Her er bagmanden: Sådan snød Arthur Williams NemID og stjal fra Nordea-kunder

Det bliver spændende at høre hvordan de har gennemskuet at få den rigtige kode i første hug.

Men det kan jo ske at det aldrig kommer frem pga. at det vil kompromittere nemid.

Tjaah, der har vel været et to-cifret antal version2 indlæg som skitserede lige præcis dette angreb, så nogen stor overraskelse er det ikke.

Denne gang var det en falsk netbank side, som måske burde have fået advarselslamperne til at lyse hos NemID brugerne.

Men tænk et par år frem i tiden: NemID har erstattet alle andre former for login (og DanID tjener kassen med en krone per login), PET har krævet personvalidering med NemID for at bruge offentlige hotspots ("det kunne jo være en terrorist"), vi skal alle bruge NemID for skrive kommentarer på version2 eller Ekstra Bladet ("kun terrorister skriver anonyme kommentarer"), aldersvalidering med NemID for at se porno, etc etc etc. Alle bruger NemID (selv mig!) fordi tvangsdigitaliseringen i det offentlige har tvunget os til det ad bagvejen (uden at Folketinget nogen sinde har vedtaget en lov og taget ansvaret for NemID).

I det fremtidsscenarie vil NemID være overalt, og ingen vil blive overrasket hvis de møder NemID et nyt sted på nettet. Hvordan skal vi skelne mellem ægte og falske NemID sites i den situation? Det login som jeg afgiver til hotspottet for at komme på nettet, kan også bruges (via MiTM) til netbankindbrud eller identitetstyveri af mine oplysninger i offentlige databaser (der skal eksponeres mod internettet via single sign-on'et NemLogin).

oplyser, at de otte bankkunder, der har været ramt af phishingangrebet _undtagelsesvist_ har fået kompenseret de fulde beløb, de havde mistet, da der normalt ellers er en selvrisiko.

Meget pænt af dem, men man kunne få den tanke , at det er for at lægge låg på dårlig omtale af nemID.

K

Spændingen er udløst. Check flash grafikken (der er 4 tabs).

Ja, vi vil meget hellere høre hvordan de fik fat i koden fra papkortet. Jeg var med vilje inde på den falske hjemmeside da jeg modtog e-mailen og efter at have fået (falsk) brugernavn og kode kom der side med "Tak". Det der er sket derefter er meget mere interessant.

Selvrisikoen er så vidt jeg husker 1100 kr når sikkerhedskoden har været anvendt, så det er billigere end betale 8800 end at risikere sager ved Pengeinstitutankenævnet.

Doh, jeg så slet ikke at der var flere sider på den flash.

Nøj hvor er det en simpel måde at få de rette oplysninger på. Det er jo skræmmende let at lave sådan en phishing model. Havde slet ikke tænkt på denne måde.
Så længe de realtime får oplysningerne fra banken/nemid, så ahr de hvad de skal bruge får at få de korrekte informationer retur.....Skræmmende.

Ville det ikke bare være at når man logger ind på den falske hjemmeside, så logger de ind på Nordea hjemmeside.

Så først angiver man CPR-NR + Kodeord, som de så sender videre til NemId applet på Nordea's netbank side.

Hvorefter Nordea's netbank side beder om en NemId kode, som de så videresender til den falske hjemmeside. Når brugeren indtaster koden på den falske hjemmeside, så kan de så videre sende koden til Nordea's netbank side.

Derefter har de en session hvor man kan gøre hvad man har lyst til, idet man netop har password.

Jeg undrer mig lidt over den der hængelås 'sikker forbindelse'. Det er vist mere skadeligt at have den på en ikke. Godt kan man trykke på den (hvad sker der?), men så ville det jo være bedre at trykke på den hver gang du logger ind, hvis det rent faktisk forbedrer sikkerheden (tvivlsomt).

Jeps, det er useriøst at brugeren ingen reel chance har for at vide om en side er reel. Der er jo bare et tilfælde her, at de bruger en Nordea-lignende side til at narre Nordea-kunder. De kriminelle kunne have brugt en hvilken som helst side til at aflure passwords. For eksempel hvis man kan lave en Javascript-injection på en side, så kan man tegne en NemID-login dialog.

Der er jo også den pointe, at jeg ikke har nogen mulighed for at sikre mig mod at min netbank fisker mit login når jeg logger ind. Ikke særligt sandsynligt, men stadig principielt et problem.

Og det kan man da sagtens gardere sig mod: Gør lige som OpenID, for NemID er jo ikke det første login-system som skal prøve at løse det problem. Se for eksempel på http://openid.net/get-an-openid/start-using-your-openid/ hvordan et openid-login foregår.

Med OpenID's metode: Vedtag at alle logins foregår på https://nemid.nu. Hvis man skal logge ind på Nordea's hjemmeside bliver man sendt til https://nemid.nu, skriver under på at man vil logge ind hos Nordea, og bliver så sendt tilbage til Nordea. Man skal så som bruger checke, om siden man taster sit nemid-password på er https://nemid.nu . Ganske simpelt og sikkert mod phishing.

Jeg har for resten for noget tid siden angivet problemet til
-IT og Telestyrelsen
-DanID
-Datatilsynet
-Udvalget for Videnskab og Teknologi
Jeg nævnte også OpenID's løsning i brevene til Datatilsynet og Udvalget for Videnskab og Teknologi. Uden den store effekt.

Nej - hvordan skulle jeg kunne det?
I har jo eksplicit ikke inkluderet den information i screen-shot'et der skulle sætte mig i stand til det.

