Adskillige NemID-svindelsager: Bruger keylogger og fisker nøglekort op af postkassen

Hvis man vil gøre noget ved dette konkrete hul, hvilket afhænger af hvor stor anvendelsen af hullet er, så kunne man forbyde offentlige computer med keyboard hvortil der let kan tilsluttes den benyttede keylogger hvilket kan gøres med fysiske anordninger omkring Desktop computeren eller ved at anvende laptops, der har indbygget keyboard. Dertil kunne man indføre et forbud mod at bruge nemid på offentlige computer uden at bruge skærmkeyboard og en påmindelse om dette hvis IP adressen tilhørere en offentlig tilgængelig computer eller er anderledes end den IP adresse som brugeren normalt bruger.

Forbryderen vil selvfølgelig søge andre veje og fx inficere med sniffer software (skærmdump m.v) hvorfor der måske skal stilles krav om at offentlige tilgængelige computere skal have installeret danske Bitrater.

Samt at NemID forsat skal viserudvikles ligesom alt muligt andet som fx biler, fly og løbesko.

Men 100% sikkerhed eksistere ikke, men vi arbejde på at komme tættere på.

”Mit umiddelbare gæt er at hvis man bruger en offentlig computer til NemID, bruger man den nok også til andre online ting.

Mit gæt vil være at folk sætter deres lid, til at papkorte virker, og derfor giver en ekstra sikkerhed, når man bruger det, modsat dankortet, og derfor er mere sikker at bruge. Hvad også artikler giver udtryk for. Og derfor er mere tilbøjelig til at bruge NemID online. Nu skal det jo ikke blive til en konkurrence på hvor nemt det er at misbruge de forskellige betalingsmidler, lad os bare sige jeg tro det kan lade sig gør at få penge ud direkte fra dankort.

Nej selvfølgelig gør det ikke det, men hvor ofte sker det?
Og hvis de har dankort oplysningerne så har de allered det de er ude efter.

Mit umiddelbare gæt er at hvis man bruger en offentlig computer til NemID, bruger man den nok også til andre online ting.

Ift. Dankortet er jeg ikke enig. Ideen er at få adgang til NemID login for at kunne optage lån hvilket resulterer i væsentligt flere penge end svindel med et enkelt dankort inden dankortet bliver lukket. Desuden er lån lig med direkte penge hvor dankort svindel vil involvere køb af ting online eller lign., eftersom de ikke har selve kortet med det beskrevne setup.

Det virker dog ikke hvis man udover at logge ind med NemID på en offentlig computer også lige har købt et par sko, så har keyloggeren også de oplysninger. ad 1) Nej selvfølgelig gør det ikke det, men hvor ofte sker det? Og hvis de har dankort oplysningerne så har de allered det de er ude efter.

Hvis man indføre gebyr på at bestille et papkort uden for, normal autobestilling. Som skal betales med dankort eller andet kort, har man en anden sikkerheds procedure, og man kan gøre denne bestilling betinget af der bestilles med et kort som tilhøre personen fra NemID, jeg går ud fra at Nets, har disse oplysninger let tilgængelig.
PS bruges denne ide, så vil en erkendtlighed være prisværdig...:D:)

Det virker dog ikke hvis man udover at logge ind med NemID på en offentlig computer også lige har købt et par sko, så har keyloggeren også de oplysninger.

Hvis man indføre gebyr på at bestille et papkort uden for, normal autobestilling. Som skal betales med dankort eller andet kort, har man en anden sikkerheds procedure, og man kan gøre denne bestilling betinget af der bestilles med et kort som tilhøre personen fra NemID, jeg går ud fra at Nets, har disse oplysninger let tilgængelig. PS bruges denne ide, så vil en erkendtlighed være prisværdig...:D:)

Stor nok til at det kan betale sig.</p>
<p>Og husk på de skal kun bruge kort nummer 2 hvis de har mistet kort nummer 1.

Jeg tvivler. Hvis folk hvert andet år smider et nøglekort væk, så vil mange for længst have glemt hvor kort #2 er gemt. Men måske kunne man blot kræve at hvis man smider sit nøglekort væk, så skal det nye hentes hos borgerservice mod fremvisning af ID.

Hvad er sandsynligheden for at folk kan finde kort #2 når de skal bestille et nyt kort?

Stor nok til at det kan betale sig.

