Hacket for 270.000 kroner: Nogen fik banken til at sende nyt NemID-nøglekort til Ronja

Ronja Larsen blev i alt tappet for 270.000 kroner af de ukendte hackere, der tydeligvis havde fået adgang til hendes NemID’s bruger­navn, hendes CPR-nummer og adgangskoden. Illustration: Lasse Gorm Jensen
Ingeniøren og Version2 gennemgår her det NemID-baserede angreb, der kostede Ronja Larsen hendes digitale identitet og 270.000 kr.

»Jeg blev sur på min kæreste. Han sad og grinede helt vildt,« begynder den 29-årige lærer Ronja Larsen, der er denne kriminalfortællings ufrivillige hovedperson.

Da kærestens hysteriske grin stopper, og han kigger op fra computeren, siger han:

»Jeg tror, du skal ringe til din bank.«

Herfra buldrer det ned ad bakke. Pludselig er alle Ronjas konti tomme, der er optaget store kviklån, hendes mobil holder pludselig op med at virke, og der er blevet købt en dyr iPhone. Alt sammen i hendes navn, signeret med hendes NemID.

Ronja Larsen blev i alt tappet for 270.000 kroner af de ukendte hackere, der tydeligvis havde fået adgang til hendes NemID’s bruger­navn, hendes CPR-nummer og adgangskoden.

Men hvordan i alverden havde de fået fat i et helt nyt nøglekort, så de kunne tilgå hendes konti og deaktivere hendes gamle nøglekort?

Svaret ligger i den log, der beskriver alle indlogninger foretaget med Ronjas NemID. Og forsøg på samme.

Ingeniøren har gennemgået loggen og fundet en linje, der er særligt interessant. Midt imellem diverse indlogninger og informationer som ip-adresser, tidspunkt og handling er der et blankt felt.

Ingen ip-adresse, ingen enhed. Kun en handling.

»Nyt nøglekort bestilt. Arbejdernes Landsbank«

Og det var denne lille handling, der ledte os på sporet af den svaghed i NemID, der pryder ugens forside.

Gennem loggen og informationer fra Ronja Larsen har vi rekonstrueret angrebet, der på en og samme tid er kompliceret og professionelt udført – og såre simpelt. For at hæve den betragtelige sum fra Ronjas konti skulle tyven bruge to hårnåle, et dansk ordforråd og en mobil­telefon. Derudover – sandsynligvis – omkring 50 kroner.

En offentlig computer

Det er usikkert, hvor og hvornår kuppet starter. På en eller anden måde har hackerne opsnappet Ronjas kodeord og brugernavn til NemID. Brugernavnet var nemt at få, for det var hendes CPR-nummer, og det kan være blevet kompromitteret på mange måder.

Men det har været mere mere kringlet at få koden. Ronja Larsen fastholder nemlig, at hun kun brugte pågældende kodeord til NemID. Og at ingen andre kendte det.

Ronja er til gengæld en af de få, der ikke har egen computer. Derfor har hun ad flere omgange logget på offentlige computere, blandt andet på et nærliggende bibliotek. Og det skal man ikke gøre, hvis man vil have sin digitale ryg fri:

»Der er en kæmpe risiko for, at nogen på en eller anden måde følger med i, hvad man laver på offentlige computere og netværk,« siger sikkerhedskonsulent hos sikkerhedsfirmaet Dubex Keld Norman.

Helt anderledes lyder det fra Digitaliseringsstyrelsen, der er medejer af NemID. I en mail til Ingeniøren henviser styrelsen netop til, at »borgere kan opsøge hjælp på biblioteket«.

Keld Norman fortæller, at der findes et væld af såkaldte keyloggere, der på forskellig vis opsnapper, hvad der tastes på et tastatur. Keyloggers kan være en lille fysisk brik på ned til en halv centimeter, men det kan også dreje sig om software. Funktionen er simpel: Optag alt, der indtastes, og gem det i en tekstfil. De dyrere af slagsen kan selv sende filerne til angriberen.

Med Ronjas brugernavn og kodeord begynder hackerne systematisk at udnytte svaghederne i NemID. Først og fremmest vil de finde ud af, hvilken bank Ronja Larsen har. Netbankerne er opbygget sådan, at man kan logge på kun med brugernavn og adgangskode, og så får man at vide, om man er kunde eller ej, før nøglekortet skal tages frem.

Så det gør hackerne klokken to natten til 20. maj fra en ip-adresse, der er registreret til at holde til uden for Aarhus. De rammer forkert første gang, men anden gang rammer de Arbejdernes Landsbank.

