Hacket for 270.000 kroner: Nogen fik banken til at sende nyt NemID-nøglekort til Ronja

24 kommentarer.  Hop til debatten
Hacket for 270.000 kroner: Nogen fik banken til at sende nyt NemID-nøglekort til Ronja
Illustration: Lasse Gorm Jensen.
Ingeniøren og Version2 gennemgår her det NemID-baserede angreb, der kostede Ronja Larsen hendes digitale identitet og 270.000 kr.
Mads Lorenzen
Mads Lorenzen
Journalist
Reportage2. december 2019 kl. 05:15
errorÆldre end 30 dage
Mads Lorenzen
Mads Lorenzen
Journalist
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

»Jeg blev sur på min kæreste. Han sad og grinede helt vildt,« begynder den 29-årige lærer Ronja Larsen, der er denne kriminalfortællings ufrivillige hovedperson.

Da kærestens hysteriske grin stopper, og han kigger op fra computeren, siger han:

»Jeg tror, du skal ringe til din bank.«

Herfra buldrer det ned ad bakke. Pludselig er alle Ronjas konti tomme, der er optaget store kviklån, hendes mobil holder pludselig op med at virke, og der er blevet købt en dyr iPhone. Alt sammen i hendes navn, signeret med hendes NemID.

Artiklen fortsætter efter annoncen

Ronja Larsen blev i alt tappet for 270.000 kroner af de ukendte hackere, der tydeligvis havde fået adgang til hendes NemID’s bruger­navn, hendes CPR-nummer og adgangskoden.

Men hvordan i alverden havde de fået fat i et helt nyt nøglekort, så de kunne tilgå hendes konti og deaktivere hendes gamle nøglekort?

Svaret ligger i den log, der beskriver alle indlogninger foretaget med Ronjas NemID. Og forsøg på samme.

Ingeniøren har gennemgået loggen og fundet en linje, der er særligt interessant. Midt imellem diverse indlogninger og informationer som ip-adresser, tidspunkt og handling er der et blankt felt.

Artiklen fortsætter efter annoncen

Jobs

Tilpas personaliserede job
Vis alle

Ingen ip-adresse, ingen enhed. Kun en handling.

»Nyt nøglekort bestilt. Arbejdernes Landsbank«

Og det var denne lille handling, der ledte os på sporet af den svaghed i NemID, der pryder ugens forside.

Gennem loggen og informationer fra Ronja Larsen har vi rekonstrueret angrebet, der på en og samme tid er kompliceret og professionelt udført – og såre simpelt. For at hæve den betragtelige sum fra Ronjas konti skulle tyven bruge to hårnåle, et dansk ordforråd og en mobil­telefon. Derudover – sandsynligvis – omkring 50 kroner.

En offentlig computer

Det er usikkert, hvor og hvornår kuppet starter. På en eller anden måde har hackerne opsnappet Ronjas kodeord og brugernavn til NemID. Brugernavnet var nemt at få, for det var hendes CPR-nummer, og det kan være blevet kompromitteret på mange måder.

Men det har været mere mere kringlet at få koden. Ronja Larsen fastholder nemlig, at hun kun brugte pågældende kodeord til NemID. Og at ingen andre kendte det.

Ronja er til gengæld en af de få, der ikke har egen computer. Derfor har hun ad flere omgange logget på offentlige computere, blandt andet på et nærliggende bibliotek. Og det skal man ikke gøre, hvis man vil have sin digitale ryg fri:

»Der er en kæmpe risiko for, at nogen på en eller anden måde følger med i, hvad man laver på offentlige computere og netværk,« siger sikkerhedskonsulent hos sikkerhedsfirmaet Dubex Keld Norman.

Helt anderledes lyder det fra Digitaliseringsstyrelsen, der er medejer af NemID. I en mail til Ingeniøren henviser styrelsen netop til, at »borgere kan opsøge hjælp på biblioteket«.

Keld Norman fortæller, at der findes et væld af såkaldte keyloggere, der på forskellig vis opsnapper, hvad der tastes på et tastatur. Keyloggers kan være en lille fysisk brik på ned til en halv centimeter, men det kan også dreje sig om software. Funktionen er simpel: Optag alt, der indtastes, og gem det i en tekstfil. De dyrere af slagsen kan selv sende filerne til angriberen.

Med Ronjas brugernavn og kodeord begynder hackerne systematisk at udnytte svaghederne i NemID. Først og fremmest vil de finde ud af, hvilken bank Ronja Larsen har. Netbankerne er opbygget sådan, at man kan logge på kun med brugernavn og adgangskode, og så får man at vide, om man er kunde eller ej, før nøglekortet skal tages frem.

