jeg husker det sporede jeg en række IP adresser og tilhørsforhold til Panama, men det kan jo være proxifiseret og alt muligt.

Venlig hilsen
Ulrich

Jesper Poulsen

Problemet med den løsning for den alm.bruger, er hvis der skal gemmes en CSV/TSV fil på disken (altså et kontoudtog) eller hvis der skal printes. Så er det ikke trivielt at lave sådan et system.

Printersupport?
Min NemID-VM har printersupport.

Hvis man vil lave sådan et system med fri software, og distribuere den, så skal man finde en fri Java-version, for Oracles Java er ikke fri software. Det er noget rigtigt skidt at NemID er baseret på ufri software.

OpenJDK?
Min NemID-VM har OpenJDK. Virker fint.

Michael Thomsen

Umiddelbart ser det ikke ud til at auth-banking.org/a/ndk laver et valideringsopslag mod NemID samt efterspørger en one-time-key.


Det her de heller ikke brug for; men de har brug for at få kodeordet, og det får de nemmest overbevist offeret om at give dem ved også at spørge om brugernavnet i noget, som ligner et normalt login vindue.

Nu logger offeret ind og laver sine overførsler; men ved evt. logud sørger malwaren for først at overføre en passende bunke penge til angriberens konto. Til dette har angriberen, grundet en KÆMPE DESIGN-BRØLER, kun brug for kodeordet, idet man IKKE SKAL INDTASTE EN NY PAP-KODE ved efterfølgende overførsler!!

Hvorfor bankerne accepterer, at man kun skal bruge EEN papkort-kode pr. login og ikke pr. transaktion er mig en gåde; men ingen banker jeg har snakket med synes, at det er et problem!

Jan Gundtofte-Bruun

en KÆMPE DESIGN-BRØLER, idet man IKKE SKAL INDTASTE EN NY PAP-KODE ved efterfølgende overførsler!

Hvorfor bankerne accepterer, at man kun skal bruge EEN papkort-kode pr. login og ikke pr. transaktion er mig en gåde; men ingen banker jeg har snakket med synes, at det er et problem!


Ja, ikke? I Jyske Bank's gamle netbank blev man bedt om at indtaste sin faste kode een gang, derefter engangskoder til hver transaktion i løbet af session.

Hey Danid -- hvis I opkræver flere engangskoder per session, bruger borgerne flere kode-kort -- er det ikke også en parameter I tjener penge på? (Hint: incitament!)

Finn Christensen

Hvorfor bankerne accepterer, at man kun skal bruge EEN papkort-kode pr. login og ikke pr. transaktion er mig en gåde; men ingen banker jeg har snakket med synes, at det er et problem!

'Nem'ID siger første del af svaret og billigst næste del. Banker og deres forgængere (vekselerer o.l.) er historisk så langt tilbage jeg kender kendetegnet ved evnen til gevinstmaksimering helt ned til den mindste møntenhed ved hver eneste og selve transaktionen - det er indavlet.

Risiko for tab er alene en kalkule, hvilket blev helt synligt for alle efter 2008, og med NemID synes den pt. ikke særlig stor med denne løsning.

Summeret er bankvinklen maksimeret og resten af løsningen hægtet på. For at få løsningen anvendt til offentlige registre dubleret samme grundkoncept (igen maksimering) med få ændringer.

Men 'MobilID' dur ikke til det nemme billige koncept, ej heller den lovede decentrale/'lokale' nøgle, så her er der ikke fundet brugerdel/løsninger, der lige kunne hægtes på - selv om det var planen og lovet :)

Ulrich Vestergaard Hansen

Nu logger offeret ind og laver sine overførsler; men ved evt. logud sørger malwaren for først at overføre en passende bunke penge til angriberens konto. Til dette har angriberen, grundet en KÆMPE DESIGN-BRØLER, kun brug for kodeordet, idet man IKKE SKAL INDTASTE EN NY PAP-KODE ved efterfølgende overførsler!!

Nu kan jeg kun svare for min egen bank, men her skal man kun bruge NemID brugernavn og password for at komme ind og se. Vil man så overføre penge eller foretage en anden "write" transaction skal man taste sin one-time-kode ind.

Rodrick Dalton

Jeg mener at sikkerhedden på/ved brugerens komputer er 100% deres egen problem. Dette omfatter at brugeren skal hver gang at de logger ind på deres netbank osv. burde der være er flueben til at krydse af ved:

"Jeg tager fuld ansvar for alle konsekvenser for handling fra denne komputer uanset om de er fortaget af mig, min 5 årig barn som trykkede på tilfældige knapper, eller malware på min komputer som bliv installeret sammen med noget ulovlig software."

Man har ingen ret til at være dum, uvidende, intetanende, eller ligeglad....

"Phishing scams" er også omfatter af "hvor dumt har man lov til ar være" problematiken. Taget I betagtning af at jeg har dumpet alle eksamener jeg har været til, vil jeg vove at påstå at jeg ikke er nogen geni..... og derfor har jeg er ret god belag for at kunne sige:

"dem som er dum nok at tro at deres bank sender emails fra et gmail konto, og sender dig vider til et Polsk komputer hvor man skal verificere sin identitet ved at indtaste sin kredit kort information inkl. CVV-kode og PIN-nr..... disser personer er alt for snot dumme !!!"

Anders Kreinøe

Man har ingen ret til at være dum, uvidende, intetanende, eller ligeglad....

I så tilfælde skal man nok lade være med at tvangsdigitalisere, eller så tvinger man samtlige mennesker til at skulle have forstand på computere, og hvordan man holder dem sikre.

dem som er dum nok at tro at deres bank sender emails fra et gmail konto, og sender dig vider til et Polsk komputer hvor man skal verificere sin identitet ved at indtaste sin kredit kort information inkl. CVV-kode og PIN-nr..... disser personer er alt for snot dumme !!!"

