DanID efter phishing-aktivisme: Falsk domæne er ligegyldigt

Det var helt efter planen, at DanID ikke havde købt domæner, som ligner NemID's eget, siger firmaet. Det ville være for stor en opgave at købe alle tænkelige domæner, lyder forklaringen.

DanID måtte i går sende en advarsel ud: Domænet NemlD.nu gav sig ud for at være det rigtige NemID.nu-website og kunne potentielt stjæle brugernavn og passwords fra NemID-brugerne.

Bag domænet stod Rasmus Porsager, som også har oprettet NejtilNemID.dk, og den falske phishing-side blev oprettet for at demonstrere, at DanID havde sovet i timen og ikke købt domæner, der lå tæt op af det rigtige. Her var forskellen, at det store I i NemID var skiftet ud med et lille L.

Læs også: NemID-hader udstiller elendig phishingbeskyttelse

Men DanID har helt bevidst ikke været ude at finde domænenavne, som kunne forveksles med NemID's eget, forklarer kommunikationschef Jette Knudsen fra DanID.

»Vores beskyttelse mod phishing ligger ikke i at købe mange forskellige domæner op, men i nøglekortet med engangskoder,« siger hun.

Desuden vil et eventuelt phishing-angreb blive sat ind mod de websider, hvor folk logger ind med NemID, for eksempel mod netbankerne, mener Jette Knudsen.

»Det er langt mere sandsynligt, at man vil forsøge med et look-a-like af en tjenesteudbyder, som er der, hvor NemID bliver brugt, end mod NemID selv, hvor man ikke logger ind normalt,« siger kommunikationschefen.

Men NemlD.dk med lille L ligner NemID.dk virkeligt meget, og mange vil vel tjekke navnet på websiden i browserens adresselinje, hvis de er i tvivl. Så hvorfor har I ikke købt lige de domæner?

»Der er så mange muligheder for phishing-domæner i dag, fordi man nu også kan bruge andre alfabeter, som kyrilliske og arabiske bogstaver. Det ville blive en uendelig opgave, hvis vi skulle købe alle dem op, der ligner NemID grafisk,« siger Jette Knudsen.

Overvejer stadig reaktion mod NemlD.dk

Rasmus Porsager oprettede phishing-sitet NemlD.dk som en del af sin protest mod NemID-løsningen som helhed, og efter alt at dømme ikke som et forsøg på at lure passwords ud af folk. Men DanID tager sagen meget alvorligt.

»Han er gået over stregen. Han er gået fra at være kritisk til at være krigsførende, og det ser vi ikke på med milde øjne. Han har overtrådt en lang række regler, for eksempel domænereglerne, brugt vores beskyttede varemærke og overtrådt vores ejendomsret,« siger Jette Knudsen.

Alligevel er det endnu ikke afgjort hos DanID, om man for eksempel vil melde Rasmus Porsager til politiet.

»I hans iver for at lave denne demonstration, er han kommet til at gå over stregen. Det kan vi vende det blinde øje til eller se på mere seriøst, men vi har ikke taget en beslutning endnu,« siger Jette Knudsen, der heller ikke endnu kan svare på, om DanID vil overtage domænerne, som Rasmus Porsager oprettede.

Med konstruktionen for NemID, hvor man udover brugernavn og password skal bruge engangskoder fra papkortet, er det ikke nok for en it-kriminel at have opsnappet et loginforsøg og så gemme dataene til senere brug.

Men en ihærdig kriminel kan udføre et såkaldt real-time man-in-the-middle-angreb, hvor man lægger sig som mellemmand, når en NemID-bruger logger på banken og får adgang med det samme. Den metode er mere besværlig, men ikke umulig.

Den officielle webside for NemID er i øvrigt NemID.nu, hvilket i sig selv ligner et forsøg på phishing. Men NemID.dk ejes af it-firmaet Assemble, som selv har en løsning kaldet NemID og ikke har ønsket at sælge domænet. DanID har forhandlet med firmaet om en overtagelse, men det gik i hårdknude.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Kommentarer (15)

Svend Lyngsø

At DanID ikke havde undersøgt om navnet NemID.dk var fri.
Det tyder på at de ikke er særlig kreative.
Jeg har nu vejledet mange i brugen af det og vejledet dem hvordan de skal bruge det.
Det syntes jeg virker fint, men jeg foretrækker at aktiver dem igennem bankerne.
Det er enklere og nemmer.

Bo Grünberger

Fuldkommen enig. Det er muligt at det vil være en stor opgave at købe alle domæner som ligner noget med NemID, men de burde da i det mindste have købt nemid.dk. Det er jo her man går ind, fordi man regner med at nemid selvfølgelig hedder noget med .dk og ikke .nu.

Ikke at have købt .dk domænet er simpelthen torskedumt.

Martin Bøgelund

Ikke at have købt .dk domænet er simpelthen torskedumt.

Hvis de registrerer NemID som varemærke, kan de uden problemer rive NemID.dk ud af hænderne på den nuværende ejer. Det er bare at kontakte domæneklagenævnet...

Jesper Kildebogaard

Jette Knudsen fra DanID forklarede, at de havde forhandlinger i gang med Assemble, der ejer NemID.dk, da man gik i gang med NemID-projektet. Forventningen var at kunne købe domænet, da forhandlingerne i starten gik godt, og man valgte at køre videre med NemID-navnet, men så gik det i hårdknude.