Så det gør hackerne klokken to natten til 20. maj fra en ip-adresse, der er registreret til at holde til uden for Aarhus. De rammer forkert første gang, men anden gang rammer de Arbejdernes Landsbank.

Nu kan hackerne udnytte næste sårbarhed. Nemlig at bankerne i flere tilfælde ikke identificerer dem, der ringer ind til dem. Selvom bankerne burde stille kontrolspørgsmål eller kræve pas eller kørekort, som nemid.nu eller Borgerservice gør.

Klokken 17.45 24. september beder Arbejdernes Landsbank Nets om at sende et nyt nøglekort til Ronja Larsen. Svindlerne har ringet og sandsynligvis oplyst Ronjas CPR-nummer, og banken tager det for gode varer – som Ingeniørens stikprøve i dag viser, at det sker i flere banker.

»Jeg er totalt intetanende og opdager intet,« siger Ronja Larsen frustreret. Ronja bliver holdt i mørket, fordi NemID-systemet ikke sender notifikationer til borgerne, når der for eksempel bestilles nye nøglekort. Det er endnu en sikkerhedsbrist.

Venter på posten

Nu venter hackerne bare på, at nøgle­kortet kommer med posten. Set i bakspejlet sker der da også nogle mærkelige ting omkring Ronjas postkasse. Folk i kollektivet bider mærke i, at døren til opgangen holdes åben af cigaretskodder, så der er adgang til postkassen.

Undervejs ringer hackerne under dæknavnet ‘Peter’ til Ronja og udgiver sig for at være fra Post Nord. De vil vide, om hun fatter mistanke - det gør hun ikke.

Nu har hackerne alt, de skal bruge, og 4. oktober slår de til. De lænser hendes konto og kollektivets konto, optager tre kviklån, køber en iPhone og forsøger at få kredit i en møbelforretning.

Ronja har nu fået erstatning efter en lang sag, hvor Ingeniørens granskning er eneste årsag til, at Ronja har den mindste anelse om, hvad der er sket.

»Jeg har været rigtig vred. Jeg har været vred på dem, der har gjort det, men også på min bank, der har ladet det her ske, og som aldrig over for mig har erkendt, at de har begået en fejl. Det har hele tiden været mig, der skulle bevise min uskyld,« siger Ronja Larsen, der har meldt det hele til politiet for længst.

»Jeg handlede relativt hurtigt, men jeg har en fornemmelse af, at hvis jeg ikke havde gjort det, var det gået endnu værre,« siger Ronja Larsen.

Over for Ingeniøren og Version2 erkender Arbejdernes Landsbank, at der er sket fejl hos dem:

»I den konkrete sag må vi erkende, at vi desværre ikke har udvist tilstrækkelig omhu og agtpågivenhed ift. at forhindre angrebet,« siger Peter Froulund, der er kommerciel direktør i Arbejdernes Landsbank. Banken ønsker ikke at stille op til interview.

Denne artikel stammer fra den trykte udgave af Ingeniøren.

24 kommentarer.  Hop til debatten
Fortsæt din læsning
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
24
Alex Hovgaard Fleron
19. december 2019 kl. 12:55

Set fra en tekniske vinkel, nytter det ikke meget at benytte e-mail som 2-faktor auth, hvis mailkonti også er blevet kompromitteret f.eks. i forbindelse med en keylogger på et offentlig bibliotek.

Man kunne som løsning sende både SMS og e-mail ved ansøgning om nyt NemId kodekort - SMS'er bliver typisk læst hyppigere end e-mail.

  • more_vert
    • insert_linkKopier link
23
Christian W. Moesgaard
19. december 2019 kl. 10:54

Der er faktisk primære ejere eller ansvarsholdere på enhver virksomhed.

Personlige virksomheder er åbenlyse.

Aktieselvskaber eller "limited liability" firmaer er lidt sværere, men egentlig er det stadig relativt simpelt.

På CVR kan du se Ejerforhold. I Ejerforhold står der en legal ejer og en reel ejer. Den reelle ejer kan muligvis ikke eksistere, i hvilket tilfælde direktionen anses som de reelle ejere, med CEO i spidsen.

Så vi har faktisk al den information, vi har brug for, for at komme efter dem. Desværre leder stien dog nogle gange i udlandet. Det gør det for f.eks. NETS, men for f.eks. Netcompany - en konkurrent der skal overtage NemID, så kan man trace det hele vejen op i CVR alene. Men om ikke andet kunne man komme efter CEO/CTO/Osv.

