Danskere bider på krogen: Sender fotos af NemID-nøglekort til svindlere

51 kommentarer.  Hop til debatten
Danskere bider på krogen: Sender fotos af NemID-nøglekort til svindlere
Illustration: CSIS.
Danskere har sendt fotos af deres nøglekort med engangskoder til NemID til svindlere, som i en phishing-mail påstod, at der var en fejl med modtagerens nøglekort.
15. maj 2014 kl. 13:56
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Det var én af de phishing-kampagner, hvor det som it-professionel nok var svært at forestille sig, at nogen skulle bide på krogen. Men det gjorde de alligevel, rapporterer sikkerhedsfirmaet CSIS.

Modtageren fik en mail, hvor afsenderen udgav sig for at være fra 'NemID Bedrageriafdelingen'. Ifølge mailen var der registreret en fejl ved modtagerens kort med engangskoder til NemID.

Derfor skulle modtageren følge et link til en hjemmeside, hvor han kunne uploade et foto af sit nøglekort eller indtaste dem én efter én. Desuden skulle man oplyse sit brugernavn og adgangskode til NemID.

Det ville nok vække mistanke hos de fleste, men ifølge CSIS er der danskere, der er faldet i fælden i løbet af de foreløbig fire gange, phishing-kampagnen har kørt.

Artiklen fortsætter efter annoncen

Sikkerhedsfirmaet har således opsnappet nogle af de billeder, som danske ofre for kampagnen har indsendt, hvor man klart og tydeligt kan læse alle engangskoderne. Enkelte har dog også ifølge CSIS benyttet lejligheden til at give svindlerne en personlig billedhilsen af en noget anden karakter.

CSIS oplyser til Version2, at sikkerhedsfirmaet har trukket billederne ud fra den server, som svindlerne har brugt.

Med både den almindelige adgangskode og oplysningerne fra nøglekortet ville svindlerne have fuld adgang til ofrets bankkonti, skattepapirer og andre personlige dokumenter og reelt have gennemført et komplet identitetstyveri.

51 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
50
22. maj 2014 kl. 14:01

Til fri afbenyttelse: "Vi har konstateret fejl i flere 100-kroner sedler. Læg derfor straks deres sedler i en kuvert og send dem til denne adresse, så vil vi kontrollere dem. Er der ikke noget galt, sender vi dem naturligvis straks tilbage. Husk at skrive afsender på kuverten."

48
19. maj 2014 kl. 14:30

Det kan undre, at så naive (læs: reelt dumme!) personer, som ofrene må være, overhovedet har penge på deres konto. Heller ikke den i banken !

35
16. maj 2014 kl. 11:35

Jeg undrer mig lidt over at sikkerhedsfirmaet kan opsnappe nogle af billederne samt trække dem ud af "svindlernes" server.

1: Har sikkerhedsfirmaet overvåget trafikken på nettet siden de har opsnappet nogle af billederne? Jeg opfatter "opsnappe" noget som man gør uden at hverken afsender eller modtager ved det/har givet tilladelse.

2: Hvorledes kan sikkerhedsfirmaet trække billederne ud (vel nærmest flytte eller slette dem) - det kan vel normalt ikke lade sig gøre for uvedkommende, som sikkerhedsfirmaet er i forhold til svindlerne?

Det er denne del af artiklen der undrer mig: "Sikkerhedsfirmaet har således opsnappet nogle af de billeder, som danske ofre for kampagnen har indsendt, hvor man klart og tydeligt kan læse alle engangskoderne. Enkelte har dog også ifølge CSIS benyttet lejligheden til at give svindlerne en personlig billedhilsen af en noget anden karakter.

CSIS oplyser til Version2, at sikkerhedsfirmaet har trukket billederne ud fra den server, som svindlerne har brugt."

31
16. maj 2014 kl. 08:29

Min erfaring fortæller mig at der er noget andet på vej!!

25
15. maj 2014 kl. 23:22

Denne tråd får mig til at tænke på flere reklamer jeg har set. For at falde for dem skal man sandelig også være - naiv.

22
15. maj 2014 kl. 22:18

For nyligt fik jeg en ret ringe fremstillet phising mail, der skulle forestille at komme fra SKAT. Jeg slettede den straks og gik videre med min dag.

