NemID phishet – 8 bankkunder frastjålet penge i netbank

Opdateret: Otte bankkunder hos Nordea har fået stjålet penge fra deres netbank efter at have fået franarret NemID-oplysninger via en phishingmail. Papkortet er ikke længere en hindring for de kriminelle.

1 år og 3 måneder skulle der gå, før hackere fik dirket danskernes nye login-mekanisme NemID op. Nets DanID har i en pressemeddelelse offentliggjort, at otte Nordea-kunder har fået stjålet penge fra deres netbank, efter at it-kriminelle via phishingmails har franarret dem deres brugernavn, password – og en NemID-kode.

'Det er vigtigt at understrege, at den tekniske sikkerhed i NemID er uændret, og at brugerne er korrekt autentificeret af systemet. Der er tale om et trick i samme skole som fralokning af kreditkortoplysninger, hvor de kriminelle sender en bølge af mails, der udnytter brugernes tillid til kendte logoer og ønske om at få orden i sagerne', skriver Nets DanID i pressemeddelelsen.

Sikkerhedsekspert Peter Kruse fra firmaet CSIS har været dybt involveret i sagen, men har netop af den grund ingen kommentarer:
»Nej, det ville være problematisk, hvis jeg udtalte mig. Der pågår i øjeblikket et opklaringsarbejde, som jeg ville være meget ked af at sætte over styr,« siger han til Version2.

Kommunikationschef i Nets DanID Jette Knudsen ønsker ikke at forklare, hvordan de it-kriminelle har fundet ud af, hvilken NemID-kode de skulle franarre netbankkunderne.

»Nej, jeg kan jo ikke sidde og give opskriften på, hvordan angrebet er tilrettelagt,« siger Jette Knudsen til Version2.

Men det er altså lykkedes phishing-bagmændene at finde ud af, hvordan man beder om den rigtige kode fra papkortet?

»Ja, det er jo det, der er sket.«

Vil det kunne ske igen?

»Ja, det vil kunne ske igen, hvis folk reagerer på phishing-mails. Derfor er det meget vigtigt at understrege, at man aldrig skal give sin adgangskode eller NemID-nøglekort til nogen som helst,« siger Jette Knudsen.

Hun fortæller dog, at man godt ved, hvordan pengene er blevet overført, og antyder dermed, at de it-kriminelle ikke skal føle sig for sikre.

Opdateret 19.52: Overskriften ændret fra "NemID hacket" til "NemID phishet"

Opdateret 19.59: Kommentar fra Jette Knudsen indsat.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Følg forløbet

Kommentarer (106)

Kommentarer (106)
Jacob Avlund

"Pågår arbejde ked af at sætte over styr. Ikke voldsomt besværligt - kendt i årevis.", står der nederst i artiklen.

Er Version2 også blevet "hacket"?

I øvrigt er det vist lige lovlig voldsomt at sige at NemID er blevet hacket, når nu brugerne selv havde givet dem hele nøglebundtet...

David Askirk Fotel

Hvad man kunne forvente. Den slags angreb er vel svær at beskytte sig overfor. Men tvivler på at dem der er blevet snydt har læst beskeden ordenligt, hvis der er kommet sådan en "Godkend denne signerede applet".

Er der noget om hvordan det er phiset, så man kan advare mod det?

Andrew Rump

Hackerne kender vel ikke den næste NemID-kode der skal bruges, hvad er blevet brudt?

  • Hvordan er brugeren blevet bedt om at vælge koden?
  • Kan man logge på 100 gange med forkert kode uden at login bliver spærret?
  • Er kommunikationen mellem server og applet blevet brudt, så den rigtige kode findes?
  • Er det et man-in-the-middle attach, hvor applet bliver hentet fra en anden server - kan det overhovedet lade sig gøre?
  • ???
Andreas Andersen

Som overskriften siger...

Version2, jeg er enige med andre bruger om, at der måske lidt overdrevet at skrive at nemID er blevet hacket og kalde det breaking news, når de 8 personer selv har givet dem alle de oplysninger der skal bruges for at logge på... I minder for meget om sladre blade til tider.

Niels Terp

Det måtte jo ske før eller senere - på trods af at både skattevæsen og banker flere gange har været ude i pressen og ADVARE folk mod overhovedet at reagere på mails hvor de bliver opfordret til at logge ind med deres nem-id via et medfølgende link - ja, så er der 8 bankkunder (læs: FJOLSER) som klikker kritikløst på et tilsendt link, og udleverer frivilligt brugernavn, password og papkort-kode !

Jeg tror ikke at der kan konstrueres noget system som sikrer mod dette - den slags mennesker er simpelthen for dumme til at have en computer.

Når det er sagt, kan jeg ikke lade være med at henlede henlede opmærksomheden på, at dette næppe var sket med det gamle Digital Signatur system. Med mindre selvfølgelig at "nogen" havde sendt en mail hvor de udbad sig en kopi af nøglefilen, samt brugernavn og password - og havde fået det !

Niels

Jakob Steen-Petersen

Lige præcis denne "hacking" kunne man vel have undgået med en "token" løsning frem for det håbløse papkort?

Man må vel antage at brugerne er blevet bedt om at sende koderne fra deres pap-kort? Havde det være en "token" løsning var det jo nødvendigt at sende nøgle-generatoren med alm. post til en eller anden?

Når det så er sagt, så må disse mennesker jo også have fremsendt deres personlige kode?? Det er jo heller ikke videre genialt?

