Jyske Bank massespærrer NemID efter it-angreb

Illustration: Privatfoto
NemID-svindel fra en ip-adresse på Falster har medført en del spærrede NemID'er.

Jyske Bank har i løbet af sidste uge spærret en stribe kunders NemID i forbindelse med, at de har forsøgt at logge på hos banken. Kunderne er ikke blevet orienteret om dette.

Årsagen til indgrebet er, at én bestemt ip-adresse potentielt har angrebet de pågældende kunder:

»Vi hører gennem vores samarbejde med de øvrige pengeinstitutter, at der har været et angreb i et andet pengeinstitut fra en given ip-adresse,« siger Torben Anholm, afdelingsdirektør i Jyske Bank for it-sikkerhed.

Version2 er blevet opmærksom på sagen via et tip fra Kristoffer Gundorph, som er kunde i Jyske Bank. Han opdagede tirsdag i sidste uge pludselig, at hans NemID ikke fungerede længere.

»Jeg ringede til DanID, som fortalte at min bank havde bestilt mig et nyt. Jeg ringede derfor til Jyske Bank, som fortalte mig, at der muligvis havde været et hackerangreb, og min ip-adresse havde været berørt på en eller anden måde,« skriver Kristoffer Gundorph i en mail.

Banken oplyste ham om, at en gruppe kunders NemID i den forbindelse var blevet spærret.

Forud for det havde Jyske Banks supportafdeling bestilt nye koder og nøglekort til de ramte kunder. Og det opleves ifølge Torben Anholm som en spærring, indtil de nye oplysninger når frem til kunderne.

»Og så sker der den fatale brøler, at de ikke får orienteret folk. Og det er selvfølgelig en fejl, at man ikke har gjort det,« siger han.

Kristoffer Gundorph er glad for, at banken greb ind:

»Det er selvfølgelig en god ting, men jeg er lidt irriteret over at jeg intet fik at vide om det, før jeg selv ringede.«

ca. 40 kunder

Omkring 40 Jyske Bank-kunder har fået spærret deres NemID i forbindelse med episoden, vurderer Torben Anholm.

Jyske Bank vil fremadrettet indføre procedurer, så en lignende episode ikke resulterer i masse-spærring af NemID, uden at kunderne bliver orienterede.

»Man kan diskutere, om det er strengt nødvendigt at spærre dem alle sammen, men det allerstørste problem er, at man ikke får orienteret folk ordentligt. Det kan vi kun beklage.«

Torben Anholm ønsker ikke at oplyse navnet på det pengeinstitut, hvor NemID-misbruget oprindeligt blev forsøgt. Og han kan ikke umiddelbart sige, hvori den konkrete svindel har bestået.

Tidligere har der været sager, hvor borgere på den ene eller den anden måde er blevet narret til at tage et billede af deres NemID-kort, som så er havnet i hænderne på kriminelle, der kan bruge til det til at logge ind på borgerens vegne og føre penge ud fra netbanken.

»Det foregår hele tiden, at nogen forsøger at lokke folk til at tage et billede af deres NemID-kort. Det er formentlig det, der er sket,« siger han.

Ip-adressen

Den pågældende ip-adresse, som svindlen er foregået fra, og som har resulteret i masse-spærringen af NemID’er, hører hjemme på Falster.

»Der er tale om en enkelt ip-adresse, så vi går ud fra, der er tale om en skole eller lignende,« siger han.

Udadtil anvender flere organisationer typisk én ip-adresse til flere brugere. Så det er altså ikke muligt at se alene ud fra den eksterne ip-adresse, hvem der står bag en given datakommunikation, som eksempelvis kan være et forsøg på at misbruge andre folks NemID til at føre penge ud af en netbank.

Kristoffer Gundorph oplyser, at han netop er begyndt på en uddannelsesinstitution på Falster, hvorfra han flere gange har brugt NemID, op til at det blev blokeret af banken.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (25)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Yoel Caspersen Blogger

Er gammelbankerne mon klar over, at stadig flere og flere internetudbydere anvender carrier grade NAT, og der derfor i stigende grad vil være mange brugere, der anvender de samme offentlige IP-adresser?