Nu kører DanID en sag mod Assemble i Domæneklagenævnet, så måske ender DanID med at få det overdraget. Et af punkterne i sagen er, at Assemble har købt flere hundrede forskellige domæner, mange med begyndelsen 'nem', men omvendt har Assemble i forvejen et NemID-produkt, hvilket umiddelbart stiller firmaet godt i sagen.

vh.

Jesper
Version2

Bo Grünberger

Hvis de registrerer NemID som varemærke, kan de uden problemer rive NemID.dk ud af hænderne på den nuværende ejer.

Det er givetvis rigtigt, men det ville da have været nemmere at købe domænet i forvejen, fremfor at skulle gennemtvinge en overdragelse efterfølgende.

Simon Mikkelsen

Jeg bruger Jyske Bank og her skal man kun benytte nøglekort for at logge ind. Når man fx godkender en pengeoverførsel skal man kun indtaste sin selvvalgte adgangskode. Hvis den bliver stjålet er det et spørgsmål om at lave en session hijack og så er der ellers frit spil på alle hylder.

Så en phishing side der franarre folk deres kodeord, er en alvorlig trussel. Det er muligvis Jyske Bank og ikke Nets der har været tåbelige her, men jeg får stadig tømt min bankkonto.

Per Hansen

Det kan forhåbenlig ikke lade sig gør, at fravriste Assemble NemId.dk, da de har brugt domænet længe inden DanId overvejede historiens værste digital "signatur" løsning.

Når Assemble ovenikøbet har brugt det til en NemdId løsing (som de har opfundet og ibrugtaget før DanId tænkte tanken), ville det være grotisk hvis DanId kunne overtage det på anden måde, end en RIGTIG rundhåndet betaling (som TDC måtte sande, da de skulle købe tdc.dk af Thy DataCenter)

Martin Bøgelund

Det er givetvis rigtigt, men det ville da have været nemmere at købe domænet i forvejen, fremfor at skulle gennemtvinge en overdragelse efterfølgende.

Som du kan se af Jespers indlæg ovenfor, har de netop forsøgt dette.

Prøv at søge på "NemID" hos Patent & Varemærkestyrelsen:
http://onlineweb.dkpto.dk/pvsonline/Varemaerke?action=201&subAction=

Du vil se at både Assemble og Nets/DanID forsøger at registrere "NemID" som varemærke - og at de har gjort indsigelser mod hinandens ansøgninger.

Så [i]selvfølgelig[/i] er det oplagt at gå varemærke-vejen for at få kontrol over et .dk domæne.

Jeg siger ikke det er en sympatisk eller hensigtsmæssig måde at gøre tingene på - men som reglerne er skåret ud og forvaltet, er det den mest oplagte.

På den måde er afgørelsen over hvem der skal have et .dk domæne, "tørret af" på Patent & Varemærkestyrelsen...

Er det her jeg skal sige "Bop-bop-bop..."?

Martin Bøgelund

Jeps det er Jyske banks implementering der betyder at du ikke skal bruge papkortet i de tilfælde. Derfor kan man ikke give papkortet skylden, hvis det havde været brugt ville det ikke have været så nemt.]

I Jyske Banks oprindelige papkort-løsning skulle man faktisk indtaste engangs-koder ved enhver transaktion.

Hvis de nu har erkendt at det er sikkerhedsmæssigt overkill, og til urimelig gene for brugerne (der jo allerede har haft papkortet fremme til at åbne en netbank-session), så giver det vel god mening at gøre NemID nemmere...?

Lars Christensen

DanId's reaktion på Rasmus Porsagers happening viser vel egentlig meget godt hvor arrogante og selvhøjtidelige DanId er.

At DanId føler sig trådt over tæerne - kunne sagtens forståes, hvis de selv havde udvist passende konduite i forbindelse med deres mange kiks - som f.eks. en undskyldning fremfor angreb.

Som situationen er nu, hvor DanId og deres vingeskudte gøgeunge formodentlig har været det mest debatterede emne i Danmark de sidste mange år - så burde DanId stikke piben ind.

Mvh Lars plbrake.dk

Lars Christensen

@Stefan, Jeg kan desværre ikke se i dit svar om du bruger ironi!

Jeg mener bestemt ikke, at man bare kan bryde loven og skade andre bare fordi man ikke kan lide dem - det mener jeg heller ikke, at jeg giver udtryk for.

Problemet er at det er svært, at have ondt af DanId, i denne for dem uden tvivl svære situation - alene fordi de har været både angribende og arrogante - hver eneste gang der har været kritik af deres produkt NemId.

Havde DanId brugt bare en brøkdel af en promille af deres proveneu, på udvikling og drift af NemId, til ansættelse af en krisekyndig PR-medarbejder. Så var de formodentlig sluppet helt eller næsten helt uden skrammer i deres image.

Mvh Lars plbrake.dk

Log ind eller opret en konto for at skrive kommentarer

Pressemeddelelser

Affecto Denmark reaches highest Microsoft Partner level

Affecto Denmark, a leading provider of data-driven solutions, has reached the highest level in the Microsoft partner ecosystem: Managed Partner.
22. jun 13:45

Innovate your business with Affecto's IoT Explorer Kit

Are you unsure if Internet of Things fits your business strategy?
31. maj 2017

Big Data Lake Summit: Fast and Trusted Insights

If you want to outpace, outsmart and outperform your competition in a digital world, you need trusted data that can be turned into actionable business insights at speed.
24. apr 2017