Danskere bider på krogen: Sender fotos af NemID-nøglekort til svindlere

Danskere har sendt fotos af deres nøglekort med engangskoder til NemID til svindlere, som i en phishing-mail påstod, at der var en fejl med modtagerens nøglekort.

Det var én af de phishing-kampagner, hvor det som it-professionel nok var svært at forestille sig, at nogen skulle bide på krogen. Men det gjorde de alligevel, rapporterer sikkerhedsfirmaet CSIS.

Modtageren fik en mail, hvor afsenderen udgav sig for at være fra 'NemID Bedrageriafdelingen'. Ifølge mailen var der registreret en fejl ved modtagerens kort med engangskoder til NemID.

Derfor skulle modtageren følge et link til en hjemmeside, hvor han kunne uploade et foto af sit nøglekort eller indtaste dem én efter én. Desuden skulle man oplyse sit brugernavn og adgangskode til NemID.

Det ville nok vække mistanke hos de fleste, men ifølge CSIS er der danskere, der er faldet i fælden i løbet af de foreløbig fire gange, phishing-kampagnen har kørt.

Illustration: CSIS

Sikkerhedsfirmaet har således opsnappet nogle af de billeder, som danske ofre for kampagnen har indsendt, hvor man klart og tydeligt kan læse alle engangskoderne. Enkelte har dog også ifølge CSIS benyttet lejligheden til at give svindlerne en personlig billedhilsen af en noget anden karakter.

CSIS oplyser til Version2, at sikkerhedsfirmaet har trukket billederne ud fra den server, som svindlerne har brugt.

Med både den almindelige adgangskode og oplysningerne fra nøglekortet ville svindlerne have fuld adgang til ofrets bankkonti, skattepapirer og andre personlige dokumenter og reelt have gennemført et komplet identitetstyveri.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (51)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Carsten Olsen

Hvorfor har de f.eks. ikke offenliggjort DNS-navnet på serveren (eller IP). Jeg tror ikke engang dette er sandsyligt. (vi mangler stadig at CSIS frotæller hvilke sårbarhed der var i TDC wifi routerne og hvilke fabrikater/typenumre der var ramt) (Osse denne sag ser usandsynlig ud, sålænge man vælger at holde alle fakta hemmelige)

Thomas Nielsen

...er det blevet en forbrydelse af være dum? Det er da urimeligt at forlange, at man kun med et vist intelligensniveau, kan være en del af samfundet og endnu mere urimeligt at man ingen ret eller mulighed har, til at melde sig ud.

[forudsat at man overhovedet vil acceptere præmissen om intelligens]

Torben Mogensen Blogger

Der skal ikke ret mange naive mennesker til, før svindlere kan tjene mange penge -- og det er uanset om Internettet har været involveret eller ej. Det er urealistisk at tro, at man kan opdrage alle til at se forskel på phishing og "rigtige" tilbud, så enten må der laves effektive mailfiltre på netudbyderniveau eller også skal der laves tekniske hindringer, der mindsker tabet ved succesfuld phishing.

For eksempel bør kendskab til oplysninger ikke være nok til at få adgang til netbank m.m. Der skal et challenge/response system til, hvor challenge og response ikke er givet på forhånd. Så i stedet for et statisk kort, der viser fremtidige challenges og responses (som ved NemID), er det bedre med et elektronisk nøglekort, der bruger en skjult nøgle til at generere respons ud fra en challenge. Meget naive mennesker kan måske overtales til at sende det elektroniske kort med posten til en phisher, men hvis adressen er i udlandet, er det nok ikke så mange, der bider på.

Alternativt kan man bruge biometri: Man logger ind med en kombination af bruger-id, password, elektronisk nøglekort og fingeraftryk eller anden biometrisk måling. Så skal en phisher kunne efterligne dem alle for at få adgang. Det besværliggør godt nok loginprocessen, og erfaringer har vist, at folk vælger bekvemmelighed over sikkerhed, så man skal passe på ikke at overdrive.

Mads Bendixen

Brugere lukker gladeligt en inder der præsenterer sig som kommende fra Microsoft ind på deres computere og betaler for et "antivirus"-program med deres kreditkort mens vedkommende har en online-session med dem via Teamviewer.