Når det så er sagt, så skal man huske at formålet med denne slags firmaer netop er at ejeren ikke er personligt ansvarlig for virksomhedens finanser, og derfor er det faktisk et lovmæssigt imperitiv, at det ikke er ejeren selv, der straffes.

Formålet med en straf mod sådan noget som det her er naturligvis at virksomheden dybt økonomisk berøres. Det kan godt være de bare kan "sende regningen videre til kunden", men i sådan et tilfælde som dette kan kunden vælge en anden bank, hvis den bliver for dyr - hvilket den bliver, hvis episoder som dette fortsætter.

  • more_vert
    • insert_linkKopier link
22
Louise Klint
5. december 2019 kl. 14:14

Hvad foreslår du i stedet?

  • more_vert
    • insert_linkKopier link
21
Deleted User
5. december 2019 kl. 13:36

Som minimum:
Tilknyt en e-mailadresse og send automatisk notifikation
ved bestilling/fremsendelse af nyt nøglekort.</p>
<p>(Også umiddelbart, for mig at se, en løsning, som ikke koster alenlang tid
og millioner at implementere).</p>
<p>Tag nu at få det ordnet i en fart!

Skulle vi ikke lige klappe hesten og tænke os godt om inden vi implementerer en 'tilfældig' løsning. Jeg forudser et nyt problem med denne løsning.

Nu kan enhver der har adgang til din mailboks (eller opsnakker mails på vejen, lad os lige huske på at mails er sammenlignlige med postkort) vide at du har et nøglekort på vej, og være klar til at opsnappe det. Det vil jeg gerne være foruden.

  • more_vert
    • insert_linkKopier link
20
Louise Klint
5. december 2019 kl. 13:15

Jeg får besked hver gang min leverandør af barberblade sender en ny forsyning, og det samme når min kontaktlinseleverandør sender nye kontaktlinser.
Hvorfor kan Nets ikke gør det samme som kvittering på at et nyt nøglekort er afsendt? – En email er gratis så det kan ikke være økonomien der tynger.

Ja, jeg ville også mene, at det burde være muligt, at handle på denne sag på så enkel vis, som du beskriver.

Som minimum: Tilknyt en e-mailadresse og send automatisk notifikation ved bestilling/fremsendelse af nyt nøglekort.

(Også umiddelbart, for mig at se, en løsning, som ikke koster alenlang tid og millioner at implementere).

Tag nu at få det ordnet i en fart!

  • more_vert
    • insert_linkKopier link
18
Per Gøtterup
5. december 2019 kl. 10:46

Jeg får besked hver gang min leverandør af barberblade sender en ny forsyning, og det samme når min kontaktlinseleverandør sender nye kontaktlinser. Hvorfor kan Nets ikke gør det samme som kvittering på at et nyt nøglekort er afsendt? - En email er gratis så det kan ikke være økonomien der tynger.

  • more_vert
    • insert_linkKopier link
17
Louise Klint
4. december 2019 kl. 15:38

Det er rigtig godt arbejde, Version 2 og Ingeniøren!

Det er bekymrende tilstande, der bør gøres noget ved. Jeg så den også ude på Ritzau, efter jeres første artikel fredag.https://politiken.dk/forbrugogliv/art7526319/Bankers-sjusk-med-n%C3%B8glekort-%C3%A5bner-for-ultimativt-id-tyveri

Jeg både undres og forarges imidlertid over, at Digitaliseringsstyrelsen såvel som Finans Danmark, i en så alvorlig sag som denne, kan være bekendt at nægte at stille op til interview og slippe afsted med en skriftlig bagatellisering a la ”bla, bla, vi oplever ikke noget større problem”. I denne konkrete sag, som samtidig er en generel problematik, med store, potentielle konsekvenser for den enkelte dansker, der må bøde for bankernes letsindighed og NemIDs mangler, og med bred samfundsmæssig relevans. Det er ikke i orden.

Derfor tænker jeg på, om der måske var potentiale og mulighed for, at I måske kunne indgå en eller anden form for strategisk partnerskab. Med nogen, der kan lægge et større pres. Stikke en mikrofon op under næsen på myndigheder og virksomheder og afkræve handling og svar pronto.

En oplagt kandidat kunne være DRs Kontant, som pt. afdækker, at der ikke er vanilje i vaniljekranse.https://www.dr.dk/nyheder/penge/kontant/ingen-vanilje-i-vaniljekranse

Og har så megen gennemslagskraft, at Karen Volf nu vil ændre på emballagen. Ligesom deres interaktion får Salling Group til simpelthen at lave selve opskriften på småkagerne om.