Nogle uger senere fik jeg med brevpost en rykker med et gebyr på 600 kr. Jeg greb telefonen og ringede til SKAT, som (efter lidt ventetid) fortalte mig, at jeg havde undladt at reagere på den mail, de havde sendt. Jeg fik mailen gendannet og kunne ved nærmere eftersyn på headeren godt se, at den faktisk så god nok ud - udseendet af selve mailen var bare hjælpeløst og selvom sproget var næsten (!) grammatisk korrekt, så var det ikke det professionelle niveau, jeg instinktivt havde ventet.

Jeg ville foretrække, hvis SKAT, NemId, EogS mv. ophører med at sende mig ukrypterede email med vigtige informationer og med links, som jeg skal klikke på.

Jeg tror faktisk, jeg vil få svært ved at forklare alle i de ældre generationer af min egen familie, hvordan de med usvigtelig sikkerhed navigerer mellem falske og ægte mails (og det skal jo være usvigteligt - for blot een fejl kan være katastrofal). Det nemmeste var måske, hvis jeg kunne sige til dem: Der kommer aldrig mails fra SKAT. Eller måske bare: Der kommer aldrig mails fra SKAT med links i. Men end ikke det, kan jeg garantere dem.

21
15. maj 2014 kl. 20:11

Der vil altid være nogle der hopper på en limpind. Det perfekte samfund, hvor intet dårligt eller ondt sker er utopi. Hvor der handles der spildes. Man kan implementere nok så mange løsninger, og rette op på nok så mange fejl, de vil bare blive afløst af nogle nye problemstillinger. Det er meget nemt at begynde at kritisere, men at tænke i lidt større perspektiver er straks sværere.

23
15. maj 2014 kl. 22:37

Der vil altid være nogle der hopper på en limpind. Det perfekte samfund, hvor intet dårligt eller ondt sker er utopi. Hvor der handles der spildes.
Man kan implementere nok så mange løsninger, og rette op på nok så mange fejl, de vil bare blive afløst af nogle nye problemstillinger. Det er meget nemt at begynde at kritisere, men at tænke i lidt større perspektiver er straks sværere.

Det er selvf. meget rigtigt... ...men fortæl os lige hvordan dette specifikke angreb ville kunne gennemføres hvis der ikke var noget papkort ?

Folk kan ikke finde ud af at holde deres personnr. hemmeligt, hvordan kan man tro at de vil kunne holde nøglekortet hemmeligt ?

24
15. maj 2014 kl. 23:16

Hvad er det man siger, hvis der er mennesker bag er der også mulighed for fejl? Man har løsninger med almindelige mennesker som brugere, hvor en lille del slet ikke kan beskytte sig imod it-kriminalitet som udgangspunkt. De skal jo have mulighed for at bruge denne løsning, og derfor må man nok også gøre en løsning så brugervenlig som mulig, hvorfor det altid vil åbne nogle sikkerhedshuller.

Men det kan jo godt betyde at der findes bedre løsninger. Jeg har bare lidt svært ved at se hvordan man kan balancere brugervenlighed for ikke-it kyndige, og sikkerhedsimplementeringer, uden at der altid vil opstå denne her slags uheld. Altså vi ønsker vel alle at eliminere kriminalitet og phishing og udnyttelse osv.

Men det skal helst ikke være med for store omkostninger.

Jeg er sikker på at så længe vi har it-analfabeter og MEGET naive mennesker som brugere, så vil phishere og svindlere have rig mulighed for at udnytte dem. Uanset teknisk løsning. Keylogger, phishing, osv. Elektronik er stadigvæk dumt så at sige, og der er også mennesker bag. En masse ting kan og vil gå galt. Og det er måske også godt det samme.

27
16. maj 2014 kl. 00:33

Hvad er det man siger, hvis der er mennesker bag er der også mulighed for fejl? Man har løsninger med almindelige mennesker som brugere, hvor en lille del slet ikke kan beskytte sig imod it-kriminalitet som udgangspunkt.

Hov! Det var jo lige præcis argumentationen bag NemID, det skulle være nemt og sikkert også for ikke IT-kyndige.

Men det skal helst ikke være med for store omkostninger.

Nårh nej, borgernes sikkerhed skal helst ikke koste noget... men hov, NemID har jo slet ikke været billig. NETS har genopfundet den dybe tallerken (3. gang) og taget sig rigeligt betalt for det.

Det er bevist at sikkerhed ikke er brugervenligt - det er teknisk umuligt at lave en sikker løsning som er brugervenlig. Det er der intet nyt i, kortet er definitivt ikke brugervenligt, NemID's nummergenerator er både sikrere og mere brugervenlig - men den koster 199,95.