Så ja, det er sandsynligt. Mange har måske endda billedet af nøglekortet på deres telefon i forvejen.

martin nyhjem

Husk at der findes mange slags mennesker.
Disse personer kan I princippet være 75år og totalt nybegyndere inden for IT. Samtidigt vil de være fra en tid, hvor man er opdraget til at stole blindt på alt der er skrevet på flot brevpapir.
Det er ikke de her mennesker man skal være sur på, men mere den stat som tvinger alle borgere til at bruge en løsning, som det måske kun er 80% der faktisk kan finde ud af.
De sidste 20% vil med stor sansynlighed blive udsat for fup..

Kim Hansen

Der er naturligvis forskel på hvor kyndige folk er mht. "edb og den slags" - men det er jo næsten ligeså dumt som hvis folk gik ned og hævede penge og proppede i en kuvert ved bænken i parken fordi "SKAT" havde ringet og bedt dem om de skulle betale deres restskat kontant..

Jeg var selv meget tæt på at trykke på linket på en "Google Drev" mail for et par uger siden - den var virkelig godt lavet - og kom fra en der kunne finde på at sende mig noget.. Det var kun fordi de havde skrevet noget med "vigtig besked" i overskriften - og det ved jeg vedkommende aldrig ville skrive... Så selv os der betragter os som Hajer - kan blive narret blot snyderiet er godt nok lavet..

Men måske netop det at det offentlige oftere kommunikerer med mail - gør at flere lader sig narre... og ikke automatisk tænker "hvorfor skulle de maile mig med det ?"

Michael Weber
Ditlev Petersen

Evolutionen er ikke forbi, som nogle har hævdet. Der sker for tiden en kraftig selektion til fordel for de paranoide. Hvis altså det er en selektionsmæssig ulempe at blive blanket af eller på anden måde udnyttet.

Jeg kan kun se én løsning - og den bryder jeg mig slet ikke om.

Henrik Schack

Altså hvis nu NemID folkene tog sig lidt sammen og implementerede DMARC så ville en email som den artiklen her handler om være blevet afvist totalt hos Google, Microsoft og Yahoo.
Men der er nok lang vej igen, ikke engang en SPF record uden fejl formår man at strikke sammen hos NemID :-(

Peter Mogensen

Der skal et challenge/response system til, ....

Alternativt kan man bruge biometri:

Eller alternativt kunne man have ladet være med at samle alle de private nøgler centralt og udstedte nøglekort til folk for at få adgang til den.

Men ja - ok... hvis man praktisk taget kan overtale folk til at forære en pengene, så kan man vel også overtale dem til at sætte et krypto-token i maskine, give en fjernstyring af computeren og koden til at bruge det med.

Isaac Rajman

Der vil altid være nogle der hopper på en limpind. Det perfekte samfund, hvor intet dårligt eller ondt sker er utopi. Hvor der handles der spildes.
Man kan implementere nok så mange løsninger, og rette op på nok så mange fejl, de vil bare blive afløst af nogle nye problemstillinger. Det er meget nemt at begynde at kritisere, men at tænke i lidt større perspektiver er straks sværere.

Kristian Bjørklund

For nyligt fik jeg en ret ringe fremstillet phising mail, der skulle forestille at komme fra SKAT. Jeg slettede den straks og gik videre med min dag.

Nogle uger senere fik jeg med brevpost en rykker med et gebyr på 600 kr. Jeg greb telefonen og ringede til SKAT, som (efter lidt ventetid) fortalte mig, at jeg havde undladt at reagere på den mail, de havde sendt.
Jeg fik mailen gendannet og kunne ved nærmere eftersyn på headeren godt se, at den faktisk så god nok ud - udseendet af selve mailen var bare hjælpeløst og selvom sproget var næsten (!) grammatisk korrekt, så var det ikke det professionelle niveau, jeg instinktivt havde ventet.

Jeg ville foretrække, hvis SKAT, NemId, EogS mv. ophører med at sende mig ukrypterede email med vigtige informationer og med links, som jeg skal klikke på.

Jeg tror faktisk, jeg vil få svært ved at forklare alle i de ældre generationer af min egen familie, hvordan de med usvigtelig sikkerhed navigerer mellem falske og ægte mails (og det skal jo være usvigteligt - for blot een fejl kan være katastrofal).
Det nemmeste var måske, hvis jeg kunne sige til dem: Der kommer aldrig mails fra SKAT.
Eller måske bare: Der kommer aldrig mails fra SKAT med links i.
Men end ikke det, kan jeg garantere dem.

Maciej Szeliga
Isaac Rajman

Hvad er det man siger, hvis der er mennesker bag er der også mulighed for fejl? Man har løsninger med almindelige mennesker som brugere, hvor en lille del slet ikke kan beskytte sig imod it-kriminalitet som udgangspunkt.
De skal jo have mulighed for at bruge denne løsning, og derfor må man nok også gøre en løsning så brugervenlig som mulig, hvorfor det altid vil åbne nogle sikkerhedshuller.