Og husk på de skal kun bruge kort nummer 2 hvis de har mistet kort nummer 1.

Giv folk to slags NemID papkort: Et til normal brug og et til at bestille nye normale kort med (det kunne f.eks have bogstaver istedet for tal).

Hvad er sandsynligheden for at folk kan finde kort #2 når de skal bestille et nyt kort?

Men helt ærligt, både NemID og eBoks er jo makværk af værste skuffe, så vi er vel ikke overraskede, vel!

Det der i og for sig er det mest imponerende ved NemID er at Nets har haft et milliard underskud på produktet...

I stedet for at det er tilkøbsløsning for kr. 99... Det ændre selvfølgelig ikke på, at det er en designbøf af middelsvære proportioner, ikke at beskytte genbestillinger af koder (kort eller token).

Men helt ærligt, både NemID og eBoks er jo makværk af værste skuffe, så vi er vel ikke overraskede, vel!

Mange af hullerne i NemID er designproblemer, fordi man ikke vil bruge pengene på at lave sikkerheden færdig.

At bestille et nyt nøglekort skal naturligvis kun kunne gøres autonomt hvis man har det forrige nøglekort.

Præcis hvad proceduren skal være for at bestille nyt kort uden det gamle kan der diskuteres om, men det skal ikke kunne gøres autonomt, for det åbner netop for det hul der her er udnyttet ved at fjerne "noget du har" komponenten.

Ved mobiltelefoners SIM kode har man gjort det med et ekstra lag af "PUK" koder og man kunne have gjort noget tilsvarende for NemID.

Giv folk to slags NemID papkort: Et til normal brug og et til at bestille nye normale kort med (det kunne f.eks have bogstaver istedet for tal).

Hermed ville den nødvendige manuelle håndtering være reduceret til dem der har smidt begge kort væk.

Skulle man angive nøglekortsnummer (gammelt kort) + password for at udstede et nyt.

Og hvad så hvis man netop havde mistet sit nøglekort?

Det løser næppe noget at sende et email. Angriberen har sikkert kontrol over offerets mail box da keyloggeren øjensynligt har opsnappet det (offer checker mail fra samme PC som han bruger nemId). Men end SMS ville kræve yderligere et angreb.

Netop det faktum at nøglekortet spærres er en fordel for sikkerheden.</p>
<p>Da det betyder at den korrekte bruger vil opdage hvis de selv forsøger en login inden identitetstyveriet er gennemført.

Jeg vil mene at det er lidt problematisk at der ikke er andre advarselslamper end hvis man logger ind. F.eks. skal jeg først bruge nøglekort til min netbank når jeg overfører penge til andre konti end mine egne, hvilket er sjældent.

Det ville være bedre hvis man også fik en email og sms som gjorde opmærksom på at nu er kortet spærret, så ville der var en markant større chance for at folk opdager det inden deres nye kort bliver stjålet.

Men som en anden pointere, det her er jo ikke en lige til løsning, og noget mere kompliceret end at aflure en pinkode og snuppe en pung.. Eller bare snuppe en pung hvis folk har kontanter..

Når forbryderen har langt sådan en forholdsvis vidtgående plan, der kræver fysisk tilstedeværelse flere steder, så er det næppe muligt helt at begrænse misbruget... men self kan man altid vurdere hvor nemt det skal være at f.eks. få tilsendt et nyt kodekort..

at vi får bekræftet den onde mistanke om, at det er ret usikkert at bruge en offentlig pc på f.eks. et bibliotek til følsomme forretninger. Og at mennesker, der ikke har en egen pc (eller lignende) er meget udsatte. Man kan da antage, at f.eks. en hjemløs næppe kan få lænset sin kontor for millioner, men de folk bliver skubbet yderligere uden for "det gode selskab".

Og vi kan heller ikke forvente, at alle mennesker skal være både paranoide, teknisk begavede samt kende til alskens former for it-bedrageri for at kunne begå sig. Lige som vi heller ikke forventer, at en bilist starter med at kontrollere, at alle fire hjul er spændt fast (selv om loven vist kræver sådan en inspektion af lygter, signalapparater m.v.). Vi kræver mere af andre, end vi selv lever op til.

2) Kendskab til hjemmeadresse

Hvis du bruger en offentlig PC til ”nemid-forretninger” så bruger du sikkert også PC’en til web-mails og mon ikke der er keylogget web-adresse, brugernavn og password til denne?