Det har altid været et mareridt at finde ud af, hvorfor ens betalingskort blev spærret, og som regel får man en ulden forklaring om at man skal tale med sin banksælger, der selvfølgelig ikke kan sige andet end "Nets har spærret dit kort, jeg kan ikke se hvorfor".

Officielt lyder undskyldningen for hemmelighedskræmmeriet, at man ikke vil give bad guys mulighed for at undgå at blive opdaget, når de svindler med betalingskort, men det lugter af security-by-obscurity, og empirien viser da også, at bankerne og deres kartelvirksomheder er notorisk dårlige til at håndtere følsomme data.

  • 23
  • 4
Steen Thomassen

Efterhånden kunne man godt ønske sig, at de ISP'er, som bruger Carrier Grade NAT, gik over til at bruge ipv6. Jeg har en case, hvor en bruger, som brugte en stor internet-udbydes net, gav problemer, hvor der var forslag om at spærre det net-segment, da brugeren kom fra forskellige ip-adresse i løbet af en dag. Men de ville også gå ud over alle de andre brugere.... Med ipv6 kunne denne bruger holde den samme ip-adresse i længere tid.

  • 9
  • 0
Henrik Sørensen

Den virkelige udfordring her er hvem der har ansvaret for eventuelle følgekonsekvenser og hvem der har givet Jyske Bank jurisdiktion over forhold som ikke vedrører dem???

Tilsyneladende er ~39 uskyldige personer blevet udelukket fra at anvende deres Nem-ID i en periode uden forudgående advisering, uden alternativer og uden at kende længde af udelukkelsen.

Dette er et fundamentalt brud på tilliden til Nem-ID !!!

  • hvem betaler rente- og gebyr-omkostningerne for Innocent 01 som ikke kan få adgang til sin bank og derfor ikke kan betale sine kreditorer til tiden?

  • hvem betaler erstatning til Innocent 02 som gik glip af en ejendomshandel fordi han ikke kunne underskrive papirerne elektronisk?

  • hvem betaler erstatning til Innocent 03 fordi han ikke fik kræft-pakke indkaldelsen som lå i e-boks og derfor gik glip af rettidig behandling

  • hvem trøster Innocent 04's søn Tobias når Innocent 04 ikke har fået beskederne fra SFO'en i Tabulex, fordi det ikke var muligt at logge ind?

  • hvem .... indsæt selv de næste scenarier ...

Vi er nødt til at spørge os selv om det er rimeligt, at en privat virksomhed som bankerne trods alt er, kan handle med så vidtrækkende konsekvenser på vegne af en borger, blot for at undgå tab for banken.

Det er naturligvis i orden at banken vælger at spærre for adgang til egne systemer for en eller flere nem-ID'er, men alt andet er IKKE i orden og bør ubetinget være ansvarspådragende for banken for ethvert tab som de skadelidte kan dokumentere.

Hverken Jyske Bank eller andre private virksomheder skal handle på mine vegne i forhold som ikke vedkommer dem! Næste gang er det 781 personer eller 3.631 eller ...

  • 19
  • 0
Martin Kofoed

Det er jo en fundamental flaw ved at blande authentication til forskellige systemer sammen i én løsning.

Ultimativ denial of login er at lave et script som forsøger NemID-login fire gange med samtlige kombinationer af CPR-numre ... Det vil så ikke ramme dem, som har valgt et alias i stedet for cpr, men det er trods alt nok de færreste.

  • 3
  • 0
Jens Jönsson

Jeg har en case, hvor en bruger, som brugte en stor internet-udbydes net, gav problemer, hvor der var forslag om at spærre det net-segment, da brugeren kom fra forskellige ip-adresse i løbet af en dag.

Det lyder ikke til at være noget der vil fungere specielt godt, at kundens CGN adresse skifter i løbet af dagen ?
Er du sikker på at det er det der sker ?

