Video: Så let kan kriminelle franarre dig dit NemID

Med frit tilgængelige værktøjer og en smule eksperimenteren lykkedes det Ingeniøren at konstruere en test-opstilling, der viser, hvor let det er at narre NemID fra en bruger.

I september blev otte Nordea-kunder franarret penge gennem et phishing-angreb mod NemID, som bliver brugt til login både i netbanker og på offentlige websider.

I denne video gennemgår Ingeniørens journalist Jakob Møllerhøj, hvordan et angreb mod NemID kan gennemføres uden dybe tekniske kundskaber. Det sker i et lukket test-setup. At forsøge et lignende angreb i den virkelige verden er en kriminel handling.

Læs også de øvrige historier om NemID fra fredagens udgave af Ingeniøren:

Pærelet at narre NemID fra dig med klonede hjemmesider
DanID afviser kritikken: »Et teoretisk scenarie«

Læs mere om hackerangrebet mod otte Nordea-kunder:

Her er bagmanden: Sådan snød Arthur Williams NemID og stjal fra Nordea-kunder
NemID phishet – 8 bankkunder frastjålet penge i netbank

Kommentarer (20)

Peter Ring

Danske Banks Internetbank på PC-niveau kræver NemID allerede ved log on, og her kan systemet i videoen bruges.
Gør man imidlertid som i deres smartphone løsning og taster kun ind, når man fx skal flytte penge eller andre kritiske handlinger, får man en bekræftelse på, at man er på sin egen konto, ved at se dennes indhold (som man jo tildels kender), inden man bruger NemID koden, og dermed kan det ikke gøres med den i videoen viste metode - medmindre hackeren naturoligvis kan få overført fx alle kontodata fra banken til sin host hurtigt nok.

Jon Loldrup

Video-afspilning virker ikke særligt godt på htc desire. Man kan høre stemmen, men billedet er statisk. Problemet optræder dog kun når man ser videoen i fuld skærm.

Peter Makholm

Den løsning virker for os der er paranoide nok til netop at acceptere NemID som en erstatning for bankens tidligere login-løsning, men aldrig anvender NemID andre steder.

Poiten med angrebet er netop at du som bruger af et websted der udgiver sig som Herlev-Bibliotekerne netop ikke kan være sikker på at den token du afleverer netop bliver anvendt på Herlev-Bibliotekernes websted.

Havde proceduren nu været en digital token hvorpå man indtastede domænet man forventede at man forsøgte at logge ind på, så kunne man i et vist omfang dæmme op for netop dette angreb.

Basalt set at den token der forlader ens computer består af noget så simpelt som SHA1("www.herlev-bibliotek.dk|<nem-id kodeord>|<papnøgle>"), hvor papnøglen enten er kortet som vi kender det idag eller en indbygget generator.

Og så er jeg såmend elitær nok til at afvise folk der ikke lige kan lave en simpel SHA1 sum i hovedet.

Peter Makholm

Nej, problemet der er illustreret er netop uafhængigt af hvornår brugeren afkræves kodeord. Det eneste krav er at mit fake websted afkræver koder med cirka samme frekvens som den service jeg vil angribe.

Det kan kun løses ved at den kode jeg taster ind, bliver bundet til det websted jeg tror jeg taster det ind på. For eksempel ved metoden beskrevet overnfor eller ved at jeg har seperarte NemID credentials til brug for forskellige roller (netbank, sundhed, tinglysning, diverse)

Peter Ring

Eksempel netbanken dnaskebank.dk, som er en fake. Her kan brugeren naturligvis ikke se sine kontooplysninger, og når derfor ikke frem til, hvor der skal flyttes penge og dermed bruge NemID. Andre steder er det bedre, at man først ser sine personlige data efter tradionelt logon, og kun bruger NemID ved de kritiske transaktioner efter at personlige data er verificeret. Bare en side med 'Velkommen Peter Makholm' kan hackeren ikke lave, for han ved ikke, hvad du hedder, hvis du 'bare' logger på med fx et tal som logon ID. Logger du ind med en mailadresse kan han søge sig frem i de lister, der cirkulerer på nettet. Er logon ID personnummeret, skal han have adgang til en personnummerliste database, eller kan han ikke gøre det. Altså 2 trin:
1. Log på normalt og få bekræftet din identitet, fx ved navn eller andre personlige data.
2. NemID procedure.
Evt. kan ID bekræftelsen stå på NemID indtastningsbilledet.