34
16. maj 2014 kl. 10:57

Den koster nu kun kr. 99 inkl. forsendelse, hvilket er lidt mere end end en måneds Netflix abonnement.

Men hvad skulle det hjælpe at give de her folk sådan en nøgleviser.

Selvom du har sådan en så vil du stadigvæk skulle have dit papkort for at kunne bestille en ny nøgleviser hvis den gamle bliver defekt og du har ikke mulighed for at logge ind og vinge af "Nøglekort kan kun bruges til validering af indkøb af ny nøgleviser".

Ergo virker nøglekortet stadigvæk selvom du har en nøgleviser og får banditterne fat i et billede af nøglekortet så vil de alligevel kunne gøre lige hvad der passer dem.

Du kan ikke engang beskytte dig ved at undlade at aktivere OCES delen, for den aktiveres mig bekendt med en kode fra nøglekortet så får tyven fat i det så kan han aktivere OCES, ændre din folkeregister adresse og bede om at få sendt et nyt sygesikringsbevis til den nye adresse.

Vi har jo set i operation X hvordan man blot finder en adresse med masser af postkasser og hænger sin egen op og vupti så har man en anden mands identitet, hans sygesikringsbevis til ID og alle brevene som man modtager ryger i den kasse som ikke kan spores tilbage til en selv.

De ting man bestiller online i mandens navn får man leveret til en pakkepost boks eller uden omdeling og når man henter pakkerne så bruger man sygesikringsbeviset som ID.

40
17. maj 2014 kl. 10:55

Som jeg skriver så er nøglekortet en del af hele problemet. Der er masser af andre problemer også... bl.a. som du selv skriver: hvordan kan jeg være sikker på at H. Jensen som står på postkassen er den H. Jensen jeg tror jeg sender til (det kunne evt. løses med anbefalet brev).

41
17. maj 2014 kl. 17:39

Hvad ændrer det at sende brevet som anbefalet?

Skal man vise billed id for at få det udleveret?

42
17. maj 2014 kl. 21:30

Skal man vise billed id for at få det udleveret?

Man skal mig bekendt identificere sig ja.

Men med digital post ville det jo være ENDNU nemmere at undgå at andre end den rette modtager fik brevet.

Hvis brevet er krypteret med den offentlige nøgle som manden har sendt, så er det kun manden med den private nøgle som kan dekryptere brevet.

Ergo ville man kunne lægge det ganske offentligt så alle i teorien kunne hente det krypterede brev for kun rette vedkommende ville kunne læse det.

49
21. maj 2014 kl. 10:59

Man skal mig bekendt identificere sig ja.

Nej, det skal man ikke. Og det ville da også gøre anbefalet post ret ubrugeligt i et land som Danmark hvor ikke alle mennesker har et billed-ID.

I Tyskland har man noget der hedder PostIdent. Der går du på posthuset med billedlegitimation og får Deutsche Post til at validere din identitet. Det bruges fx i forbindelse med køb af SIM-kort, låneoptagelse eller andre penge/terror-følsomme sager hvor personligt fremmøde ellers ville være nødvendigt.

43
18. maj 2014 kl. 09:35

Men med digital post ville det jo være ENDNU nemmere at undgå at andre end den rette modtager fik brevet.

Du har lige "genopdaget" et af grundproblemerne i hele sikkerhedsproblematikken. :-)

Ja, hvis der står "Personligt" på det anbefalede brev skal der afleveres personligt men der står ikke noget om hvordan man skal identificere sig.

29
16. maj 2014 kl. 01:16
19
15. maj 2014 kl. 18:09

Altså hvis nu NemID folkene tog sig lidt sammen og implementerede DMARC så ville en email som den artiklen her handler om være blevet afvist totalt hos Google, Microsoft og Yahoo. Men der er nok lang vej igen, ikke engang en SPF record uden fejl formår man at strikke sammen hos NemID :-(

17
15. maj 2014 kl. 17:03

...at den "skudsikre" løsning NemID har valgt ikke er så skudsikker endda.

16
15. maj 2014 kl. 16:25

Evolutionen er ikke forbi, som nogle har hævdet. Der sker for tiden en kraftig selektion til fordel for de paranoide. Hvis altså det er en selektionsmæssig ulempe at blive blanket af eller på anden måde udnyttet.

Jeg kan kun se én løsning - og den bryder jeg mig slet ikke om.