Nu kan hackerne udnytte næste sårbarhed. Nemlig at bankerne i flere tilfælde ikke identificerer dem, der ringer ind til dem. Selvom bankerne burde stille kontrolspørgsmål eller kræve pas eller kørekort, som nemid.nu eller Borgerservice gør.

Klokken 17.45 24. september beder Arbejdernes Landsbank Nets om at sende et nyt nøglekort til Ronja Larsen. Svindlerne har ringet og sandsynligvis oplyst Ronjas CPR-nummer, og banken tager det for gode varer – som Ingeniørens stikprøve i dag viser, at det sker i flere banker.

»Jeg er totalt intetanende og opdager intet,« siger Ronja Larsen frustreret. Ronja bliver holdt i mørket, fordi NemID-systemet ikke sender notifikationer til borgerne, når der for eksempel bestilles nye nøglekort. Det er endnu en sikkerhedsbrist.

Venter på posten

Nu venter hackerne bare på, at nøgle­kortet kommer med posten. Set i bakspejlet sker der da også nogle mærkelige ting omkring Ronjas postkasse. Folk i kollektivet bider mærke i, at døren til opgangen holdes åben af cigaretskodder, så der er adgang til postkassen.

Undervejs ringer hackerne under dæknavnet ‘Peter’ til Ronja og udgiver sig for at være fra Post Nord. De vil vide, om hun fatter mistanke - det gør hun ikke.

Nu har hackerne alt, de skal bruge, og 4. oktober slår de til. De lænser hendes konto og kollektivets konto, optager tre kviklån, køber en iPhone og forsøger at få kredit i en møbelforretning.

Ronja har nu fået erstatning efter en lang sag, hvor Ingeniørens granskning er eneste årsag til, at Ronja har den mindste anelse om, hvad der er sket.

»Jeg har været rigtig vred. Jeg har været vred på dem, der har gjort det, men også på min bank, der har ladet det her ske, og som aldrig over for mig har erkendt, at de har begået en fejl. Det har hele tiden været mig, der skulle bevise min uskyld,« siger Ronja Larsen, der har meldt det hele til politiet for længst.

»Jeg handlede relativt hurtigt, men jeg har en fornemmelse af, at hvis jeg ikke havde gjort det, var det gået endnu værre,« siger Ronja Larsen.

Over for Ingeniøren og Version2 erkender Arbejdernes Landsbank, at der er sket fejl hos dem:

»I den konkrete sag må vi erkende, at vi desværre ikke har udvist tilstrækkelig omhu og agtpågivenhed ift. at forhindre angrebet,« siger Peter Froulund, der er kommerciel direktør i Arbejdernes Landsbank. Banken ønsker ikke at stille op til interview.

Denne artikel stammer fra den trykte udgave af Ingeniøren.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (22)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Per Jørgensen

Syntes det er fint - hun får alle sine penge tilbage - Men hvorfor de institutter der SKAL kræve idenfikation inden de udleverer data/nemID eller lign - juridisk bindende dokument - hvorfor kanb de ikke straffes for dette .

Jeg mener reelt bankerne skal erstatte det tabte beløb + det tabte beløb betales oveni som bøde ( Erstatning for uansvarlig omgang med personfølsom data)

Er efterhånden ved at brække mig over det offentlige konstante fejl og mangler ( og slet ikke nogen straf for de ansvarlige) Havde det nu været ety privat firma - puha en regning der ville komme !

  • 0
  • 0
Henrik Eriksen

Jeg er som sådan helt enig.

Det eneste aber dabei er, at 'banken' får bøden. Direktøren (og andre ansvarshavende) kan være styrtende ligeglade, og sende regningen videre til kunderne.

I virksomheder burde der være en ansvarshavende, som vitterligt har ansvaret, og som man kan komme efter som person. Selvfølgelig, hvis der er en medarbejder som beviseligt har brudt loven, så er det naturligvis ham man skal komme efter.

  • 2
  • 0
Bjarne Nielsen

Direktøren (og andre ansvarshavende) kan være styrtende ligeglade, og sende regningen videre til kunderne.

Siger du, at de ikke allerede tager den pris, som markedet kan bære? Så skal de da fyres! De penge burde de forlængst have stoppet i egen lomme.

Og mere seriøst, så kalder man ofte det, som du beskriver for "overvæltning", og i praksis finder det sted. Det er omstridt, i hvor høj grad det kan ske, og det er afhænger meget af situationen (og er voldsomt omdiskuteret blandt eksperterne), men en tommelfingerregel er nok sådan half'n'half.

