Adskillige NemID-svindelsager: Bruger keylogger og fisker nøglekort op af postkassen

Ved at aflure NemID-login og bestille nye nøglekort har svindlere franarret folk millioner.

Et svindelfænomen mod NemID har ramt Danmark. Det fortæller Ekstra Bladet.

Mediet oplyser, at flere sager bliver oprullet i danske retssale i disse måneder, og at der er tale om databedrageri for millioner. I alle tilfælde skulle svindlen være foregået på samme vis.

De kriminelle starter med at udstyre offentlige computere på eksempelvis biblioteker og skoler med en fysisk keylogger placeret mellem tastatur og computer. På den måde får svindlerne fat i NemID-brugernavn og kodeord, hvis offeret eksempelvis logger på netbanken.

Alene med brugernavn og kodeord kan svindlerne nu bestille et nyt nøglekort på vegne af offeret.

Det fremgår ikke af Ekstra Bladets artikel, præcist hvor og hvordan det foregår. Men det er i hvert fald muligt via NemID-selvbetjeningssiden nemid.nu at bestille nyt nøglekort via brugernavnet og adgangskoden, har Version2 konstateret. Her vil nogen måske også mene, der er plads til generelle usability-forbedringer i løsningen.

Det nuværende nøglekort bliver spærret omgående efter indtastning af brugernavn og adgangskode på NemID-selvbetjeningssiden i forbindelse med bestilling af et nyt nøglekort.

Da Version2 havde indtastet brugernavn og kodeord, dukkede der således en besked op om, at det nuværende nøglekort var spærret, og et nyt var på vej.

Her kunne det umiddelbart være oplagt at bede brugeren tilkendegive, at han eller hun var indforstået med, at det nuværende nøglekort ville blive spærret og et nyt fremsendt, inden det faktisk skete. (Vi venter spændt på et nyt nøglekort.)

Nets er i dialog med Digitaliseringsstyrelsen

Tilbage til Ekstra Bladets fortælling. Her fremgår det, at når kortet ankommer til den rigtige ejers adresse, fiskes det op af modtagerens fysiske postkasse, hvorefter der optages store lån og stjæles penge fra offerets bankkonto.

I en kæmpe sag fra Aarhus lykkedes det på den måde en nu dømt yngre mand at franarre otte tilfældige ofre næsten to millioner kroner, oplyser mediet.

Også i Sønderjylland er den gal. Her har politiet netop fået tre yngre personer varetægtsfængslet i en lignende sag, hvor blandt andet computere på biblioteker skulle være blevet brugt i forbindelse med svindlen.

Pressechef hos NemID-leverandøren Nets Søren Winge siger til Ekstra Bladet:

»Misbrug af NemID er en meget alvorlig sag, og vi skal gøre, hvad vi kan for at sætte ind overfor problemet.«

Pressechefen bliver også spurgt om, hvad Nets vil gøre for at løse problemet. Han oplyser i den forbindelse, at Nets er i dialog med Digitaliseringsstyrelsen.

»Vi overvejer i øjeblikket, hvad vi konkret vil gøre for at forebygge misbrug af NemID. Af indlysende årsager kan vi ikke komme nærmere ind på, hvilke tiltag vi overvejer,« siger Søren Winge til Ekstra Bladet.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (28)
Lenni Madsen

"Her kunne det umiddelbart være oplagt at bede brugeren tilkendegive, at han eller hun var indforstået med, at det nuværende nøglekort ville blive spærret og et nyt fremsendt, inden det faktisk skete."

Når nu forbryderne har login og password til nemID, hvorledes skulle ovenstående så sikre noget som helst? Forbryderne ville jo bare logge ind på nemid.nu og godkende med de stjålne credentials.

Jakob Møllerhøj Journalist

Når nu forbryderne har login og password til nemID, hvorledes skulle ovenstående så sikre noget som helst? Forbryderne ville jo bare logge ind på nemid.nu og godkende med de stjålne credentials.

Hej Lenni. Pointen er ikke, at det vil forhindre misbrug, men at en legitim bruger måske burde få en chance for at undgå et spærret nøglekort, hvis han eller hun - eksempelvis af nysgerrighed - indtaster brugernavn og kodeord på den pågældende side. Jakob - V2.

Jan Heisterberg

Det ville være rart at vide, hvad konsekvenserne af denne svindel er ?
Hvis der svindles for kr.10 mio i forhold til kr.10 mia, så er det jo bare en promille - og det er en ringe omkostning.

Anderledes med e.g. sygdomsinformation og andet personligt.

Men det undrer mig lidt hvordan forbryderne for fingre i det nye nøglekort ?
Tømmer de postkassen hver dag ? Har de opdaget, at nøglekortet ALTID dukker op x +/-1 dag senere ?

