Danske Bank indrømmer phishing-fejl: Slut med NemID-links i e-mails

Kunder hos Danske Bank har fået links i e-mails, der pegede direkte til en webside med NemID-login. Det er en fejl og bliver rettet, siger banken nu, efter Version2 har sat fokus på NemID-sikkerheden.

'Banker eller offentlige myndigheder sender ikke e-mails ud med links direkte til en NemID-login-side'. Sådan lød det fra DanID, efter Ingeniøren og Version2 med en video af et fiktivt phishing- og man-in-the-middle-angreb satte fokus på sikkerheden i NemID.

Men DanID’s udmelding stemte ikke med virkeligheden. I weekenden modtog danske skatteydere en e-mail fra Skat med direkte links til login-siden, og Danske Bank har også sendt den slags e-mails ud.

Læs også: E-mails fra Skat punkterer DanID's forsvar for NemID-sikkerhed

Det var ikke meningen, forklarer Danske Bank, som nu vil rette op på problemet.

»Vi har i enkelte tilfælde ikke fulgt aftalen med DanID, og det er vi i gang med at rette nu. Der skal ikke være links i mails fra Danske Bank, som peger på logon-siden. I stedet skal de pege på forsiden af danskebank.dk,« forklarer Poul Otto Schousboe, koncernsikkerhedschef i Danske Bank, til Version2.

Ud over at man fremover vil stramme op, så der ikke smutter direkte login-links med, er der flere andre tiltag, der skal beskytte mod phishing, altså brugen af vellignende forfalskede e-mails, der logger kunder ind på en falsk login-side.

»Vi har andre værktøjer i kassen til at beskytte os mod phishing, og nogle af dem har vi implementeret, og andre er vi i gang med,« siger Poul Otto Schousboe.

Med Sender Policy Framework (SPF), som er implementeret, kan den mailserver, der modtager en e-mail fra banken, tjekke, om der bliver snydt med afsenderadressen. Brugen af domain keys er en anden foranstaltning, der er på vej, som også sikrer mod falske e-mails.

Et tredje tiltag, som banken arbejder på, handler om at signere nogle af de e-mails, der bliver sendt fra banken til kunden. Det stiller forskellige tekniske krav til den mail-klient, kunden bruger, men så får kunden også sikkerhed for, at afsenderen faktisk er Danske Bank.

Læs også: Skat dropper links i e-mails: Sikkerhed kommer før brugervenlighed

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (7)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Martin Andersen

Hvad stopper en phisher fra at proxy'e danskebanks hjemmeside, og så sende links ud til forsiden af denne? Deres ændring i politik løser da ingenting.
Hvorfor kan man ikke bare udelade links fra mails i det hele taget?

  • 2
  • 0
Thue Kristensen

Banker eller offentlige myndigheder sender ikke e-mails ud med links direkte til en NemID-login-side. Sådan lød en af forklaringerne fra DanID på, hvorfor det angrebs-scenarie, som Ingeniøren har vist, ikke udgjorde en sikkerhedsrisiko.

Hvis sikkerheden med NemID afhænger af, at de kriminelle skal lave to falske sider i stedet for en, så er det altså stadig ikke godt nok.

De kriminelle kan jo for eksempel lave en proxy-server, eller bare downloade en kopi af hele banks side med "wget -r", som så viser sider fra den rigtige bank indtil man kommer hen til login-siden. Hvis Version2 har lyst til at bringe det i en artikel, så laver jeg gerne en demonstration af "wget -r". Det ville ikke tage mere end en time at hente og konfigurere en kopi af fx http://www.herlevbibliotek.dk/ . En modificerende proxy-server burde heller ikke tage særlig lang tid at sætte op.

Sender Policy Framework eller domainkeys nytter ikke meget. Dem kunne Version2 jo også have sat op, da de lavede https://www.herlev-bibliotek.dk .

Og husk, at din konto i Danske bank også er i fare, hvis der er nogen som hugger dit NemID-login mens du logger ind på din golfklubs hjemmeside. Så Danske Bank kan lave nok så mange sikkerheds-foranstaltninger med Sender Policy Framework eller domainkeys, men det nytter ikke meget hvis ikke også golfklubben har samme sikkerheds-niveau.

Og hvordan er det præcist, at man som bruger skal vide om en given NemID-dialog er reel? Det har jeg stadig ikke set en forklaring på fra DanID. Og sikkerhedsregler som "der vil aldrig blive linket direkte til et NemID-login fra en email" er jo fuldstændig nyttesløse, hvis slutbrugerne ikke er klar over dem.

Som nævnt mange gange før, så er en god løsning at fortælle brugeren, at han kun må taste sit nemid-login ind på https://nemid.danid.dk . Det er en simpel og effektiv regel, som er lille nok til at man kan skrive den på toppen af et NemID-papkort. Og det er den metode, som for eksempel single-sign-on systemet OpenID bruger.

  • 3
  • 0
Jon Linde

I forbindelse med NemID problematikken ændrer det ikke rigtigt noget, men jeg giver da gerne DB et point for at stramme op på deres generelle sikkerherhed.
SPF, Domainkey og signerede e-mails er, om ikke andet, en god start og et godt et eksempel som andre burde følge.

  • 6
  • 0
Christian Nobel

Nu hønser Skat, Danske Bank og en masse andre aktører rundt og kagler op om at de forbedrer sikkerheden.

Det er jo helt til grin med al den brandslukning, al den stund den da kun udstiller at hele konceptet er forkert i bund og grund.

Og nu skal der pludselig tales op ad døre, ned ad stolper om at brugerne skal passe på og bla bla bla.

Når nu hele argumentet i sin tid var at "NemID" er åh-så-sikkert, og brugerne ikke kan tage vare på sig selv osv.

Det er sørgeligt og patetisk at DanID ikke snart bliver sig deres ansvar bevist, eller rettere at staten gør og parkerer projektet for tid og evighed i Århus' banegrav.

  • 8
  • 1
Martin Kofoed

I mine øjne burde Danske Bank udelukkende undskylde for at være en del af DanID-monopolet. Sikkerhedsmodellen kan sgutte stå og falde med, om en given biks sender links ud i sine mails eller ej. At vi virkelig er nået dertil, befinder sig i grænselandet mellem hylende grinagtigt og dybt, dybt tragisk.

  • 7
  • 1
Log ind eller Opret konto for at kommentere