1 år og 3 måneder skulle der gå, før hackere fik dirket danskernes nye login-mekanisme NemID op. Nets DanID har i en pressemeddelelse offentliggjort, at otte Nordea-kunder har fået stjålet penge fra deres netbank, efter at it-kriminelle via phishingmails har franarret dem deres brugernavn, password – og en NemID-kode.
'Det er vigtigt at understrege, at den tekniske sikkerhed i NemID er uændret, og at brugerne er korrekt autentificeret af systemet. Der er tale om et trick i samme skole som fralokning af kreditkortoplysninger, hvor de kriminelle sender en bølge af mails, der udnytter brugernes tillid til kendte logoer og ønske om at få orden i sagerne', skriver Nets DanID i pressemeddelelsen.
Sikkerhedsekspert Peter Kruse fra firmaet CSIS har været dybt involveret i sagen, men har netop af den grund ingen kommentarer:
»Nej, det ville være problematisk, hvis jeg udtalte mig. Der pågår i øjeblikket et opklaringsarbejde, som jeg ville være meget ked af at sætte over styr,« siger han til Version2.
Kommunikationschef i Nets DanID Jette Knudsen ønsker ikke at forklare, hvordan de it-kriminelle har fundet ud af, hvilken NemID-kode de skulle franarre netbankkunderne.
»Nej, jeg kan jo ikke sidde og give opskriften på, hvordan angrebet er tilrettelagt,« siger Jette Knudsen til Version2.
Men det er altså lykkedes phishing-bagmændene at finde ud af, hvordan man beder om den rigtige kode fra papkortet?
»Ja, det er jo det, der er sket.«
Vil det kunne ske igen?
»Ja, det vil kunne ske igen, hvis folk reagerer på phishing-mails. Derfor er det meget vigtigt at understrege, at man aldrig skal give sin adgangskode eller NemID-nøglekort til nogen som helst,« siger Jette Knudsen.
Hun fortæller dog, at man godt ved, hvordan pengene er blevet overført, og antyder dermed, at de it-kriminelle ikke skal føle sig for sikre.
Opdateret 19.52: Overskriften ændret fra "NemID hacket" til "NemID phishet"
Opdateret 19.59: Kommentar fra Jette Knudsen indsat.