Den simple løsning er jo at sende nøglekortet som "pakke", der kræver afhentning i en pakke-shop. Mindre brugervenligt, men .....

Eller at nøglekortet skal aktiveres efter modtagelsen - ved brug af engangskode til en telefon.

Måske kan en kombination af sådanne løsninger afdække 99% af brugerne.
Og så er der gamle fru Jensen uden mobiltelefon tilbage .... men det er så den sidste procent som løber risikoen og det kan bankerne så dække af.

Morten Fordsmand

Netop det faktum at nøglekortet spærres er en fordel for sikkerheden.

Da det betyder at den korrekte bruger vil opdage hvis de selv forsøger en login inden identitetstyveriet er gennemført.

Bemærk i øvrigt at denne type identitetstyveri er ret krævende da den stiller krav om tre indgreb:
1) Opsnapning af ID&password (keylogger)
2) Kendskab til hjemmeadresse
3) Vellykket indbrud i postkasse, opg dermed brud på brevhemmligheden.

Bjarne Nielsen

3) Vellykket indbrud i postkasse, opg dermed brud på brevhemmligheden.

Der er ingen tvivl om, at denne del er det, som skalerer dårligst. Specielt hvis man skulle sidde i udlandet og derfor må entrere med lokale "mulddyr".

Dog er det ikke vanskeligt at få posten direkte i hånden i vores villaområder, hvis man opholder sig på matriklen når man møder posten. Der er sikkert andre genveje.

Jakob Møllerhøj Journalist

Mon ikke siden er lavet til folk, som rent faktisk har mistet deres nøglekort, og ikke med nysgerrige journalister for øje?

Jo, du har utvivlsomt ret. Når det er sagt, er det vel meget almindeligt med en eller anden bekræftelses-knap i denne slags usecases?

Vi har i hvert fald fået en henvendelse fra en - antageligt - ikke-journalist, der umiddelbart også blev overrasket over uden videre at få spærret nøglekortet efter indtastning af brugernavn og adgangskode. Jakob - V2.

Ps. Og tak for tippet ift. Borgerservice :-)

René Nielsen

2) Kendskab til hjemmeadresse


Jeg tror ikke at det er så svært at få postadressen uden at logge på nem-id.

Hvis du bruger en offentlig PC til ”nemid-forretninger” så bruger du sikkert også PC’en til web-mails og mon ikke der er keylogget web-adresse, brugernavn og password til denne?

Her kan findes emails med tilsendte kvitteringer, faktura, lønsedler og lignende med postadresse og andre personlige oplysninger på.

Ditlev Petersen

at vi får bekræftet den onde mistanke om, at det er ret usikkert at bruge en offentlig pc på f.eks. et bibliotek til følsomme forretninger. Og at mennesker, der ikke har en egen pc (eller lignende) er meget udsatte. Man kan da antage, at f.eks. en hjemløs næppe kan få lænset sin kontor for millioner, men de folk bliver skubbet yderligere uden for "det gode selskab".

Og vi kan heller ikke forvente, at alle mennesker skal være både paranoide, teknisk begavede samt kende til alskens former for it-bedrageri for at kunne begå sig. Lige som vi heller ikke forventer, at en bilist starter med at kontrollere, at alle fire hjul er spændt fast (selv om loven vist kræver sådan en inspektion af lygter, signalapparater m.v.). Vi kræver mere af andre, end vi selv lever op til.

Jens Hansen

Men som en anden pointere, det her er jo ikke en lige til løsning, og noget mere kompliceret end at aflure en pinkode og snuppe en pung.. Eller bare snuppe en pung hvis folk har kontanter..

Når forbryderen har langt sådan en forholdsvis vidtgående plan, der kræver fysisk tilstedeværelse flere steder, så er det næppe muligt helt at begrænse misbruget... men self kan man altid vurdere hvor nemt det skal være at f.eks. få tilsendt et nyt kodekort..

Mark Klitgaard

Netop det faktum at nøglekortet spærres er en fordel for sikkerheden.

Da det betyder at den korrekte bruger vil opdage hvis de selv forsøger en login inden identitetstyveriet er gennemført.

Jeg vil mene at det er lidt problematisk at der ikke er andre advarselslamper end hvis man logger ind. F.eks. skal jeg først bruge nøglekort til min netbank når jeg overfører penge til andre konti end mine egne, hvilket er sjældent.

Det ville være bedre hvis man også fik en email og sms som gjorde opmærksom på at nu er kortet spærret, så ville der var en markant større chance for at folk opdager det inden deres nye kort bliver stjålet.

Lars Nielsen

Det løser næppe noget at sende et email. Angriberen har sikkert kontrol over offerets mail box da keyloggeren øjensynligt har opsnappet det (offer checker mail fra samme PC som han bruger nemId). Men end SMS ville kræve yderligere et angreb.