Vi (Skywire) har vores CGN adresser opdelt i segmenter, sådan at kunder i et segment kommer ud med den samme adresse hele tiden.
Også fordi det andet har vist sig at give kunderne problemer og vi kan lettere identificere kunder, som

  • 0
  • 0
Thomas Lodberg

hvem der har givet Jyske Bank jurisdiktion


Det demokratisk valgte folketing.

forhold som ikke vedkommer dem


Da det er banken der skal dække eventuelle tab hvis hackingen lykkedes, så vil jeg da mene det i høj grad vedkommer dem.

spærre for adgang til egne systemer for en eller flere nem-ID'er, men alt andet er IKKE i orden


Hvis hackerne kan få adgang til din netbank, så kan de nok også få adgang til andre personlige informationer. Som hackerne så kan bruges til forbrydelser der har væsentlig større konsekvenser end nogle penge banken alligevel skal erstatte.
Og det mener du ikke det er i orden at man beskytter brugerne imod.

Hvis de ikke kan identificere præcist hvem der er i risiko for identitets tyveri og lignende, så er det vil bedre de er forsigtige.
Jeg ville godt se reaktionen hvis der bliv misbrugt identiteter, og det så kom frem at det viste man godt var en muglighed, men man valte ikke at gøre noget for ikke at forstyrre dem der måske ikke ville blive misbrugt.

Ramaskriget ville kunne høres i New Zealand!

Alt i alt, så syndes jeg at din kritik er fuldstændigt forfejlet.
De skulle selvfølgelig have informeret folk.
Men den fejl har de jo også indrømmet, og undskyldt for.

  • 1
  • 2
Jesper Frimann

Hvis de ikke kan identificere præcist hvem der er i risiko for identitets tyveri og lignende, så er det vil bedre de er forsigtige.
...
Alt i alt, så syndes jeg at din kritik er fuldstændigt forfejlet.

Nej. Jeg tror du misser pointen. Lad os prøve med en analogi, som jeg synes rammer meget godt.

Det der foregår her svarer jo til, at hvis jeg fik stjålet Master/Visa Dankort, så lukkede min bank for mit kørekort, mit lånerkort til biblioteket, mit pas og mit adgangskort til arbejdet. Og ikke nok med at de gjorde det med mig, men også alle andre, der boede på samme adresse som mig.

Det er jo selve konceptet der er uhensigtsmæssigt.

// Jesper

  • 4
  • 0
Jesper Frimann

Det svare til at nogen har haft muglighed for at kopiere dit Master/Visa Dankort, pas, kørekort, dåbsattest, sygesikringskort, osv. Og at de, muligvis, har kunne kopiere det samme fra 39 andre.

Øh Ja, netop. Det er jo netop det man kan med NemId. Det er et ikke særlig gennemtænkt koncept, at man skal bruge samme sikkerheds løsning til 'alt', uden nogen form for segmentering.

Du underbygger jo netop den pointe, som Henrik og Jeg lavede.

// Jesper

  • 2
  • 0
Steen Thomassen

Det lyder ikke til at være noget der vil fungere specielt godt, at kundens CGN adresse skifter i løbet af dagen ?
Er du sikker på at det er det der sker ?


Ja. Jeg har tjekket det igen. Dog har brugeren brugt samme ip-adresse i mange timer, men kan også få en ny efter 5 minutter.

Vi (Skywire) har vores CGN adresser opdelt i segmenter, sådan at kunder i et segment kommer ud med den samme adresse hele tiden.


Ikke så tosset løsning. Hvis kunne holde samme bruger på samme ip-adresse i nogle dage, bliver nemmere at håndtere - men jeg vil hellere have at hver bruger får sin egen ip-adresse i lang tid, så trafikken ikke bliver blandet med andre brugeres trafik - her vil ipv6 kunne løse det med den mængde af adresser den har.

  • 0
  • 0
Thomas Lodberg

Og lige præcis derfor, er one-size-fits-all-tankegangen bag NemID forfejlet.