Men det kan jo godt betyde at der findes bedre løsninger. Jeg har bare lidt svært ved at se hvordan man kan balancere brugervenlighed for ikke-it kyndige, og sikkerhedsimplementeringer, uden at der altid vil opstå denne her slags uheld.
Altså vi ønsker vel alle at eliminere kriminalitet og phishing og udnyttelse osv.

Men det skal helst ikke være med for store omkostninger.

Jeg er sikker på at så længe vi har it-analfabeter og MEGET naive mennesker som brugere, så vil phishere og svindlere have rig mulighed for at udnytte dem. Uanset teknisk løsning. Keylogger, phishing, osv.
Elektronik er stadigvæk dumt så at sige, og der er også mennesker bag. En masse ting kan og vil gå galt. Og det er måske også godt det samme.

Jens loggo

Jeg har grundlæggende ikke ondt af de folk der hopper på den slags. Er du decideret dum nok til at hoppe på den, så fortjener man også en lærestreg!

Du har ikke ondt af folk der er dumme og får problemer. Hvem har du så egentlig ondt af? Skal vi straffe mentalt handikappede, så de får en lærestreg for at være så dumme?

Vi skal da netop passe på dem, der ikke er smarte nok til selv at gøre det. Det er faktisk ret ignorant, måske ligefrem dumt, at tro at det skulle hjælpe nogen at straffe dem for at begå en sådan fejl.

Maciej Szeliga

Hvad er det man siger, hvis der er mennesker bag er der også mulighed for fejl? Man har løsninger med almindelige mennesker som brugere, hvor en lille del slet ikke kan beskytte sig imod it-kriminalitet som udgangspunkt.


Hov! Det var jo lige præcis argumentationen bag NemID, det skulle være nemt og sikkert også for ikke IT-kyndige.

Men det skal helst ikke være med for store omkostninger.


Nårh nej, borgernes sikkerhed skal helst ikke koste noget... men hov, NemID har jo slet ikke været billig. NETS har genopfundet den dybe tallerken (3. gang) og taget sig rigeligt betalt for det.

Det er bevist at sikkerhed ikke er brugervenligt - det er teknisk umuligt at lave en sikker løsning som er brugervenlig. Det er der intet nyt i, kortet er definitivt ikke brugervenligt, NemID's nummergenerator er både sikrere og mere brugervenlig - men den koster 199,95.

Lars Skovlund
Henrik Madsen

Den koster nu kun kr. 99 inkl. forsendelse, hvilket er lidt mere end end en måneds Netflix abonnement.

Men hvad skulle det hjælpe at give de her folk sådan en nøgleviser.

Selvom du har sådan en så vil du stadigvæk skulle have dit papkort for at kunne bestille en ny nøgleviser hvis den gamle bliver defekt og du har ikke mulighed for at logge ind og vinge af "Nøglekort kan kun bruges til validering af indkøb af ny nøgleviser".

Ergo virker nøglekortet stadigvæk selvom du har en nøgleviser og får banditterne fat i et billede af nøglekortet så vil de alligevel kunne gøre lige hvad der passer dem.

Du kan ikke engang beskytte dig ved at undlade at aktivere OCES delen, for den aktiveres mig bekendt med en kode fra nøglekortet så får tyven fat i det så kan han aktivere OCES, ændre din folkeregister adresse og bede om at få sendt et nyt sygesikringsbevis til den nye adresse.

Vi har jo set i operation X hvordan man blot finder en adresse med masser af postkasser og hænger sin egen op og vupti så har man en anden mands identitet, hans sygesikringsbevis til ID og alle brevene som man modtager ryger i den kasse som ikke kan spores tilbage til en selv.

De ting man bestiller online i mandens navn får man leveret til en pakkepost boks eller uden omdeling og når man henter pakkerne så bruger man sygesikringsbeviset som ID.

Jørgen L. Sørensen

Jeg undrer mig lidt over at sikkerhedsfirmaet kan opsnappe nogle af billederne samt trække dem ud af "svindlernes" server.

1: Har sikkerhedsfirmaet overvåget trafikken på nettet siden de har opsnappet nogle af billederne? Jeg opfatter "opsnappe" noget som man gør uden at hverken afsender eller modtager ved det/har givet tilladelse.