13
15. maj 2014 kl. 15:39

Der er naturligvis forskel på hvor kyndige folk er mht. "edb og den slags" - men det er jo næsten ligeså dumt som hvis folk gik ned og hævede penge og proppede i en kuvert ved bænken i parken fordi "SKAT" havde ringet og bedt dem om de skulle betale deres restskat kontant..

Jeg var selv meget tæt på at trykke på linket på en "Google Drev" mail for et par uger siden - den var virkelig godt lavet - og kom fra en der kunne finde på at sende mig noget.. Det var kun fordi de havde skrevet noget med "vigtig besked" i overskriften - og det ved jeg vedkommende aldrig ville skrive... Så selv os der betragter os som Hajer - kan blive narret blot snyderiet er godt nok lavet..

Men måske netop det at det offentlige oftere kommunikerer med mail - gør at flere lader sig narre... og ikke automatisk tænker "hvorfor skulle de maile mig med det ?"

18
15. maj 2014 kl. 17:17

Det var på min private mail - men jeg har givet beskeden videre til min IT afdeling :-)

God Weekend

11
15. maj 2014 kl. 15:13

Husk at der findes mange slags mennesker. Disse personer kan I princippet være 75år og totalt nybegyndere inden for IT. Samtidigt vil de være fra en tid, hvor man er opdraget til at stole blindt på alt der er skrevet på flot brevpapir. Det er ikke de her mennesker man skal være sur på, men mere den stat som tvinger alle borgere til at bruge en løsning, som det måske kun er 80% der faktisk kan finde ud af. De sidste 20% vil med stor sansynlighed blive udsat for fup..

9
15. maj 2014 kl. 15:05

blot autoritetstro.

10
15. maj 2014 kl. 15:12

Jeg vil nu mene, det falder ind under god gammeldags stupiditet. Myndighederne påpeger jo netop at bruger-ID, kodeord og nøglekort er noget, du som bruger skal holde for dig selv. Så autoritetstro? Nej, det er altså bare dumt.

8
15. maj 2014 kl. 15:03

I det mindste lyver de ikke om HVEM de er! 'NemID Bedrageriafdelingen' :D

7
15. maj 2014 kl. 14:44

" uploade et foto af sit nøglekort eller indtaste dem én efter én. Desuden skulle man oplyse sit brugernavn og adgangskode til NemID."

Sorry. Disse folk skal have en medalje for at være SÅ naive

5
15. maj 2014 kl. 14:31

Der skal ikke ret mange naive mennesker til, før svindlere kan tjene mange penge -- og det er uanset om Internettet har været involveret eller ej. Det er urealistisk at tro, at man kan opdrage alle til at se forskel på phishing og "rigtige" tilbud, så enten må der laves effektive mailfiltre på netudbyderniveau eller også skal der laves tekniske hindringer, der mindsker tabet ved succesfuld phishing.

For eksempel bør kendskab til oplysninger ikke være nok til at få adgang til netbank m.m. Der skal et challenge/response system til, hvor challenge og response ikke er givet på forhånd. Så i stedet for et statisk kort, der viser fremtidige challenges og responses (som ved NemID), er det bedre med et elektronisk nøglekort, der bruger en skjult nøgle til at generere respons ud fra en challenge. Meget naive mennesker kan måske overtales til at sende det elektroniske kort med posten til en phisher, men hvis adressen er i udlandet, er det nok ikke så mange, der bider på.

Alternativt kan man bruge biometri: Man logger ind med en kombination af bruger-id, password, elektronisk nøglekort og fingeraftryk eller anden biometrisk måling. Så skal en phisher kunne efterligne dem alle for at få adgang. Det besværliggør godt nok loginprocessen, og erfaringer har vist, at folk vælger bekvemmelighed over sikkerhed, så man skal passe på ikke at overdrive.

47
19. maj 2014 kl. 10:54

biometri

Aldrig bruge biometri i sikkerhedssammenhæng. Lærer man ikke noget om sikkerhed på KU?

20
15. maj 2014 kl. 18:57

Der skal et challenge/response system til, ....</p>
<p>Alternativt kan man bruge biometri:

Eller alternativt kunne man have ladet være med at samle alle de private nøgler centralt og udstedte nøglekort til folk for at få adgang til den.

Men ja - ok... hvis man praktisk taget kan overtale folk til at forære en pengene, så kan man vel også overtale dem til at sætte et krypto-token i maskine, give en fjernstyring af computeren og koden til at bruge det med.