Så man skal altså have separat password og lockin for alle de steder man skal have adgang til:
Email
Arbejdes PC
Privat PC
A-kasse
Fagforening
Børnehave
CPR-registered
Udlændingestyrelsen
Arbejdsskadestyrelsen
Bibliotek
Boligforening
Statsforvaltningerne
Bank
Forsikring
Kommune
Skat
Borger.dk
Pensionsselskab
Udbetaling Danmark

Bare for lige at nævne nogle få!
Hvordan tror du det vil gå med sikkerheden når folk skal prøver at holde styr på password 20 til 30 forskellige systemer.

  • 1
  • 3
Thomas Lodberg

Og lige for at præcisere:
Min tidligere kommentarer handlede ikke om hvorvidt NemID er et godt system.
De handlede om hvorvidt det er i orden at man spærre for adgangen hvis der er en risiko for misbrug.
Det syndes jeg det er.
At lade folks data blive misbrugt, bare for at enkelte ikke må blive unødigt forstyrret, det er da fuldstændigt skørt.

  • 0
  • 2
Gert Madsen

Så man skal altså have separat password og lockin for alle de steder man skal have adgang til


Det er jo det, som sikkerhedsekperter anbefaler.
NemID er på niveau med genbrug af passwords til alle sine services. Dvs. sikkerheden til alle services er afhængig af sikkerheden hos den svageste leverandør.
Problemet kan løses af afledte nøgler, men det ligger nok ikke lige for. Indtil da, kunne man forestille sig at man brugte noget som NemID til forholdsvis ufarlige services, hvor man ikke mister sin identitet og formue.
Og så tænke den kætterske tanke, at der er visse ting, som er så vigtige/farlige, at det faktisk godt må være lidt besværligt.

  • 4
  • 0
Jesper Frimann

Så man skal altså have separat password og lockin for alle de steder man skal have adgang til:
Email
.....

Det siger jeg ikke, at man nødvendigvis skal. Men man bør da i det mindste have en eller form for adskillelse, der afspejler en naturlig forskel i behovet for sikkerhed og/eller give folk der tager IT sikkerhed alvorligt muligheden for at gøre dette.

Der er ekstrem stor forskel på login til f.eks. boerneweb.dk og så det at kunne underskrive dokumenter i e-box.

Igen for at bruge analogien fra før.. så kan biblioteket lukke for dit og dine naboers kreditkort, pas m.m. fordi der er nogen der har misbrugt dit lånerkort.

// Jesper

  • 3
  • 0
Finn Christensen

Hverken Jyske Bank eller andre private virksomheder skal handle på mine vegne i forhold som ikke vedkommer dem! Næste gang er det 781 personer eller 3.631 eller ...

Selvfølgelig skal Jyske Bank have smæk.. både fordi hændelsen var mulig med Slem-ID, samt fordi banken igen igen tænkte mere på deres egne penge end på kunden.

Jeg havde i nat en drøm[1] om, at vore nye lov af efteråret 2016, fra vores seriøse og hæderlige folketing siger:

Vores samfunds mange fordele ved et fælles og entydigt Slem-ID, er for entydigt opreklameret, og skal balanceres med at de utilsigtede og/eller uønskede bivirkninger samt misbrug bliver registreret, anerkendt og offer forsvaret værdigt som i enhver moderne stat med velfungerende og hæderligt retsstat... mumbo jumbo ad libitum fortsættes de næste 23 fulde A4-sider, med 234 siders hørings- og indsigelsesbilag, samt 45 sider med økonomiske og samfundsmæssige beregninger og konsekvenser af lovforslaget - samt en implementeringsplan på 9 sider.