Samme mekanisme som ved diskussionen om, hvem som kommer til at betale skatter og afgifter:
http://denstoredanske.dk/Samfund%2c_jura_og_politik/%c3%98konomi/Finansp...
https://en.wikipedia.org/wiki/Tax_incidence

  • 0
  • 0
Christian Nobel

I virksomheder burde der være en ansvarshavende, som vitterligt har ansvaret, og som man kan komme efter som person.

På samme måde som der selvfølgelig er ansvarshavende i socialstyrelsen, som tilsikrer at der ikke snydes:
https://nyheder.tv2.dk/samfund/2019-12-01-britta-nielsens-chefer-fik-bon...

Nåeh nej, de skal da have udbetalt en bonus - de har nok også behov for at indkøbe rigtig mange håndklæder, så lang køen er ved håndvasken.

  • 2
  • 1
Gert Madsen

"Det har hele tiden været mig, der skulle bevise min uskyld,« siger Ronja Larsen"
Det er desværre dagsordenen for det meste af digitaliseringen af vores hverdag. Alenlange betingelser, der skal flytte al ansvar over på brugerne.

  • 6
  • 0
Jørgen Elgaard Larsen

Banken kommer til at erstatte hendes økonomiske tab. Men bliver hun kompenseret for alt det mas og bekymringer, hun har haft?

Iøvrigt var det da heldigt, at Ronja kun mistede penge. Hvis hun havde haft hus og bil, kunne det være blevet solgt. Hun kunne være blevet gift og skilt igen, hendes forsikring opsagt, og hele hendes sygehistorie og andre personlige oplysninger kopieret og offentliggjort.

Hvordan kompenserer man for det?

  • 8
  • 0
Jacob Maarbjerg

Hvis hendes CPR-nr og kode er blevet taget af en keylogger, så er det vel ikke urealistisk at hun har været inde på sin mail i samme omgang. Og hvis angriberen har haft adgang til hendes mail, har der sikkert været en faktura, eller en lignende med hendes fulde navn, telefonnummer, eller adresse.

  • 5
  • 1
Bjarne Nielsen

ja hvordan har angriberne vidst hvilken adresse de skulle overvåge for at samle nemID op fra postkassen

Det tror jeg også godt at Ronja vil vide. Men der er flere muligheder ... hvis vi lige går tilbage til faktaboksen fra artiklen i fredags:

Fra Sydbank og Merkur Sparekasse fik vi sendt nye nøglekort og oplyst adresserne på ofrene uden at oplyse andet end kundens navn.

I Arbejdernes Landsbank og Jutlander Bank fik vi tilsendt nøglekort og oplyst kundens adresse ved at opgive et CPR-nummer.

Jeg tror bare, at vi skal konkludere, at der er flere muligheder.

  • 3
  • 0
Bent Hjarner

Ja, der er flere muligheder.
En af dem er at gå den anden vej som beskrevet her.
Hvis Ronja Larsen er fundet af en (insider), altså én der har kendskab til de mange penge på Ronjas konto, så er det jo bare at angribe den anden vej, altså finde de nødvendige data, for at fuldføre svindlen.

  • 0
  • 0
Gert Madsen

Hvis Ronja Larsen er fundet af en (insider), altså én der har kendskab til de mange penge på Ronjas konto,


Mange penge? Det handler om personlige konti, kollektivets konto, 3 store kviklån + dyr iPhone. Ialt 270.000 kr.
Det fremgår ikke, hvor mange penge, som kommer fra de personlige konti, men det er altså ikke svært at finde mennesker, som har størrelsesorden 100.000 kr. stående på bankbogen. Hvis man søger blandt folk, som bruger PC på et bibliotek, så kan det være, at hun bare er den første, som ikke er bistandsklient.

  • 1
  • 0
Lars Christensen

At Ingeniøren er istand til at hjælpe med opklare sagen er virkelig godt gået, når nu ingen myndighed eller bank kan finde ud af at tage ansvar!

Hvem er det lige, som tvinger danskerne til at bruge NemId? Det er selvsamme som fralægger sig ansvaret, når deres elendige software arkitektur ikke virker.

Denne sag får fuld fokus, men hvor mange bliver dækket af røgslør og hvornår går det rigtig galt for vort samfund, når f.eks. den digitale infrastruktur rammes, pga. den helt utilstedeligt dårlige sikkerhed i f.eks. NemId.

Jeg garantere at når elforsyningen i Storkøbenhavn, Århus eller Odense lægges fladt ned, en iskold vinterdag, så står alle de ansvarlige og vasker hænder - det giver ingen mening, at virksomhederne skal tvinges til statsstyret cybersikkerhed og det offentlige blot kører på frihjul

  • 5
  • 1
Hans Nielsen

Sikkerhed med omsætning over en million og mere 5 ansatte, eller bare os alle sammen.