Man kan så diskutere om SSL-certifikaterne og den måde browseren giver brugeren adgang til at vurdere om siden er ægte er brugervenlig.

dvs. hvis man nu i første omgang havde pki og modtog mails fra banker af den vej..... ville man så overhoved være i tvivl om det var en falsk mail?

En dag når EU eller et andet EU land har fået oprettet et ordentlig offentligt sikkerhedssystem til borgerkommunikation kan vi vel købe det..

indtil da har vi en nem løsning som ikke er sikker :)

Gad vist, om der er ikke-Nordea-kunder, der har modtaget phising-mail'en? Hvis ikke, er det bekymrende, for hvordan har phisherne i så fald kunne vide, hvem der er Nordea-kunder?

Infografik flash virker ikke i Firefox 7.0.1, virker i Chrome browser 14.0.835.186 (nyeste stabile).
I FF vises kun det 1. billede

Hvis man ikke opdager, at man logger ind på nordea-xx.com, hvorfor skulle man så opdage, at phisheren har lavet nemid-xx.com, som man så bliver omdirigeret til, når man skal logge ind. Kan ikke rigtig se, at det løser noget problem.

Hvis ikke man kan se, at den pågældende mail er en phishing mail, bør man lukke sin netbank, købe sig et par gode sko og gå ned i den lokale filial og foretage alle sine bankforretninger. Det skriger jo til himlen. En eller anden dag finder phisherne en danskkonsulent, og så vil vi se mange flere sager af denne slags.

Jeg har for resten for noget tid siden angivet problemet til -IT og Telestyrelsen -DanID -Datatilsynet -Udvalget for Videnskab og Teknologi Jeg nævnte også OpenID's løsning i brevene til Datatilsynet og Udvalget for Videnskab og Teknologi. Uden den store effekt.

Desværre vil en ændring betyde at man skal erkende fejlen man har gjort - og der er desværre blevet gravet så dybe kløfter nu at det aldrig sker. NemID bliver aldrig en success - i mine øjne.

Det er ikke en skam at lave fejl, men en skam ikke at rette op på dem.

Nu har jeg kigget lidt på hvordan det her phising angreb (og nogle andre har foregået), så vil jeg påstå at min banks opsætning gør dens brugere mere sikre overfor denne metode. Der kan godt nok logges ind på banken hjemmeside uden NemID, men der kan ikke laves nogle transactioner af nogen slags uden du skal have dit NemID frem. Så som jeg ser det så burde man være sikker, hvis man som bank sørger for sine kunder skal bruge NemID ved hver transaction. Dette er dog nok en irretation, men dog vil jeg hellere have lidt mere sikkerhed, når man alligevel skal have kortet op. Dog så kan man sikkert også phishe resten af processen og så logge folk til at lave en overførsel, men min opfattelse er at folk normalt vil mistænke det for at være et scam, hvis man bliver bedt om at lave en overførsel.

I GAMLE DAGE var det med Jyske Bank således at man hver eneste gang man skulle foretage en transaktion, så skulle man bruge en ny "NemID kode" (Jyske Bank havde sit eget tilsvarende system).

Med det nye NemID system, kan man, når først man er logget ind, gennemføre transaktioner blot ved at efterfølgende at bruge sit kodeord.

Hvis det gamle system havde været bibeholdt - ny ved jeg godt vi snakker Nordea - så var dette næppe sket. Sandsynligheden for at samme kunde inde for en kort periode hopper i samme fælde er i hvert fald betydeligt mindre.

Jeg mener banken har det fulde ansvar for det der her er sket, idet de har prioriteret brugervenlighed over sikkerhed. Sålænge at bankerne til enhver tid erstatter de fulde tabte beløb, har jeg ingen indvendinger imod det som sådan. Men det ER bankens ansvar, når de har prioriteret sådan.

Det forlyder at Firefox vil droppe support for java for at lukke BEAST sikkerheds hullet. Hvad vil det gøre ved Nem-ID?

http://www.theregister.co.uk/2011/09/29/firefox_killing_java/

Sandsynligheden for at samme kunde inde for en kort periode hopper i samme fælde er i hvert fald betydeligt mindre

Hvis først kunden er gået i fælden burde det ikke være et stort problem at lokke 2 koder ud af personen. Efter man har modtaget første rigtige kode fra brugeren logger man ind i netbanken, men fortæller brugeren at koden var forkert og beder brugeren prøve igen. Så vil brugeren de fleste gange prøve igen og nu har du kode nr 2 du så kan bruge på at overføre penge.

Det forlyder at Firefox vil droppe support for java for at lukke BEAST sikkerheds hullet. Hvad vil det gøre ved Nem-ID?

De vil bare anbefale at man bruger en sikker browser aka en af de browsere der understøtter java.

Mig bekendt er BEAST et sikkerhedshul i SSL/TLS og ikke browser afhængig. Der findes ikke sikre browsere i den forbindelse.

Hvis først kunden er gået i fælden burde det ikke være et stort problem at lokke 2 koder ud af personen. Efter man har modtaget første rigtige kode fra brugeren logger man ind i netbanken, men fortæller brugeren at koden var forkert og beder brugeren prøve igen. Så vil brugeren de fleste gange prøve igen og nu har du kode nr 2 du så kan bruge på at overføre penge.

Du har uden tvivl ret i at nogen vil gå i fælden fortsat, men jeg vil nu antage at det vil sortere nogen fra.
Jeg synes dog med rette man kan stille spørgsmålstegn ved om det er i bankernes interesse at tilbyde den højere sikkerhed, dels er mindre brugervenligt og ikke mindst er det formentligt betydeligt dyrere at betale NemID for hver transaktion end blot at dække tabene. Derfor taler jeg heller ikke for den gamle model - sålænge tabene dækkes.

