Så skete det igen. Der er lykkedes en eller flere kriminelle bagmænd af franarre NemID-brugere, deres loginoplysninger, som bagmændene derefter har brugt til at begå indbrud i ofrenes netbank.
Denne gang er det gået udover Danske Bank, og selvom angrebet teknisk adskiller sig en smule fra det angreb, der i september 2011 gik udover en række Nordea kunder, så er der grundlæggende tale om samme type angreb. Nemlig et såkaldt realtime phishing-angreb, hvor de kriminelle sidder klar til at anvende en nøgle fra brugerens nøglekort, så snart ofret bliver lokket til at indtaste den i et falskt vindue.
It-sikkerhedsekspert og direktør i Fortconsult Ulf Munkedal var i forlængelse af det første netbankangreb og i forbindelse med den demonstrations-video, Version2 producerede på baggrund af angrebet, ude med riven i forhold til det grundlæggende design i NemID, som blandt andet betyder, at løsningen er sårbar overfor realtime phishing-angreb. Og det kommer da heller ikke bag på sikkerhedseksperten, at det nu igen er lykkedes for kriminelle at begå indbrud i en netbank beskyttet med NemID.
»Der har jo beviseligt været et fald i antallet af netbankindbrud i en periode, men nu begynder hackerne at vinde ind på systemet igen, hvilket var forudsigeligt. NemID har givet os et forspring i våbenkapløbet, men nu skal vi finde på vores nyt, ellers kommer hackerne til at overhale os,« siger Ulf Munkedal.
Han efterlyser en ny og åben designfase til et system, der kan afløse eller opgradere sikkerheden i det nuværende NemID, som altså i praksis har vist sig sårbart ved flere lejligheder overfor man-in-the-middle-baserede realtime-phishing angreb.
»Det, der for alvor bekymrer mig, er at NemID skal udbredes til hele den danske infrastruktur. Så synes jeg, det bliver alvorligt. Jo mere, vi får det udbredt NemID, jo mere kompromisløse bliver vi også nødt til at være. Jo mindre kan vi tillade os at have en lavpraktisk holdning til sikkerheden,« siger Ulf Munkedal og tilføjer:
»Bankerne kan jo selv styre, hvor stor en risiko, de ønsker at tage, men det danske samfund, med alle de sites, det logger ind til og intentionen om, hvordan NemID skal udbredes, der bliver vi altså nødt til at være lidt mere kompromisløse med sikkerheden.«
Han håber, at der nu vil blive rejst en åben debat om, hvordan sikkerheden i NemID kan forbedres med gode argumenter for og imod alternativer.