Nu poster jeg denne kommentar i flere debatter, da den desvære er relevant for dem alle.

Hvordan kan firmaer i Danmark med bare lidt hemmelige kundekatoker, lidt forskningen, penge på bankbogen, eller med flere ansatte.

Bruge smart telefoner eller opperativ systemer som tydeligvis ikke er sikkert, over aflytning eller hackning ?

En start må være.
Krav til alt OS og software som helt åben kildekode, og gerne fri software.
Hardware kun produceret og samlet i EU.

Hvis man tænker på novo nodisk eller mærks der forsker eller handler for milliarder. Kan de ikke lige så nemt blive hacket.

HVAD MED MEGET AF VORES VÆSENLIGE INFRAKSTRUKTUR
som tilsydenlanden kan tilgåes via en Ipad, mobiltelefon eller en tablet fordi det er nemt og billigt.

https://www.dr.dk/nyheder/indland/derfor-gaar-danske-f-16-piloter-rundt-...

  • 0
  • 1
Louise Klint

Det er rigtig godt arbejde, Version 2 og Ingeniøren!

Det er bekymrende tilstande, der bør gøres noget ved.
Jeg så den også ude på Ritzau, efter jeres første artikel fredag.
https://politiken.dk/forbrugogliv/art7526319/Bankers-sjusk-med-n%C3%B8gl...

Jeg både undres og forarges imidlertid over, at Digitaliseringsstyrelsen såvel som Finans Danmark, i en så alvorlig sag som denne, kan være bekendt at nægte at stille op til interview og slippe afsted med en skriftlig bagatellisering a la
”bla, bla, vi oplever ikke noget større problem”.
I denne konkrete sag, som samtidig er en generel problematik, med store, potentielle konsekvenser for den enkelte dansker, der må bøde for bankernes letsindighed og NemIDs mangler, og med bred samfundsmæssig relevans.
Det er ikke i orden.

Derfor tænker jeg på, om der måske var potentiale og mulighed for, at I måske kunne indgå en eller anden form for strategisk partnerskab.
Med nogen, der kan lægge et større pres.
Stikke en mikrofon op under næsen på myndigheder og virksomheder og afkræve handling og svar pronto.

En oplagt kandidat kunne være DRs Kontant,
som pt. afdækker, at der ikke er vanilje i vaniljekranse.
https://www.dr.dk/nyheder/penge/kontant/ingen-vanilje-i-vaniljekranse

Og har så megen gennemslagskraft, at Karen Volf nu vil ændre på emballagen.
Ligesom deres interaktion får Salling Group til simpelthen at lave selve opskriften på småkagerne om.

  • 4
  • 0
Per Gøtterup

Jeg får besked hver gang min leverandør af barberblade sender en ny forsyning, og det samme når min kontaktlinseleverandør sender nye kontaktlinser. Hvorfor kan Nets ikke gør det samme som kvittering på at et nyt nøglekort er afsendt? - En email er gratis så det kan ikke være økonomien der tynger.

  • 1
  • 0
Louise Klint

Jeg får besked hver gang min leverandør af barberblade sender en ny forsyning, og det samme når min kontaktlinseleverandør sender nye kontaktlinser.
Hvorfor kan Nets ikke gør det samme som kvittering på at et nyt nøglekort er afsendt? – En email er gratis så det kan ikke være økonomien der tynger.

Ja, jeg ville også mene, at det burde være muligt, at handle på denne sag på så enkel vis, som du beskriver.

Som minimum:
Tilknyt en e-mailadresse og send automatisk notifikation
ved bestilling/fremsendelse af nyt nøglekort.

(Også umiddelbart, for mig at se, en løsning, som ikke koster alenlang tid
og millioner at implementere).

Tag nu at få det ordnet i en fart!

  • 0
  • 0
Tobias Volfing

Som minimum:
Tilknyt en e-mailadresse og send automatisk notifikation
ved bestilling/fremsendelse af nyt nøglekort.

(Også umiddelbart, for mig at se, en løsning, som ikke koster alenlang tid
og millioner at implementere).

Tag nu at få det ordnet i en fart!

Skulle vi ikke lige klappe hesten og tænke os godt om inden vi implementerer en 'tilfældig' løsning. Jeg forudser et nyt problem med denne løsning.

Nu kan enhver der har adgang til din mailboks (eller opsnakker mails på vejen, lad os lige huske på at mails er sammenlignlige med postkort) vide at du har et nøglekort på vej, og være klar til at opsnappe det. Det vil jeg gerne være foruden.

  • 0
  • 0
Log ind eller Opret konto for at kommentere