Hvis man ikke opdager, at man logger ind på nordea-xx.com, hvorfor skulle man så opdage, at phisheren har lavet nemid-xx.com, som man så bliver omdirigeret til, når man skal logge ind. Kan ikke rigtig se, at det løser noget problem.

Lige nu har DanID ikke fortalt mig som bruger hvilke sider det er sikkert at taste mit NemID-password ind på. Med min løsning, så kan man meget simpelt informere brugerne om, hvor de må taste deres NemID-password ind. Nemlig kun på https://nemid.nu .

Med den nuværende løsning ved jeg personligt ikke hvordan jeg skulle afgøre om en given NemID-dialog er ægte. Jeg kan komme med et godt gæt, men der er ikke nogen skudsikker metode.

Der vil selvfølgelig altid være brugere, som taster deres password ind alligevel. Men med min løsning så har de i det mindste en chance.

I GAMLE DAGE var det med Jyske Bank således at man hver eneste gang man skulle foretage en transaktion, så skulle man bruge en ny "NemID kode" (Jyske Bank havde sit eget tilsvarende system). Med det nye NemID system, kan man, når først man er logget ind, gennemføre transaktioner blot ved at efterfølgende at bruge sit kodeord.

I min bank (Nykredit), så kræver det en tofaktor-kode for hver transaktion. Så jeg går ud fra at det er bank-afhængigt.

Til gengæld kan man i Nykredit logge ind uden tofaktor-kode. Og derfra få direkte adgang til sin e-boks, uden at skulle taste yderligere koder ind.

Det er intet problem. Fake siden melder bare fejl i første login forsøg og beder om en ny kode. Hvem har ikke prøvet at taste en kode forkert? Brugeren vil måske undre sig, men langt langt de fleste vil prøve en gang mere.

I mange år havde Danske bank en loginprocedure, der minder om Nem-ID, dog med en lille special-regnemaskine i stedet for papkort. Indtil for 3-4 år siden var proceduren, at man loggede ind med sit hoved-password, og derefter validerede sig med et engangspassword ved hjælp af regnemaskinen, fuldstændig som Nem-ID i dag. Når man skulle flytte penge til egne eller andres konti, skulle man validere hver transaktion med et nyt engangspassword. Men for 3-4 år siden svækkede Danske Bank sikkerheden ved kun at forlange hoved-passwordet (og altså ikke engangspasword) ved pengetransaktioner - fuldstændigt som Nem-ID gør det i dag. Dette betød, at ved et man-in-the-middle angreb kunne manden i midten sende pengetransaktioner til banken blot ved hjælp af det hoved-password, som han havde opsamlet ved starten af sessionen. Vel at mærke pengetransaktioner, som ikke bliver vist for brugeren, og som brugeren altså ikke har nogen viden om. Hvis man havde fortsat med at kræve et engangspassword for hver transaktion, havde manden i midten naturligvis været tvunget til at vise transaktionen for brugeren for at få det næste engangspassword udleveret, og så ville det angreb jo være afsløret.

Jeg skrev dengang til Danske Banks edbafdeling og omtalte denne sikkerhedsbrist, men de værdigede mig naturligvis intet svar. Og denne sikkerhedsbrist er i dag videreført i Nem-ID. Jeg forstår ikke, hvorfor man ikke genindfører en så lille procedureændring, som det ville være at gå tilbage til at kræve engangspassword for hver pengetransaktion.

"Og så vil Claus Christensen gerne slå fast, at de som altid råder deres kunder til aldrig at give deres loginoplysninger væk, eller reagere på mails, hvor der står, at de skal logge ind på bankens hjemmeside. Den slags mails sender Nordea ikke, lyder det fra Nordea."

Det er mærkeligt for jeg har mange mails fra Nordea der siger jeg skal logge ind på bankens hjemmeside. Her er seneste eksempel:

"Vi har sendt en mail til dig i Netbank.

Af hensyn til din sikkerhed er der ikke links i denne notifikationsmail. Du
skal derfor selv logge på Netbank for at læse din mail fra os."

Mon ikke Claus mener at de aldrig inkluderer links i de mails de sender?

Hvis først kunden er gået i fælden burde det ikke være et stort problem at lokke 2 koder ud af personen. Efter man har modtaget første rigtige kode fra brugeren logger man ind i netbanken, men fortæller brugeren at koden var forkert og beder brugeren prøve igen. Så vil brugeren de fleste gange prøve igen og nu har du kode nr 2 du så kan bruge på at overføre penge.

En simpelt "forkert kode - prøv igen" metode, som du beskriver er uden tvivl mulig, men kræver at brugeren ikke fatter mistanke imens phisheren lige skal sætte en pengeoverførse (eller flere) op inden han/hun beder om den næste kode.

Man vil utvivlsomt kunne få enkelte brugere til at taste nye koder ind i flere minutter, men man skal alligevel være hurtig på tasterne.

Det kan jo uden de store armsving automatiseres. Det behøver ikke tage mere end få sekunder at få sat gang i den transaktion.

Hvis angriberen har kendskab til hvordan netbankens er opbygget, er det selvfølgelig scriptet, og tiden det tager før han har den næste kode han skal spørge brugeren om, er derfor kun afhængig af svar tiden på netbanken. Det kan sagtens ske på et par sekunder, som de fleste nok næppe fil få mistanke af.

Der burde følge en udførlig og nem guide med nøglekortet til, hvordan man ser, hvilket domæne man er inde på. Samt der online, eller i brevet, nok bedst online da den kan opdateres, med, hvilke domæner der er godkendte til NemID. Det vil være forkert at sige det er NemID der er skyld i det, men det er heller ikke en løsning at sige, at det er brugernes egen skyld når nu 8 faldt for det på samme tid.