Her kan findes emails med tilsendte kvitteringer, faktura, lønsedler og lignende med postadresse og andre personlige oplysninger på.

Mon ikke siden er lavet til folk, som rent faktisk har mistet deres nøglekort, og ikke med nysgerrige journalister for øje?

Jo, du har utvivlsomt ret. Når det er sagt, er det vel meget almindeligt med en eller anden bekræftelses-knap i denne slags usecases?

Vi har i hvert fald fået en henvendelse fra en - antageligt - ikke-journalist, der umiddelbart også blev overrasket over uden videre at få spærret nøglekortet efter indtastning af brugernavn og adgangskode. Jakob - V2.

Ps. Og tak for tippet ift. Borgerservice :-)

3) Vellykket indbrud i postkasse, opg dermed brud på brevhemmligheden.

Der er ingen tvivl om, at denne del er det, som skalerer dårligst. Specielt hvis man skulle sidde i udlandet og derfor må entrere med lokale "mulddyr".

Dog er det ikke vanskeligt at få posten direkte i hånden i vores villaområder, hvis man opholder sig på matriklen når man møder posten. Der er sikkert andre genveje.

...hvis han eller hun - eksempelvis af nysgerrighed - indtaster brugernavn og kodeord på den pågældende side

Mon ikke siden er lavet til folk, som rent faktisk har mistet deres nøglekort, og ikke med nysgerrige journalister for øje?

Men hvis du har et stort og akut behov for et nyt nøglekort, så kan borgerservice muligvis hjælpe dig.

Netop det faktum at nøglekortet spærres er en fordel for sikkerheden.

Da det betyder at den korrekte bruger vil opdage hvis de selv forsøger en login inden identitetstyveriet er gennemført.

Bemærk i øvrigt at denne type identitetstyveri er ret krævende da den stiller krav om tre indgreb:

1. Opsnapning af ID&password (keylogger)
2. Kendskab til hjemmeadresse
3. Vellykket indbrud i postkasse, opg dermed brud på brevhemmligheden.

Skulle man angive nøglekortsnummer (gammelt kort) + password for at udstede et nyt.

Er det fjernet?

Det ville være rart at vide, hvad konsekvenserne af denne svindel er ? Hvis der svindles for kr.10 mio i forhold til kr.10 mia, så er det jo bare en promille - og det er en ringe omkostning.

Anderledes med e.g. sygdomsinformation og andet personligt.

Men det undrer mig lidt hvordan forbryderne for fingre i det nye nøglekort ? Tømmer de postkassen hver dag ? Har de opdaget, at nøglekortet ALTID dukker op x +/-1 dag senere ?

Den simple løsning er jo at sende nøglekortet som "pakke", der kræver afhentning i en pakke-shop. Mindre brugervenligt, men .....

Eller at nøglekortet skal aktiveres efter modtagelsen - ved brug af engangskode til en telefon.

Måske kan en kombination af sådanne løsninger afdække 99% af brugerne. Og så er der gamle fru Jensen uden mobiltelefon tilbage .... men det er så den sidste procent som løber risikoen og det kan bankerne så dække af.

Når nu forbryderne har login og password til nemID, hvorledes skulle ovenstående så sikre noget som helst? Forbryderne ville jo bare logge ind på nemid.nu og godkende med de stjålne credentials.</p>
<p>

Hej Lenni. Pointen er ikke, at det vil forhindre misbrug, men at en legitim bruger måske burde få en chance for at undgå et spærret nøglekort, hvis han eller hun - eksempelvis af nysgerrighed - indtaster brugernavn og kodeord på den pågældende side. Jakob - V2.

"Her kunne det umiddelbart være oplagt at bede brugeren tilkendegive, at han eller hun var indforstået med, at det nuværende nøglekort ville blive spærret og et nyt fremsendt, inden det faktisk skete."

Når nu forbryderne har login og password til nemID, hvorledes skulle ovenstående så sikre noget som helst? Forbryderne ville jo bare logge ind på nemid.nu og godkende med de stjålne credentials.

...en minister påstå hårdnakket her på siden, at NemID er en 100% sikker løsning.

De kriminelle kan jo ikke bare overføre penge til deres egen konto eller købe varer sendt til deres egen adresse.

Så køber de kriminelle bitcoins fra ofrenes konti, eller hvad?