Stadig bare en forbedring af sikkerheden.

Peter Makholm

Lad mig gentage min pointe fra min første kommentar: Det vil løse problemet for os der kun bruger NemID på vores netbank.

Det vil ikke løse problemet der velvilligt bruger deres NemID på mere end en service. Hvis bare én af de services jeg bruger NemID på er kompromiteret, så kan en token misbruges på alle services der bruger NemID. Selv på services jeg end ikke vidste eksisterede.

Hvis du kan finde på at indtaste din NemID kode på http://www.herlev-bibliotek.dk/ så kan jeg bruge den til at forsøge at logge på danskebank.dk. Det kræver ikke at jeg kan fake de personoplysninger som Danske Bank kunen finde på at vise om dig, kun de oplysninger som Herlev Bibliotekerne viser om dig før login.

Jørgen Jepsen

I den aktuelle papirudgave af ingeniøren er det tydeligt, at DanID er meget motiveret af brugervenligheden - i forhold til sikkerheden. Hvis min bankkonto lænses af kriminelle og jeg har handlet i nogenlunde god tro, holdes jeg personligt/direkte skadesløs. Banken erstatter det tabte. Hvad gør banken/bankerne så? Sender de ikke bare regningen videre til os kunder i form af gebyr, højere renter på lån, og lignende? Og har de så nogen som helst motivation for at gøre mere for sikkerheden end, hvad der netop skal til for at forhindre f.eks. en debat om, hvem der i virkeligheden betaler for vores/deres tab ved den kritisable sikkerhed? Altså en debat om bankernes moral/dobbeltmoral!

(Bankens motivation for at benytte online banking er omkostningsoptimering og besparelser i form af afskediget personale og lukning af fysiske afdelinger, der ikke er behov for, når vi alle benytter online systemerne. Hvilket igen er motiveret af, at investorer/aktieejere - i øvrigt uden nogen som helst personlig eller faglig interesse i bankdrift - skal have/kræver maksimalt afkast af deres investeringer. Og de sidste par års (endnu ikke overståede) finanskrise har jo vist, at man kan skræmme en regering og befolkningen til at synes, at 'de stakkels banker skal da lige have en redningspakke, når de nu ikke selv kan klare konsekvenserne af deres fejlagtige dispositioner'.)

Der er ingen tvivl om, at bankerne er udsat for pres/ønsker om et brugervenligt netbank system. Det er også i Danmark et politisk mål, at gøre 'hvadsomhelt' digitalt. Og masser af it-profesionelle har også denne holdning (i fritiden). Samtidig er rigtig mange (måske de fleste?) it-brugere bare ikke gearede til at skulle håndtere it på en måde, som f.eks. it-professionelle (i arbejdstiden) vil opfatte som sikker. Dansk IT påstod i en undersøgelsesrapport for et par år siden, at 40% af danskerne var, hvad de kaldte "IT-analfabeter". Så hvis f.eks. op mod 40% af alle netbank-brugere er lette ofre for man-in-the-middle angreb, er det faktisk en 'forretningsmodel' med gode afkastmuligheder for den kriminelle verden. Og hvis bankkunderne alligevel i sidste ende betaler gildet, kan bankerne tillade sig at fastholde fokus på brugervenligheden.

Og pludselig kan det være svært at se, at de kriminelle og bankerne skulle have modsatrettede interesser.

Jan Ulrich Jensen

Det burde være muligt for en borger at forbyde muligheden for at udtrække personlige oplysninger ved hjælp af NemID. Det er nok ikke alle danskere, der f.eks. kender sundhed.dk!

Nu må det nyvalgte Folketing træde i karakter og ophæve bankernes monopol på login, da det ikke er i borgerens interesse!