Selvfølgelig er det deres egen skyld, mente at det er forkert at sige, vi ikke har et problem.

Eller en endnu bedre løsnig. Der skal bruges nøgle til at ændre i data, overføre penge osv. Det vil dog hurtigt blive dyrt at administrere, nu når vi ikke har den digitale løsning.

Hvor realistisk er følgende scenario.

1. Hacker får lusket kode ind på en offentlig myndigheds hjemmeside (det har vi lige læst at det sagtens kan ske).

2. Hackeren benytter denne adgang til at luske en fake NemID-login på siden og narre oplysningerne ud af de borgere der skal logge ind hos myndigheden.

3. Ud over cpr/brugernummer, adgangskode så har hackeren 3 skud til at få NemID-koder ud af borgeren og satse på at vedkommende er kunde hos Nordea, Danske Bank eller Jyske Bank.

4. Tømme borgerens konti, hvis der er bingo.

Hvilke muligheder har jeg som borger for at beskytte mig mod dette?

men I F******* TOLD YOU SO.

Jeg beskrev dette angreb, da NemID lancerede, og jeg endda sendte et brief ind til teknologirådet og alle andre jeg kunne få navne på, hvor jeg pågede en reel løsning for disse problemer.

Man ack nej, "eksperterne" ved bedre, og vil ikke høre på kritik, og nu har vi et system hvor almindelige brugere sådan bare er "sheep for the slaughter", almindelige brugere har ingen chance... Advancerede brugere kan også narres ved denne slags angreb, men vectoren skal ikke være en email, men en virus der ændre system hosts filen..

Den Eneste sikre løsning, (som i øverigt ville være billigere end NemID var, og ville fungere uden at oprette en ny Monopol, og ville være immune over for NemID nedbrud), er at bruge en Crypto terminal, med en skærm, dvs end-to-end kryptering, hvor Man-In-The-Middle angreb er umulige, det kan gøres..

Men eksperterne ved bedre, og mener et ælgammelt system (som var smidt ud i 1990'erne som værende usikkeret) er den ultimative login løsning i Danmark.. Forgangs land, lol..

Kontakt mig hvis i vil vide mere..

Smart nok, det eneste spørgsmål jeg står tilbage med er hvor blev bankkunden sendt hen efter at have indtastet sine loginoplysninger? Jeg går udfra det ikke var til sin netbank eftersom hackeren jo var logget ind på den igennem den rigtige nordea side.

Hvis den gør som mange banker, skal jeg kun bruge 1 nøgle for at komme ind, så hvis jeg gjorde det ville jeg få nøglen logge ind, lave transaktionen, og smide brugeren hen til - login fejl, og sige de skal vente 1 time før de prøver igen, Hvis banken brugere mere end 1 nøgle, kan man også bruge denne teknik til at få flere nøgler ud af brugeren.

[qoute]Det kan jo uden de store armsving automatiseres. Det behøver ikke tage mere end få sekunder at få sat gang i den transaktion.[/quote]

• Og det kan banken jo så igen meget nemt tage højde for ved ikke at tillade at der overføres penge så hurtigt efter login. De kan jo blot foretage en simpel måling af hvor hurtigt man manuelt er i stand til at overføre penge til andre konti og så sætte grænsen dér. Det vil højst sandsynligt i alle situationer ødelægge konceptet med "din kode er forkert, prøv igen".

Jeg er helt med på, at en falsk hjemmeside kan "fake" den rigtige, så brugeren bliver snydt til at tro, at det er den rigtige side han er inde på.

MEN, hvorfor "fjernstyrer" skurken det rigtige login til den rigtige netbank ?

Man logger jo ind med NemID gennem en Java applet, ikke via HTML eller JavaScript. Mig bekendt har en applet intet programmeringsinterface man kan tilgå. Den eneste mulighed jo kunne tænke mig, var hvis appletten kommunikerede med DanID i klartekst, hvilket en proxy-server ville kunne opfange og logge, men det er vel ikke tilfældet ??

Hvor længe vil du vente.

Jeg kan bare simulere lidt netværks lag - op til flere sekunder virker fint.. 10 sekunder virker også - jeg har oplevet det kan tage en hel del sekunder.

Men der er intet der stopper mig for at tage tallet - vente lidt - sende en fejl til brugere - du kom ikke ind, mens brugeren så er i gang igen, kan siden bekvemmeligt tage sin tid og angribe systemet når hvad en timer der er løber ud.

Det er et hack på at løse et skidt system... Den bedre måde er at at løse problemet rigtig.

Den falske side kan bare lave en falsk form eller sin egen java-applet, der opsnapper oplysningerne. Det er ikke noget problem at interface mellem den falske side og den rigtige java-applet.

Det kan gøres på mange måder - en af de simpleste er at have en maskine stående med en browser åben, og så generere muse- og tastaturevents. Der findes flere muse-automatiseringsværktøjer, der kan gøre dette.

Det vil også have den fordel, at banken ikke vil have nogen mistanke om, at det ikke er en person med en rigtig browser, der logger ind - det er jo netop en rigtig browser.

IT-Politisk Forening beskrev iøvrigt for længe siden den angrebsmetode, der er blevet anvendt mod Nordea. Der var endda flere artikler i dagspressen. Men dengang udtalte DanID, at det ikke kunne lade sig gøre.

Hvordan kan bagmanden så overføre penge nu? Jeg har selv Nordea og skal da taste et par engangskoder hver gang regningerne skal betales, samt når jeg skal overføre.

Den eneste kode fra papkortet, som bliver kompromitteret er jo en engangskode og kan ikke genbruges? Er der mere "Netbank" efter at personen har logget ind?