En del af den type angreb er væsentligt bedre konstrueret end det, for ikke IT-kyndige personer er det slet ikke nemt at se. Vigtigst er det, at opdrage folk til ikke at klikke på links i emails, men kommer de først til det, kan det være ganske vanskeligt at bedømme om det er en ondsindet side eller ej. Specielt som nemId er sat sammen lige nu, hvor man ikke engang skal igennem den officielle nemid login side for at logge ind.

Sofus Comer

Ved godt det lyder hårdt. Men I sidste ende er det hver eneste brugers helt eget ansvar at beskytte sine penge. For sker det at du bliver snydt, så har bankerne juridisk i et hav af love, sørget for at beskytte sig selv. Du har 14 dage til at finde ud af om der har været misbrug på din netbank. Derudover er man prisgivet. Finder du ud af at der er nogen der har snydt dig, skal du bevise en masse ting. Har tre gange prøvet at nogen har "hævet"fra min konto. de to gange dækkede banken mit tab fordi jeg selv fandt frem til navn og adresse på dem der havde snydt mig og gav det til banken. Sidste gang var jeg 5 dage over tid og mistede 4.000 dkr til et russisk casinosite. (Selvom jeg aldrig har gjordt noget lignende) valgte banken ikke at stole på mig. Så farvel 4.000 dkr.

Så ligesom man gjorde for 200 år siden, skal man også idag. Passe på sin egne penge. Hvordan ved jeg ikke helt endnu. Det med at lægge dem under madrassen er jo ikke holdbart. Men helt sikkert er at der er et marked derude for en helt ny type bankfolk (ærlige) der vil tage brugerens sag og I sidste ende ende op med en stor tilfreds kundeflok der alle betaler et gebyr som gælder som en slags forsikring til de arme mennesker der bliver snydt.

Man kan jo også overveje at bruge statens internetovervågnings system COMX til noget fornuftigt ved at åbne op for at man kan helt specifikt finde de sider som den uheldige person har besøgt og derved lette et ellers svært opklaringsarbejde.

Nicolai Hansen

Det findes faktisk allerede i form af BitCoin. Systemet har en masse ulemper (det ville være meget dumt at invenstere alle sin penge i det!), men det har dog den fordel at ingen bank kan "snyde" dig, og du står selv 100% for din egen sikkerhed (uden en dekrypteret wallet.dat, kan ingen stjæle dine penge)

Simon Jonassen

Tja.... What can i say.... Been there done that.....

Det undrer mig at det nu er sket igen.... jeg har selv oplevet det første gang tilbage i februar....

selvfølgelig kan man sige at brugeren bærer en del af ansvaret, skal hold sin software opdateret osv....

kan vi ikke få afskaffet det der forban... nemid papkort pis til fordel for noget rigtig sikkerhed....

ligeså snart vi får lukket den ene hul (være det flash, pdf, java, whatever) så finder disse lyssky mennesker et nyt hul....

LAV NU EN ORDENTLIG LØSNING.....

Just my 2 cents !

/Simon :-)

Michael Nielsen

DO IT THE RIGHT WAY STUPID.

Chiptans problem er at den prøver at gøre det nemmere.. Hvis man udfører multitransaktioner for en kode, så bør enheden også vise detailjerne for hver transaktion..

Men Chiptans fundament betyder det ikke kan brydes teknisk, men kan - som alting - brydes via social engineering..

Benytte sig af brugerens udvidenhed, - intet kan beskytte folk mod sig selv, og det er ikke teknologiens ansvar, men det er teknologiens ansvar hvis den kan misbruges uden at burgeren kan ane uråd - feks NemID.

Ligger du NEMID på en iso du skal boote, er du ikke beskyttet.

Hvad jeg ville gøre.. Jeg ville hacke din router - mange af dem er nemme at hacke, og derved erstatter jeg lige din DNS server, nu kan jeg sende dig via min server, og få dig til at logge ind i din bank. Det er så trivielt at hacke NemID at det er sindsygt.

NemID skal sløjfes og enten en rigtig secure løsning via en USB security terminal eller en ChipTan lign. løsning..

og så for pokker da offentliggøre løsningen, og invitere folk til at udvikler angreb mod systemet, således vi kan få belyst svaghederne før vi er i en fadæse som den vi er i lige nu..

Det er sjovt det offentlige og banker opfinder et sikkerheds system, men nægter at åbne den til inspektion af 3. parter, fordi de tror at hvis de gemmer hvordan systemet virker, er der ikke nogen der kan finde ud af det.

Log ind eller opret en konto for at skrive kommentarer

JobfinderJob i it-branchen

TDC skifter koncernchef efter faldende mobilomsætning

Jesper Stein Sandal Mobil og tele 14. aug 2015

Nyeste job

KurserStyrk dine evner med et kursus

Excel kursus grundlæggende

Hvornår: 2015-09-03 Hvor: Storkøbenhavn Pris: kr. 5100.00

Business Intelligence med SharePoint og Office 365

Hvornår: Hvor: Østjylland Pris: kr. Efter aftale

It-lederen

Hvornår: 2016-09-01 Hvor: Østjylland Pris: kr. 18000.00

Webinar: Word - Få styr på korrekturlæsningen

Hvornår: 2015-09-01 Hvor: Efter aftale Pris: kr. 990.00

Networking with Windows Server 2012 [10970]

Hvornår: 2015-11-23 Hvor: Storkøbenhavn Pris: kr. 19500.00