Anders Hybertz

NemID artikler, blandt andet her på Version2, giver ofte anledning til en masse kommentarer. Kommentarer som spænder meget vidt. Når man, som jeg synes det er underholdende at følge med i disse kommentarer omkring NemID og en enkelt gang eller to selv kommer med et lille pip, er der et generelt mønster i alle disse kommentarer.

Paletten af kommentarer er spænder ofte alle regnbuens farver, hvor følelser, saglighed, kompetancer og interesser ikke er særlig gennemskuelige.

Dog er tendensen ofte både fra både journalister og de som kommenterer at NemID er en rigtig dårlig løsning for os alle.

Så her er mit lille indspark:

Hvorfor laver man ikke i Version2 et site, hvis formål er at udforme den "bedste sikkerhedsløsning til hele det danske folk".

Site kunne være som et wiki site, hvor alle kunne komme med kommentarer, forslag, forbedringer etc., men at et lille fagligt kompatent redaktør team - valgt at Version2 og bidragsyderne, skulle sørge for at sammenholde alle forslag og holde dokumentationen opdateret. Version2 kunne også invitere danske og udenlandske sikkerhedsguruer til at bidrage.

Efter etc. 6 måneder ville man så have "folkets" sikkerhedsløsning, frit tilgængelig og den bedste i hele verden.

Denne løsning, selvfølgelig holdt opdateret, ville kunne bruges både politisk, men også som en god guideline til virksomheder og ligende, som står for at skal opgradere deres sikkerhedsløsning, eller startups, som måtte ønske at implementere løsningen.

Så ideen er hermed givet frit videre - det kunne være fedt at se hvad resultatet blev...

Patrick Moog

Hvordan er det her forskelligt fra en alm. RSA token? Kan den ikke brydes på samme måde?
Er den eneste forskel ikke at NemID bliver brugt flere steder?
Ved godt at RSA er tidsbaseret men med den hastighed der her vises er det jo ikke noget problem.

Peter Makholm

Angrebet der er demonstreret af videoen afhænger ikke af hvilken type enhed brugeren aflæser koden på. Papkortet og RSA SecurID tokens er ens for så vidt dette angreb angår.

Som du selv er inde på er der et timing issue med RSA tokens, men en tilsvarende tidsafhængighed kunne sagtens implementeres rent server-side med papkortet.

En RSA token hvor man aflæser en tilsvarende sekscifret talkode giver ikke end-to-end kryptering. Og iøvrigt indgår koden ikke i en krypterings-kontekst og derfor kan jeg ikke se hvad du mener med 'end-to-end kryptering'.

Patrick Moog

@ Peter Makholm Det var nemlig det jeg tænkte, den eneste fordel RSA har her er tiden hvori den kriminelle har til at indtaste osv.

Usikkerheden i nemID består så i at den bliver brugt på så mange sites, at det bliver nemmere at narre Hr. Jensen til at det er Sdr. Ydby bibliotek han besøger.

Dette kunne så løses med en fælles login, så man i det mindste blev vandt til den samme URL

Log ind eller opret en konto for at skrive kommentarer

JobfinderJob i it-branchen

TDC skifter koncernchef efter faldende mobilomsætning

Jesper Stein Sandal Mobil og tele 14. aug 2015

Nyeste job

KurserStyrk dine evner med et kursus

Master i offentlig kvalitet og ledelse

Hvornår: Hvor: Fyn Pris: kr. Efter aftale

Den fleksible projektlederuddannelse i byggeriet

Hvornår: 2015-10-06 Hvor: Østjylland Pris: kr. 49000.00

Strategi og forretningsudvikling i praksis

Hvornår: 2015-09-21 Hvor: Storkøbenhavn Pris: kr. 11400.00

Diplom i ledelse - Internat

Hvornår: Hvor: Efter aftale Pris: kr. Efter aftale

MCP 10774 kursus: Querying Microsoft SQL Server 2012

Hvornår: 2015-12-07 Hvor: Storkøbenhavn Pris: kr. 18750.00