Der er allerede svaret i trådene ovenover (lad som om der er login fejl o.s.v.). Men jeg vil bemærke at det står angriberen frit for at være kreativ. Han kan sagtens lave et system der spørger brugeren om alt muligt og beder brugeren om at bekræfte med ekstra koder.

Og det behøver på ingen måde være et system som 100% af brugerne hopper på. Det er fint nok bare nogle få procent taster deres koder ind.

Faktisk, så kræver det ingen ekstra engangskoder. Var lige inde og tjekke. Ja, så må jeg sige, det er da vældig nemt.

Hvor var det i pressen I beskrev det aktuelle angreb?

Som bruger af ID-systemer, bliver man frustreret over, at der inføres systemer med så store sikkerhedshuller. Open-ID er en god løsning, da der kun er én secure adgang til de forskellige konti.
Og ja, det skal politisk fastsættes i, hvem der har "krav" på at opkræve Nem-ID fra brugerne.

Bankerne overfører jo alligevel ikke pengene med det samme. Hvis de sendte en email hver gang de blev bedt om en transaktion, så ville mange opdage problemet længe inden transaktionen faktisk blev gennemført.

For at besvare det stillede spørgsmål om det kun var nordeakunder som fik emailen, har jeg kigget i mit spamfilter (jeg er ikke hos nordea). Emailen var der ikke, men der var to som bad mig logge ind på en fupside for den finske nordea og en som bad mig logge ind på en fupside for skat.

Man retter jo bare den registrerede e-mail adresse ved at logge ind med:

NemId ;-)

Hvorefter banken så sender en email til den gamle adresse on ændringen.

Niels,

Hvilke(t) sprog var disse mails på?

De finske på finsk. Den fra skat på noget mærkeligt dansk.

@Morten Andersen

Hvor var det i pressen I beskrev det aktuelle angreb?

Du kan søge på bla. mit navn i Computer world, Comon, og Version2... Jeg har også beskrevet angrebet på andre sites.

IT-politisk forening har også prøvet at få opmærksomhed på sagen, og har været i medierne flere gange, mht problemer med NemID, men hver gang afvises det fra DanID's side som fantasi, men desværre er det nemmeste angreb nu udført. Medlemmer af IT-politisk forening har været meget aktiv.

Men hverken staten eller DanID har været lydhør, og man tror mere på DanID end kritikere, det kan man se ud af de høringssvar som kritikken udmundede sig i.

Bare sørgeligt, man bruger nogle milliarder på at bruge et system, folk påpege problemer fra før projektet starter, mens det kører, efter det er lanceret, men fordi DanID siger det er sikkert, så hører man ikke på kritikken.

Altså, jeg er komplet uden viden om sikkerheden omkring NEM-ID, men jeg forstår ikke hvordan dette kunne ske. For, hvordan har banditten kunne vide hvilken kode der står på mit papkort? Det er muligt banditten har kunnet logge indtastningen på den falske Nordea side, men papkoden bliver først aktuel ved login på den rigtige Nordea side.

Dermed skulle det jo være umuligt eller utænkeligt at banditten har held til at benytte den loggede papkode.

Er der nogen, som kan forklare hvordan det er muligt?

Måske har jeg selv fundet svaret på mit spørgsmål. For hvis papkoden ikke er tilfældigt, men følger en bestemt rækkefølge som f.eks. 1. gang jeg logger mig ind,så er det en forudbestemt papkode jeg skal bruge 2. gang den næste forudbestemt papkode og 3. gang næste forudbestemt papkode. Så er sikkerheden intet værd. Da vil kun en SMS tilsendt papkode være sikker.

Hænger det sådan sammen?

Banditten sætter et falsk site op med et falsk nemid lign. login. Du taster dit cprnummer/brugernavn og din adgangskode ind. Du trykker på login. Banditten taster de samme oplysninger ind på den rigtige bank-login. Banditten får nu nummeret på den kode du skal taste ind. Banditten laver næste loginside hvor han gentager nummeret fra den rigtige side. Du taster pinkoden fra nemid kortet ind på bandittens side. Banditten taster nummeret ind i netbanken har har nu fuld adgang til dine penge. Bandittens arbejde kan naturligvis automatiseret vha. script så du ikke kommer til at vente alt for længe.

Lars Hansens beskrivelse hér er netop hvad jeg forsøgte at skrive tidligere i denne streng. Det er muligt fordi der efter den første udveksling af engangpassword er fri bane til at tømme kontoen alene med hoved-passwordet, som jo er opsnappet. Det fortvivlende ved hele sagen er egentligt, at f.eks. Danske bank tidligere forhindrede dette ved at kræve et nyt engangspassword ved hver transaktion, men de gik bort fra denne sikkerhed ved at slække på kravene, så at der kun skulle indgives et engangspassword ved starten. Hvordan nogen i Danske Banks edbafdeling kunne mene, at denne simplere procedure var sikker nok, er helt uforståeligt. Det er imidlertid en kendsgerning, at denne simplere procedure blev indført i Danske Bank flere år før indførelsen af Nem-ID. Men ingen besvarede mine mails om problemet.

Syntes at banken bør tilbyde usikre kunder at få indlagt en forsinkelse på transaktioner sammenkoblet med en SMS besked. Evt også SMS når der blive logget på ens konto. For mig vil en forsinkelse på adskillige timer ikke genere det aller mindste.

Hvis alle phishing angreb starter igennem ens email konto, var en kobling mellem bank og email konto også en mulighed. (Og email adresse ændringer skulle ikke træde i kraft øjeblikkeligt), Som ovenfor skrevet. Eller hvis det er teknisk muligt, en pop op menu efter aftale med banken, hvor man på sin hjemme computer bliver adviceret hver gang der bliver logget på ens konto. Det vil decimere risiko.