  • more_vert
    • insert_linkKopier link
16
Rene Lauridsen
4. december 2019 kl. 14:39

det lyder da ok, men hvordan har det relevans i forhold til denne tråd ?

  • more_vert
    • insert_linkKopier link
15
Hans Nielsen
3. december 2019 kl. 21:57

Sikkerhed med omsætning over en million og mere 5 ansatte, eller bare os alle sammen.

Nu poster jeg denne kommentar i flere debatter, da den desvære er relevant for dem alle.

Hvordan kan firmaer i Danmark med bare lidt hemmelige kundekatoker, lidt forskningen, penge på bankbogen, eller med flere ansatte.

Bruge smart telefoner eller opperativ systemer som tydeligvis ikke er sikkert, over aflytning eller hackning ?

En start må være. Krav til alt OS og software som helt åben kildekode, og gerne fri software. Hardware kun produceret og samlet i EU.

Hvis man tænker på novo nodisk eller mærks der forsker eller handler for milliarder. Kan de ikke lige så nemt blive hacket.

HVAD MED MEGET AF VORES VÆSENLIGE INFRAKSTRUKTUR som tilsydenlanden kan tilgåes via en Ipad, mobiltelefon eller en tablet fordi det er nemt og billigt.

https://www.dr.dk/nyheder/indland/derfor-gaar-danske-f-16-piloter-rundt-...

  • more_vert
    • insert_linkKopier link
14
Lars Christensen
2. december 2019 kl. 17:13

At Ingeniøren er istand til at hjælpe med opklare sagen er virkelig godt gået, når nu ingen myndighed eller bank kan finde ud af at tage ansvar!

Hvem er det lige, som tvinger danskerne til at bruge NemId? Det er selvsamme som fralægger sig ansvaret, når deres elendige software arkitektur ikke virker.

Denne sag får fuld fokus, men hvor mange bliver dækket af røgslør og hvornår går det rigtig galt for vort samfund, når f.eks. den digitale infrastruktur rammes, pga. den helt utilstedeligt dårlige sikkerhed i f.eks. NemId.

Jeg garantere at når elforsyningen i Storkøbenhavn, Århus eller Odense lægges fladt ned, en iskold vinterdag, så står alle de ansvarlige og vasker hænder - det giver ingen mening, at virksomhederne skal tvinges til statsstyret cybersikkerhed og det offentlige blot kører på frihjul

  • more_vert
    • insert_linkKopier link
13
Gert Madsen
2. december 2019 kl. 15:44

Hvis Ronja Larsen er fundet af en (insider), altså én der har kendskab til de mange penge på Ronjas konto,

Mange penge? Det handler om personlige konti, kollektivets konto, 3 store kviklån + dyr iPhone. Ialt 270.000 kr. Det fremgår ikke, hvor mange penge, som kommer fra de personlige konti, men det er altså ikke svært at finde mennesker, som har størrelsesorden 100.000 kr. stående på bankbogen. Hvis man søger blandt folk, som bruger PC på et bibliotek, så kan det være, at hun bare er den første, som ikke er bistandsklient.

  • more_vert
    • insert_linkKopier link
12
Bent Hjarner
2. december 2019 kl. 14:37

Ja, der er flere muligheder. En af dem er at gå den anden vej som beskrevet her. Hvis Ronja Larsen er fundet af en (insider), altså én der har kendskab til de mange penge på Ronjas konto, så er det jo bare at angribe den anden vej, altså finde de nødvendige data, for at fuldføre svindlen.

  • more_vert
    • insert_linkKopier link
11
Bjarne Nielsen
2. december 2019 kl. 14:26

ja hvordan har angriberne vidst hvilken adresse de skulle overvåge for at samle nemID op fra postkassen

Det tror jeg også godt at Ronja vil vide. Men der er flere muligheder ... hvis vi lige går tilbage til faktaboksen fra artiklen i fredags:

Fra Sydbank og Merkur Sparekasse fik vi sendt nye nøglekort og oplyst adresserne på ofrene uden at oplyse andet end kundens navn.</p>
<p>I Arbejdernes Landsbank og Jutlander Bank fik vi tilsendt nøglekort og oplyst kundens adresse ved at opgive et CPR-nummer.

Jeg tror bare, at vi skal konkludere, at der er flere muligheder.

  • more_vert
    • insert_linkKopier link
10
Jacob Maarbjerg
2. december 2019 kl. 14:09

Hvis hendes CPR-nr og kode er blevet taget af en keylogger, så er det vel ikke urealistisk at hun har været inde på sin mail i samme omgang. Og hvis angriberen har haft adgang til hendes mail, har der sikkert været en faktura, eller en lignende med hendes fulde navn, telefonnummer, eller adresse.