§ 1. Enhver borger samt kunde skal hver eneste gang have erstatning for svie og smerte ifm. utilsigtede hændelser med Slem-ID
§ 2. Staten, regioner, kommuner, pengeinstitutter (Banker) og enhver anvender af Slem-ID sender selv automatisk meddelse til kunden om, at krav skal indgives senest ...
§ 3. Den skyldig er den person, som undlod/glemte/ikke vidste/anden dårlig undskyldning....
...
§ 47. Straffen for manglende orientering om utilsigtet hændelse, både til det centrale ID-misbrugsregister samt til borger eller kunde er bøde på min. 5.000 kr. pristalsreguleret pr. berørt person,
Stk 4711. Grimme tilfælde straffes med betinget tremmely eller i gentagende eller grove tilfælde ophold i tremmely på minimum 1 år.
I begge tilfælde vil der være en daglig og tvungen undervisning min. 2 timer. i datasikkerhed indtil straffen er afsonet.

It og dermed massiv databehandling overalt og på alt er vist nok kommet for at blive. Er vælter ind over en befolkning hvor 95% endnu er it-analfabeter eller i bedste fald tror på tosser, der sælger Dr. Drolles Miracle 100% effektive brandmur og virusfjerner, altså kun ~10% af problemerne.

Tro mig... ord virker ikke på pengefolk eller dem, der har en grande salgs- eller politikerbøvs i mavsen - ikke det fjerneste.

Men kolde kontanter ud af lommer eller blot tanken om data-sikkerhedsbrud på ens straffeattest, eller >356 dage i tremmely får dem til at handle.. så kan de lærer det - ka' de.

[1] Tak til Martin Luther King

  • 2
  • 0
Jesper Lund

Ikke så tosset løsning. Hvis kunne holde samme bruger på samme ip-adresse i nogle dage, bliver nemmere at håndtere - men jeg vil hellere have at hver bruger får sin egen ip-adresse i lang tid, så trafikken ikke bliver blandet med andre brugeres trafik - her vil ipv6 kunne løse det med den mængde af adresser den har.

Hvorfor ikke lave et sikkert system (*) med end-to-end autentificering af betalinger og andre handlinger i netbanken i stedet for dette overvågningscirkus på IP-adresser og diverse (typisk forkerte) antagelser om hvordan ISP'er har designet deres systemer?

(*) Altså noget andet end det NemID single-signon shit vi har i dag.

  • 0
  • 0
Steen Thomassen

Hvorfor ikke lave et sikkert system (*) med end-to-end autentificering af betalinger og andre handlinger i netbanken i stedet for dette overvågningscirkus på IP-adresser og diverse (typisk forkerte) antagelser om hvordan ISP'er har designet deres systemer?


Carrier Grade NAT er et dårlig løsning på et problem. Man kommer til at lukke for mange konti af, når man ikke kan de hvem som er i klientenden.

Og hvis det skal være sikkerhedsmæssigt forsvarlig, skal der noget hardware til at opbevare den private nøgle og/eller en anden løsning også passer til bankernes håndtering af login med enhedskoder. Og hvem skal betale for det?

  • 0
  • 0
Niels Callesøe

IPv6 er ikke en løsning på det grundlæggende sikkerhedsproblem -- tværtimod.

Med IPv6 kan enhver (bandit) komme fra en ny adresse hver gang han forsøger et login. Så det meste, klassiske, heuristics-baserede logik i forhold til at checke efter mange forsøg fra samme kilde og tilsvarende, bliver sat ud af spillet.

  • 0
  • 0
Niels Elgaard Larsen

Jeg tror ikke, at det her handler om at forsøge mange gange fra samme IP-adresse.

Det kunne fx tænkes at nogen på Kristoffer Gundorph skole har lavet et MITM angreb. Måske med WiFi, eller ved at angribe skolens netværk.

Så er der måske nogen bankkunder, der har accepteret et falsk SSL-certifikat eller ikke checket om de havde en krypteret forbindelse. Og så har Jyske bank for at være på den sikre side antaget at ingen på skolen kan finde ud af SSL.

Det kunne også fx være nogen der leder efter nøglekort i omklædningsrummene når eleverne er til gymnastik. Men så er det jo lidt dumt, kun at bruge skolens net, når man skal misbruge nøglekortene.

  • 0
  • 0
Log ind eller Opret konto for at kommentere