Dette er et hack for at løse et fundamental design fejl i NemID.

Havde man gjordt det rigtig fra starten, så var alt det her unødvendigt.

SMS'en vil kun virke indtil alle har smartphones, og der er nok viruser i omløb til at man kan detektere hvem der ejer hvad mobil - dette er teoretisk muligt, men besværligt.

Så igen det er kun en lappe løsning på problemet.

Den rigtige løsinge er End-To-End kryptering, og authentication, hvor man benytter sikrede terminaler (som i øverigt allerede eksistere, og koster omkring 200-400dkk/styk, og ville havde været billigere end NemID løsningen).

Der er et eksempel i diskussionen http://www.version2.dk/artikel/forsker-vi-har-kun-set-begyndelsen-paa-ne...
I Tyskland har Postbank en dims som hedder chipTAN: http://www.youtube.com/watch?v=4Ie6fmESPKw
Den koster mellem 11 og 15 €, dvs omkring 100 kr inklusive forsendelse. Den er ikke så nem at anvende som NemID, men den er sikker mod MitM angreb. Jeg tvivler på at den er billigere end NemID.

Starter lige med undskyldningen, jeg skulle svare dig, men kom til at trykke på anmelde knappen - så V2 kan I ikke fikse den anmelde knap!!!

Nå til sagen, hvad mener du med at du tvivler på den er billigere end "NemID"?

Mener du dimsen versus 1 papkort incl forsendelse, eller dimsen i hele dens levetid versus en mængde papkort?

Og herregud, 100 kr. ville jeg da gerne ofre hvis jeg kunne få en (sikker) webbankløsning (og da NemID ikke er en digital signatur, så taler vi kun om bank).

Skal jo trods alt betale 25 kr hver gang man skal lave en indbetaling eller overførsel.

Der er et eksempel i diskussionen http://www.version2.dk/artikel/forsker-vi-har-kun-set-begyndelsen-paa-ne... I Tyskland har Postbank en dims som hedder chipTAN: http://www.youtube.com/watch?v=4Ie6fmESPKw Den koster mellem 11 og 15 €, dvs omkring 100 kr inklusive forsendelse. Den er ikke så nem at anvende som NemID, men den er sikker mod MitM angreb. Jeg tvivler på at den er billigere end NemID.

Vil den ikke stadig have lidt af samme svaghed som NemID har?

I tilfældet artiklen bliver offeret lokket ind på en falsk netbank side og bedt om at logge ind. Der vil chipTAN ikke hjælpe. Bagmændene har jo ikke brug for at decryptere de blinkende firkanter der kommer, blot sende dem videre til offeret. Og når chipTAN siger at man er igang med at logge på netbank, er det det offeret forventer.

chipTAN vil godt nok hjælpe på problemet med at hvis ens "golfklub", vil bruge ens login til at logge på netbank med, så siger chipTAN at man er igang med at logge på netbank. (golf klub eksempel fra http://www.version2.dk/artikel/forsker-vi-har-kun-set-begyndelsen-paa-ne...)

@Jens, prøv at se videoen igen. Han bruger slet ikke dimsen når han logger på. Det er først når han overfører penge at den kommer i brug. Og da skriver den direkte på skærmen indbygget i dimsen hvor meget og hvortil han er i gang med at overføre.

Hvordan skal den stakkels phisher lige lokke dig til at godkende at hele din opsparing overføres til en fremmed konto?

Det kommer lidt an på din netbank. Nogle netbanker kræver idag NemID kode når du logger ind, nogle når du laver transaktionen og nogle i begge tilfælde. Hvis banken kræver NemID/chipTAN kode når du laver selve transaktionen (det gør Finansbanken og JyskeBank), så vil chipTAN vise i displayet: "Vil du overføre alle dine penge til udlandet?". Det kan en MitM ikke lave om på og dermed giver en chipTAN en væsentlig forskel.

@Baldur Norddahl, Social engineering, skrive at de oplever problemer med forkerte beskeder på chipTAN.

Så er der fejl i implementeringen. Den bør være lavet så at den modtager en besked med digital signatur fra banken, som er umulig at forfalske.

Så er der fejl i implementeringen. Den bør være lavet så at den modtager en besked med digital signatur fra banken, som er umulig at forfalske.

Mente, når offeret er på phisherens hjemmeside så kan de skrive i en boks (som så ser troværdig ud) at der forløbig kan forkomme fejl med meddelserne man modtager på chipTAN. Så vil offeret se igennem fingrende med at der på chipTAN står man overføre hele sin formue til phiserne, og alligevel give koden.

Mon ikke snarere der menes følgende: http://www.redteam-pentesting.de/publications/2009-11-23-MitM-chipTAN-co...

Her henvises til 2 problemer med chipTAN:
1. Hvis man skal overføre mange beløb, så tilbyder mange banker at man kan nøjes med at godkende alle overførslerne med en kode. Dette gør Postbank også og i det tilfælde får man kun at se på chipTAN hvilket beløb og hvor mange overførsler det drejer sig om. Malware kan altså i virkeligheden have sat pengene til at blive overført til andre konti end dem man har indtastet.
2. Hvis man har bedt om en overførsel til et meget langt kontonummer (der nævnes et IBAN nummer), så viser chipTAN kun 6 af cifrene. Hvis noget malware både har omdirigeret betalingen til en anden IBAN konto og viser dennes kontonummer på skærmen, så vil mange tro at det er det rigtige nummer og godkende transaktionen.

Rapporten mener dog at chipTAN er mere sikker end alternativerne.

Min konklusion må dog være at hvis betjeningen skal være nogenlunde nem, så må man gå på kompromis med sikkerheden.