  • more_vert
    • insert_linkKopier link
8
Jørgen Elgaard Larsen
2. december 2019 kl. 12:35

Banken kommer til at erstatte hendes økonomiske tab. Men bliver hun kompenseret for alt det mas og bekymringer, hun har haft?

Iøvrigt var det da heldigt, at Ronja kun mistede penge. Hvis hun havde haft hus og bil, kunne det være blevet solgt. Hun kunne være blevet gift og skilt igen, hendes forsikring opsagt, og hele hendes sygehistorie og andre personlige oplysninger kopieret og offentliggjort.

Hvordan kompenserer man for det?

  • more_vert
    • insert_linkKopier link
7
Bent Hjarner
2. december 2019 kl. 12:23

Det kunne se ud som en person bevist er gået efter Ronja Larsen. Måske er det ikke tilfældigt at gå efter en konto med så mange penge.!

  • more_vert
    • insert_linkKopier link
6
Gert Madsen
2. december 2019 kl. 11:56

"Det har hele tiden været mig, der skulle bevise min uskyld,« siger Ronja Larsen" Det er desværre dagsordenen for det meste af digitaliseringen af vores hverdag. Alenlange betingelser, der skal flytte al ansvar over på brugerne.

  • more_vert
    • insert_linkKopier link
5
Rene Lauridsen
2. december 2019 kl. 11:35

jeg må indrømme, at jeg ikke helt forstår hvordan man kan stjæle en persons midler, uden at politi/banker kan spore hvor pengene er havnet

  • more_vert
    • insert_linkKopier link
4
Christian Nobel
2. december 2019 kl. 11:20

I virksomheder burde der være en ansvarshavende, som vitterligt har ansvaret, og som man kan komme efter som person.

På samme måde som der selvfølgelig er ansvarshavende i socialstyrelsen, som tilsikrer at der ikke snydes:https://nyheder.tv2.dk/samfund/2019-12-01-britta-nielsens-chefer-fik-bonusser-faa-maaneder-efter-svindelafsloering

Nåeh nej, de skal da have udbetalt en bonus - de har nok også behov for at indkøbe rigtig mange håndklæder, så lang køen er ved håndvasken.

  • more_vert
    • insert_linkKopier link
3
Bjarne Nielsen
2. december 2019 kl. 10:59

Direktøren (og andre ansvarshavende) kan være styrtende ligeglade, og sende regningen videre til kunderne.

Siger du, at de ikke allerede tager den pris, som markedet kan bære? Så skal de da fyres! De penge burde de forlængst have stoppet i egen lomme.

Og mere seriøst, så kalder man ofte det, som du beskriver for "overvæltning", og i praksis finder det sted. Det er omstridt, i hvor høj grad det kan ske, og det er afhænger meget af situationen (og er voldsomt omdiskuteret blandt eksperterne), men en tommelfingerregel er nok sådan half'n'half.

Samme mekanisme som ved diskussionen om, hvem som kommer til at betale skatter og afgifter:http://denstoredanske.dk/Samfund%2c_jura_og_politik/%c3%98konomi/Finanspolitik/incidenshttps://en.wikipedia.org/wiki/Tax_incidence

  • more_vert
    • insert_linkKopier link
2
Henrik Eriksen
2. december 2019 kl. 10:33

Jeg er som sådan helt enig.

Det eneste aber dabei er, at 'banken' får bøden. Direktøren (og andre ansvarshavende) kan være styrtende ligeglade, og sende regningen videre til kunderne.

I virksomheder burde der være en ansvarshavende, som vitterligt har ansvaret, og som man kan komme efter som person. Selvfølgelig, hvis der er en medarbejder som beviseligt har brudt loven, så er det naturligvis ham man skal komme efter.

  • more_vert
    • insert_linkKopier link
1
Per Jørgensen
2. december 2019 kl. 06:53

Syntes det er fint - hun får alle sine penge tilbage - Men hvorfor de institutter der SKAL kræve idenfikation inden de udleverer data/nemID eller lign - juridisk bindende dokument - hvorfor kanb de ikke straffes for dette .

Jeg mener reelt bankerne skal erstatte det tabte beløb + det tabte beløb betales oveni som bøde ( Erstatning for uansvarlig omgang med personfølsom data)

Er efterhånden ved at brække mig over det offentlige konstante fejl og mangler ( og slet ikke nogen straf for de ansvarlige) Havde det nu været ety privat firma - puha en regning der ville komme !

  • more_vert
    • insert_linkKopier link