Poul-Henning Kamp Blogger

Mange af hullerne i NemID er designproblemer, fordi man ikke vil bruge pengene på at lave sikkerheden færdig.

At bestille et nyt nøglekort skal naturligvis kun kunne gøres autonomt hvis man har det forrige nøglekort.

Præcis hvad proceduren skal være for at bestille nyt kort uden det gamle kan der diskuteres om, men det skal ikke kunne gøres autonomt, for det åbner netop for det hul der her er udnyttet ved at fjerne "noget du har" komponenten.

Ved mobiltelefoners SIM kode har man gjort det med et ekstra lag af "PUK" koder og man kunne have gjort noget tilsvarende for NemID.

Giv folk to slags NemID papkort: Et til normal brug og et til at bestille nye normale kort med (det kunne f.eks have bogstaver istedet for tal).

Hermed ville den nødvendige manuelle håndtering være reduceret til dem der har smidt begge kort væk.

Michael Cederberg

Stor nok til at det kan betale sig.

Og husk på de skal kun bruge kort nummer 2 hvis de har mistet kort nummer 1.

Jeg tvivler. Hvis folk hvert andet år smider et nøglekort væk, så vil mange for længst have glemt hvor kort #2 er gemt. Men måske kunne man blot kræve at hvis man smider sit nøglekort væk, så skal det nye hentes hos borgerservice mod fremvisning af ID.

Chresten Christensen

Hvis man indføre gebyr på at bestille et papkort uden for, normal autobestilling. Som skal betales med dankort eller andet kort, har man en anden sikkerheds procedure, og man kan gøre denne bestilling betinget af der bestilles med et kort som tilhøre personen fra NemID, jeg går ud fra at Nets, har disse oplysninger let tilgængelig.
PS bruges denne ide, så vil en erkendtlighed være prisværdig...:D:)

Mark Klitgaard
Chresten Christensen

1)
Det virker dog ikke hvis man udover at logge ind med NemID på en offentlig computer også lige har købt et par sko, så har keyloggeren også de oplysninger.
ad 1)
Nej selvfølgelig gør det ikke det, men hvor ofte sker det?
Og hvis de har dankort oplysningerne så har de allered det de er ude efter.

Mark Klitgaard

Nej selvfølgelig gør det ikke det, men hvor ofte sker det?
Og hvis de har dankort oplysningerne så har de allered det de er ude efter.

Mit umiddelbare gæt er at hvis man bruger en offentlig computer til NemID, bruger man den nok også til andre online ting.

Ift. Dankortet er jeg ikke enig. Ideen er at få adgang til NemID login for at kunne optage lån hvilket resulterer i væsentligt flere penge end svindel med et enkelt dankort inden dankortet bliver lukket. Desuden er lån lig med direkte penge hvor dankort svindel vil involvere køb af ting online eller lign., eftersom de ikke har selve kortet med det beskrevne setup.

Chresten Christensen

”Mit umiddelbare gæt er at hvis man bruger en offentlig computer til NemID, bruger man den nok også til andre online ting.

Mit gæt vil være at folk sætter deres lid, til at papkorte virker, og derfor giver en ekstra sikkerhed, når man bruger det, modsat dankortet, og derfor er mere sikker at bruge. Hvad også artikler giver udtryk for. Og derfor er mere tilbøjelig til at bruge NemID online.
Nu skal det jo ikke blive til en konkurrence på hvor nemt det er at misbruge de forskellige betalingsmidler, lad os bare sige jeg tro det kan lade sig gør at få penge ud direkte fra dankort.

Bo Zachariasen

Hvis man vil gøre noget ved dette konkrete hul, hvilket afhænger af hvor stor anvendelsen af hullet er, så kunne man forbyde offentlige computer med keyboard hvortil der let kan tilsluttes den benyttede keylogger hvilket kan gøres med fysiske anordninger omkring Desktop computeren eller ved at anvende laptops, der har indbygget keyboard. Dertil kunne man indføre et forbud mod at bruge nemid på offentlige computer uden at bruge skærmkeyboard og en påmindelse om dette hvis IP adressen tilhørere en offentlig tilgængelig computer eller er anderledes end den IP adresse som brugeren normalt bruger.

Forbryderen vil selvfølgelig søge andre veje og fx inficere med sniffer software (skærmdump m.v) hvorfor der måske skal stilles krav om at offentlige tilgængelige computere skal have installeret danske Bitrater.

Samt at NemID forsat skal viserudvikles ligesom alt muligt andet som fx biler, fly og løbesko.

Men 100% sikkerhed eksistere ikke, men vi arbejde på at komme tættere på.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 10:31

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017