Ja, ok, men man kan også hoppe på en mail fra Nigeria hvor man helt frivilligt overfører hele formuen fordi man tror på at der kommer 5 milliarder retur.

Hvis du designer systemet korrekt, kan du gå ind på en phising side uden at bekymre dig, fordi der er end-to-end encryption. OG du får at se hvad du godkender før du gør det.

Dvs, hvis din hardware dims ikke ser en request underskrevet af din bank vil den afvise den...

Derfor skal der komme en krypteret besked fra banken, for at starte transaktionen, denne vises på skærmen, hvis hackeren har prøvet at ændre på indholdet, fejler valideringen, og afvises, uden brugeren skal gøre noget..

Derfor kan en hacker ikke præsentere dig med et falsk billede, eller web side (det tillader NemID).

Har hackeren bestilt transaktionen, er hans problem, at den sendes den til brugeren, og brugeresn terminal vil vise transaktionen. Nu har du chancen for at se hvad du laver.. Var beløbet de du skrev, var kontoen de du skrev - hvis nej, afvis. Hvis ja gennemfør.. Var det en helt anden aktion end du forventede, feks en bank transaktion i stedet for en login ?

Kontrollen ligger i dine hænder..

Alle plaster som delays og sms'er giver dig ikke kontrol, og er bare security by obscurity, som betyder, det viker indtil hackeren gennemskuer systemet, og kan kontroller både SMS og phishe dig - mere svært, men ikke umuligt... Desuden besværliggører de processen betydeligt...

Social engineering er det sværeste at undgå, men så længe man giver folk alle mulighederne for beskytte sig selv, så har systemet gjordt sit job.

Banken kunne evt. i tilfælde af der er brugt en konto som brugeren aldrig har brugt før, sende en dobbelt forspørsel, som siger "den konto har du aldrig betalt til før", eller "det giro nummer er ny" - er du sikker j/n"..

Men det er teknisk muligt at skabe en kanal mellem banken og en terminal, hvor man ved ingen 3. part kan havde ændret på indholdet. Altså det serveren (golfklub, bank m.v.) udfører er præcist det du har bedt den om, det er ikke muligt at forfalske det du ser.

Syntes papkortet er godt og selv min gamle mor kan finde ud af det. Og det lyder også smart med den sikrede terminal. Så kan man have næsten 100 % sikker forbindelse med sin bank.

Selve phishingen må kunne modarbejdes med nogle små simple programmer. Det drejer sig vel blot om at man ikke lige får nærstuderet adresselinien ordentligt. Der kan phishingen vel ikke gå ind og overskrive. Så et lille program der "råber" op når noget ser mistænkeligt ud, eller ønsker en tillykke med at man er lokket på sin netbank og rolig kan begynde overføre.

Det er ikke lige der problemet er. F.eks hvilken af følgende tre loginadresser til webbanker er phishingadressen: jyskenetbank.dk, portalbanken.dk, nordea-dk.com? På dette punkt lader bankerne kunderne i stikken ved ikke at bruge deres normale domæne som loginadresse. Og DanId gør det generelt ved at tillade alle mulige loginadresser og ikke kun nemid.nu

På ikke-inficerede PCere kunne man bedre gardere sig ved at lade logins ske via nemid.nu, men på inficerede PCere er man hjælpeløs. Phisherne kan jo installere en modificeret version af browseren som viser en anden andresse end den man faktisk er på.

Kan godt se at det er et problem. Hvis forbryderen går ind og inficere ens pc og derefter "styre" den. Er det svært at detektere?

Da bankrøverierne tog til i antal, blev der indlagt en forsinkelse på flere minutter før man kunne hæve større beløb. Det har alle taget til sig uden protest.

Det bliver nok en evig kamp som så mange andre. Nye forhindringer overvindes hele tiden, men så laver man dem bare smartere eller mere avancerede.

Hvad med at forsinke alle udenlandsoverførsler i 24 timer og altid sende en email til kunden.

Nej det er netop det du ikke nemt kan gøre..

Jeg kan angribe dig på flere måder hvor du ikke har nogen chance for at forsvare dig, hvis du ikke er 100% vågen.

Feks kan jeg via en virus, eller en hjemme side (hvis du som 90% andre køre windows som admin user), erstatte c:/windows/system32/etc/hosts (mener jeg den hedder), og sætte ind at nemid.nu, danske.dk alle peger må min server i stedet for at pege mod de rigtige servere.

Du vil nu komme ind via min server, og dine check programmer vil indikere at der ikke er noget galt.

Den reelt eneste måde du kan beskytte dig selv er ved at bruge Cryptographical checks, og det er hvad HTTPS gør for dig, men desværre ligger de færreste mærke til om der er en hængelås, eller står https:// i den title, og desuden bruger mange at bare sende dig ind på en alm. side og fortage login via https:..

Dette betyder du kan ikke bekæmpe phising, når du bruger en 3. til at logge ind med.

Det er kun muligt ved at havde en ekstern Cryptographical terminal til at håndtere den, som feks chipTan - som er et bud - i min mening mere besværlig end nødvendigt, et andet er en usb token.

Systemer som NemID, SecureID, m.v. beskytter dig ikke i mod phishing, eller MITM angreb, de er ekstremt sårbare over for dette angreb. SecureID løser det ved at normalt kører man ind via et program der etablere en point-to-point forbindelse via RSA nøgler, og derefter bruger man secureid til at bekræfte man har det token som er bundet til kontoen.

NemID prøver at gøre noget lign, men deres situation er værre end SecureID, da deres program er hentet med via nettet, og derfor kan erstattes via phishing. SecureID applikationer er normalt installeret af kompetente folk, som sørger for at alt er ok, og binder endpoints sammen, for at minske MITM angrebs muligheder.. Men den er sårbar over for viruser, da det er ren software på maskinen.