2: Hvorledes kan sikkerhedsfirmaet trække billederne ud (vel nærmest flytte eller slette dem) - det kan vel normalt ikke lade sig gøre for uvedkommende, som sikkerhedsfirmaet er i forhold til svindlerne?

Det er denne del af artiklen der undrer mig:
"Sikkerhedsfirmaet har således opsnappet nogle af de billeder, som danske ofre for kampagnen har indsendt, hvor man klart og tydeligt kan læse alle engangskoderne. Enkelte har dog også ifølge CSIS benyttet lejligheden til at give svindlerne en personlig billedhilsen af en noget anden karakter.

CSIS oplyser til Version2, at sikkerhedsfirmaet har trukket billederne ud fra den server, som svindlerne har brugt."

Henrik Madsen

Hvis den ligger på et hardware-token?

http://www.youtube.com/watch?v=U7PnC1S-j4I

Chiptan f.eks.

Der skal ens dankort indsættes og så taster man det hele ind på skærmen, scanner en blinke-kode på skærmen og så står afsender, modtager og beløb på et display så man ikke kan lave MiTM angreb og ændre kontonummer og beløb og til sidst får man en kode på skærmen som skal tastes ind på computeren.

Måske en smule mere bøvlet, men utvivlsomt MEGET mere sikkert.

Maciej Szeliga

Som jeg skriver så er nøglekortet en del af hele problemet.
Der er masser af andre problemer også... bl.a. som du selv skriver:
hvordan kan jeg være sikker på at H. Jensen som står på postkassen er den H. Jensen jeg tror jeg sender til (det kunne evt. løses med anbefalet brev).

Henrik Madsen

Skal man vise billed id for at få det udleveret?

Man skal mig bekendt identificere sig ja.

Men med digital post ville det jo være ENDNU nemmere at undgå at andre end den rette modtager fik brevet.

Hvis brevet er krypteret med den offentlige nøgle som manden har sendt, så er det kun manden med den private nøgle som kan dekryptere brevet.

Ergo ville man kunne lægge det ganske offentligt så alle i teorien kunne hente det krypterede brev for kun rette vedkommende ville kunne læse det.

Maciej Szeliga

Men med digital post ville det jo være ENDNU nemmere at undgå at andre end den rette modtager fik brevet.

Du har lige "genopdaget" et af grundproblemerne i hele sikkerhedsproblematikken. :-)

Ja, hvis der står "Personligt" på det anbefalede brev skal der afleveres personligt men der står ikke noget om hvordan man skal identificere sig.

Joanna Olsen

Tjaeh ... ikke at jeg er uenig med dig, men jeg synes lige, jeg ville gøre opmærksom på, at det er en forbrydelse i Danmark at være glemsom ... tænk på alle dem, der har glemt at sætte P-skiven, og bum bum ... ind tikker der en parkeringsbøde ... eller glemmer at aflevere bøger ... og du bliver også økonomisk straffet i mange andre sammenhænge, hvis du glemmer ting ... så hvorfor skal de dumme gå fri?

Og faktisk er vi ret dumme allesammen, for vi tillod allesammen at NemID, som hverken er nemt eller sikkert , blev indført i første omgang ... ret dumt, hvis du spørger mig ;)

Henrik Schack

Og faktisk er vi ret dumme allesammen, for vi tillod allesammen at NemID, som hverken er nemt eller sikkert , blev indført i første omgang ... ret dumt, hvis du spørger mig ;)

Lige i den aktuelle sag hvor der blev udsendt phis med en @nemid.nu From adresse tilfalder æren eller skammen nu 100% NemID folkene, det kan bestemt ikke bebrejdes andre :-)

Jeg er ikke specielt ude efter NemID, noget lignende kunne være sket for alle andre som ikke tager emailsikkerhed alvorligt, jeg nævner i flæng: samtlige danske banker (minus Danske Bank som arbejder på sagen), SKAT, Nets, ISP'erne (minus TDC som arbejder på sagen)

Kristian Thy

Man skal mig bekendt identificere sig ja.

Nej, det skal man ikke. Og det ville da også gøre anbefalet post ret ubrugeligt i et land som Danmark hvor ikke alle mennesker har et billed-ID.

I Tyskland har man noget der hedder PostIdent. Der går du på posthuset med billedlegitimation og får Deutsche Post til at validere din identitet. Det bruges fx i forbindelse med køb af SIM-kort, låneoptagelse eller andre penge/terror-følsomme sager hvor personligt fremmøde ellers ville være nødvendigt.

Log ind eller Opret konto for at kommentere