39
16. maj 2014 kl. 22:41

Hvis den ligger på et hardware-token?

http://www.youtube.com/watch?v=U7PnC1S-j4I

Chiptan f.eks.

Der skal ens dankort indsættes og så taster man det hele ind på skærmen, scanner en blinke-kode på skærmen og så står afsender, modtager og beløb på et display så man ikke kan lave MiTM angreb og ændre kontonummer og beløb og til sidst får man en kode på skærmen som skal tastes ind på computeren.

Måske en smule mere bøvlet, men utvivlsomt MEGET mere sikkert.

5
15. maj 2014 kl. 14:26

...er det blevet en forbrydelse af være dum? Det er da urimeligt at forlange, at man kun med et vist intelligensniveau, kan være en del af samfundet og endnu mere urimeligt at man ingen ret eller mulighed har, til at melde sig ud.

[forudsat at man overhovedet vil acceptere præmissen om intelligens]

44
19. maj 2014 kl. 01:16

Tjaeh ... ikke at jeg er uenig med dig, men jeg synes lige, jeg ville gøre opmærksom på, at det er en forbrydelse i Danmark at være glemsom ... tænk på alle dem, der har glemt at sætte P-skiven, og bum bum ... ind tikker der en parkeringsbøde ... eller glemmer at aflevere bøger ... og du bliver også økonomisk straffet i mange andre sammenhænge, hvis du glemmer ting ... så hvorfor skal de dumme gå fri?

Og faktisk er vi ret dumme allesammen, for vi tillod allesammen at NemID, som hverken er nemt eller sikkert , blev indført i første omgang ... ret dumt, hvis du spørger mig ;)

45
19. maj 2014 kl. 05:31

Og faktisk er vi ret dumme allesammen, for vi tillod allesammen at NemID, som hverken er nemt eller sikkert , blev indført i første omgang ... ret dumt, hvis du spørger mig ;)

Lige i den aktuelle sag hvor der blev udsendt phis med en @nemid.nu From adresse tilfalder æren eller skammen nu 100% NemID folkene, det kan bestemt ikke bebrejdes andre :-)

Jeg er ikke specielt ude efter NemID, noget lignende kunne være sket for alle andre som ikke tager emailsikkerhed alvorligt, jeg nævner i flæng: samtlige danske banker (minus Danske Bank som arbejder på sagen), SKAT, Nets, ISP'erne (minus TDC som arbejder på sagen)

4
15. maj 2014 kl. 14:26

Hvorfor har de f.eks. ikke offenliggjort DNS-navnet på serveren (eller IP). Jeg tror ikke engang dette er sandsyligt. (vi mangler stadig at CSIS frotæller hvilke sårbarhed der var i TDC wifi routerne og hvilke fabrikater/typenumre der var ramt) (Osse denne sag ser usandsynlig ud, sålænge man vælger at holde alle fakta hemmelige)

6
15. maj 2014 kl. 14:41

Brugere lukker gladeligt en inder der præsenterer sig som kommende fra Microsoft ind på deres computere og betaler for et "antivirus"-program med deres kreditkort mens vedkommende har en online-session med dem via Teamviewer.

Så ja, det er sandsynligt. Mange har måske endda billedet af nøglekortet på deres telefon i forvejen.

3
15. maj 2014 kl. 14:19

Jeg har grundlæggende ikke ondt af de folk der hopper på den slags. Er du decideret dum nok til at hoppe på den, så fortjener man også en lærestreg!

26
16. maj 2014 kl. 00:06

Jeg har grundlæggende ikke ondt af de folk der hopper på den slags. Er du decideret dum nok til at hoppe på den, så fortjener man også en lærestreg!

Du har ikke ondt af folk der er dumme og får problemer. Hvem har du så egentlig ondt af? Skal vi straffe mentalt handikappede, så de får en lærestreg for at være så dumme?

Vi skal da netop passe på dem, der ikke er smarte nok til selv at gøre det. Det er faktisk ret ignorant, måske ligefrem dumt, at tro at det skulle hjælpe nogen at straffe dem for at begå en sådan fejl.

2
15. maj 2014 kl. 14:12

Det er vel nærmest en foræring!

1
15. maj 2014 kl. 14:11

Kræver det ikke større intelligens at uploade et billede af sit NemID kort på en hjemmeside, end at vide at NemID + password ikke skal videregives til andre?