NemID prøver ingengang på at beskytte brugeren mod phising.

IMO NemID er muligvis marginalt bedre end et alm. password, men det er sårbar over for alle angreb (undtaget bruteforce, og replay), som et rent password system er, dog tvinges nye passwords konstant, som øger sikkerheden, mht replay angreb.

men, beskyttelsen mod bruteforce er dog ikke bedre end hvis man tager en god password løsning hvor man blokere passworded efter 3 forkerte forsøg.

Så vi er tilbage til at det eneste vi vinder ved NemID er at den beskytter mod replay (optag login sekvensen og spil den tilbage)..

Det er sgu mange penge der er spildt på et system, med så begrænset en forbedring i sikkerhed.

Det lyder som cryptographical checks er programmet der kan decimere phishing. Man kan lave OBS på betydende tv-kanaler og radio og få så mange som muligt til at begynde at bruge det. Så er det det vågne øje der holder øje med om man er kommet rigtig ind...???

Papkortet er jo genialt fordi det kommer hjem udenom internettet. Så skal forbryderen holde styr på 2 vidt forskellige indgange til dit hjem.

Man har taget et system som havde en sårbarhed, hvis brugerens PC var hacket og erstatte med et hvor angriberen ikke behøver at overtage PC'en, men bare skal lokke brugeren ind på en falsk hjemmeside.

Der vil jeg ikke kalde forbedret sikkerhed. Men du har ret i at der er spildt mange penge på det.

Er du ironisk, eller har du overhovedet ikke forstået hvad der rent faktisk er sket?

Det er ikke ironi. Og jo tror nok jeg har forstået at Phisheren lader ens log ind info sende videre til netbank i real tid.

Papkortet giver en nemmere log ind fra computere man normalt ikke bruger. Det giver god komfort. Men gør det også nemmere med Phishing som omtalt i artiklen.
Men hvis man er den usikre type og ønsker ekstra sikkerhed, er der vel også en del muligheder. Man skal bare bygge videre på systemet. Selve papkortet er godt og mange kan sagtens bruge det uden de store problemer.

Et system der kørte rent over internettet var langt mere usikker. Papkortet gør at forbryderen i det her tilfælde må arbejde i realtid inden for en snæver tidsramme. Det må være til at dæmme op for.

Hvis papkort suppleres med at man altid bruger den samme computer kan det vel optimeres med altid opdaterede anti spionage programmer og lign. Altså simpel supplement til det eksisterende system. Programmerne skal blot anbefales af pengeinstitutter og nemid.

Men intet system er 100 %.

Det er ChipTAN som bør være udgangspunktet for enhver diskussion om et fremtidigt system. Kan vi bruge ChipTAN som det er? Eller skal der større skærm, andre input muligheder eller andre tiltag til?

Det lyder til at du kender og forstår papkortet, så derfor ønsker du at bruge papkortet som udgangspunkt. Men papkortet er faktisk et ret dårligt system. Det blev valgt fordi det var billigt for bankerne og kun derfor. Der kommer ikke noget godt ud af at tage udgangspunkt i et dårligt system. Specielt ikke når vi kender gode systemer, som vi kan tage udgangspunkt i.

Jeg må bøje mig. ChipTan er smart og det virker.

Det er bare altid ærgerligt når man føler at have smidt penge ud på noget og det så skal skrottes helt. Papkortet kan vel have en fremtid inden for det som mange har efterlyst, at have ét login til de fleste steder i stedet for et dusin forskellige passwords. Så er pengene ikke spildt og bankerne kan køre et selvstændigt løb med fx. ChipTan da det er dem forbryderne går efter. (Selv om jeg godt kunne se at man kunne bygge et ekstra lag ovenpå papkortet til bankerne).

Med NemID kan man ændre folkeregisteradresse. Dernæst kan man bestille et nyt NemID kort. På den måde kræver det kun én kode at stjæle ubegrænset adgang til bank og offentlige myndigheder.

Syntes man skal skelne mellem forbrydere der sidder i 3. verdenslande og dem der bor her. De første er svære at komme efter hvis det lykkedes for dem at få pengen ud af landet. De sidste er virkelig svære at dæmme op for, for bliver det ikke på den ene måde, så på en anden. Hvis man får sendt et papkort til en adresse her i landet, så skal nogen jo være her til at tage imod det. Dernæst er det meningen at der skal være flere lag på til bankerne.

Det viser sig at være ret let. Find en bygning med mange forskellige firmaer, der har postkasser ude ved vejen. Sæt din egen postkasse op ved siden af og skriv et troværdigt husnummer og bogstav. Så kan du modtage post.
Jeg tror det var kontant der viste at man kunne gøre sådan for at blive oprettet på dba eller qxl.

Nu har Nordea været meget omtalt her i kommentarerne. Så skal det også lige nævnes, at hvis man vil overføre et større (?) beløb fra en Nordea konto, skal man tillige bekræfte en tilsendt SMS. Nu kan den kriminelle jo blot ændre på det registrerede mobil-telefonnummer, men en sådan ændring vil udløse en SMS til det oprindelige nummer.
Hvis man ikke har registreret et mobiltelefonnummer, skal man ringe op til deres døgbemandede kundeservice for at gennemføre transaktionen.

Lappe løsning på lappe løsning, som ville være 100% unødvendig hvis man gjorde det rigtigt fra starten af.

Det her løser kun problemet indtil hackerne får kontrol af mobil enhederne, og så er vi tilbage i samme problem.

Den rigtige løsning (chipTan, eller anden krypto terminal), ville heller ikke være så sårbar over for DanID nedbrud.