Niels Terp

I øvrigt er der jo den vidunderlige ting ved bankoverførsler, at man skal have en konto at sætte pengene ind på. Så det kan vel næppe være det store problem at finde synderne ?

Niels

Morten K. Thomsen

Som skrevet opdateres artiklen løbende - derfor var der på et tidspunkt lidt "notatskrammel" i bunden af artiklen.

Mht. ordet hacket, så er det jo nødvendigt for de kriminelle af finde ud af/regne ud/hacke sig frem til, hvilken NemID-kode, de skal bede om. Og hvis du spørger de otte Nordea-kunder, tror jeg nok de vil mene, at deres netbank blev hacket.

Mvh. Morten, Version2.

Simon Rigét

Et meget interessant emne er hvem der tager den økonomiske risiko?
Er det brugeren der selv skal afholde hele tabet fordi koder er oplyst til treidepart? eller påtager banken sig ansvaret for sikkerheden?

Tobias Tobiasen

Nu ved vi jo ikke hvad der er sket, men det er jo ikke sikkert et token kunne undgå dette. Hvis folk er blevet bedt om at taste hele deres papkort ind vil en token selvfølgelig hjælpe. Men hvis det derimod er en "live phising" hvor fiskeren logger på netbanken samtidig med at brugeren logger ind, ja så havde en token ikke hjulpet.

Tobias Tobiasen
Tobias Tobiasen

I øvrigt er der jo den vidunderlige ting ved bankoverførsler, at man skal have en konto at sætte pengene ind på. Så det kan vel næppe være det store problem at finde synderne ?


Hvis fiskeren er tilstrækelig smart har han lokket nogle mulvarper i en fælde. Fiskeren overfører pengene til mulvarpen konto og beder ham om at overføre 80% via Western Union. Mulvarpen tror at han er skide smart fordi han tjener 20% ved at gøre "ingenting" og fiskeren får penge der ikke kan spores.

Michael Nielsen

Denne problemstilling eksisterede ikke ved et rigtig token system, designed rigtig. Fordi den fungere kun mellem bank og kunde, og ingen 3. part, end ikke igennem phishing kan berører kommunikationen.

Men før I siger at der er bare dumhed der åbner der her, så kan jeg desværre fortælle jer, at jeg kan (med meget stor sansynlighed) narre en hvilken-som-helst af jer til at udlevere jeres NemID til jer, det kræver bare jeg får en virus ind på din computer og laver en entry i din hostfil for feks - www.danskebank.dk, det virker på alle operativ systemer. Derved kan jeg omdirigere dig til en side der ligner 100%. Nu tror du, at du logger ind og laver dine normale bank transaktioner, men i virkeligheden giver du mig alle dine oplysninger, og de koder jeg har brug for...

Be Warned..

Det her system er en gave til hackere...

men ack nej det er benægtet.

Tobias Tobiasen

Denne problemstilling eksisterede ikke ved et rigtig token system, designed rigtig. Fordi den fungere kun mellem bank og kunde, og ingen 3. part, end ikke igennem phishing kan berører kommunikationen.


Det tror jeg nu ikke er rigtigt. Hvis fiskeren kan få lov at sidde i midten og hver gang banken stiller ham et spørgsmål kan det sendes videre til brugeren. Det kræver selvfølgelig at fiskeren logger ind i banken samtidig med at brugeren er på hans website.

Men før I siger at der er bare dumhed der åbner der her, så kan jeg desværre fortælle jer, at jeg kan (med meget stor sansynlighed) narre en hvilken-som-helst af jer til at udlevere jeres NemID til jer, det kræver bare jeg får en virus ind på din computer og laver en entry i din hostfil for feks - www.danskebank.dk, det virker på alle operativ systemer. Derved kan jeg omdirigere dig til en side der ligner 100%. Nu tror du, at du logger ind og laver dine normale bank transaktioner, men i virkeligheden giver du mig alle dine oplysninger, og de koder jeg har brug for...


"ligner 100%". Bortset fra jeg får en SSL certifikat fejl eller URLen er forkert.
Jeg ville ikke blive naret af det trick...

Martin Kofoed

Fiskeren har vel siddet klar "live" med kunden hængende i en fin kopi af Nordeas login-mekanisme - sikkert en plain HTML-form, hvor grafik får det til at ligne NemID-applet'en. Hvis de har sat det op ligesom min netbank, så skal der kun bruges én nøgle fra kortet, hvorefter der er frit slag i netbanken. Alle transaktioner bekræftes kun med passwordet.

Resultatet bliver nok, at vi skal til at benytte nøgler til at bekræfte transaktioner igen (og at Post Danmark dermed kan regne med en ekstra indtægt fra forsendelsen af disse) :-)

carsten thomsen

Det kan vel lade sig gøre, hvis nogen har lagt noget på din computer, som opsnapper bruger og password.
det kan de have gjort dagen før.
I dag opsnapper de så den kort kode du taster.
Du tror du tastede den hos Nordea, men du tastede den et andet sted.

det andet sted sidder så og tas´ter koden ind det rigtige sted.
Eller er der i mnemid koncept indbygget en sikkerhed mod at ens pc er overtaget???

Jeg ved ikke hvordan de nemid koder fungerer.
Men folk har nok ikke udleveret dem.
men lad os se om nogle dage..så er vi nok klogere..

Simon Rigét

En vigtig grund til at et sådant angreb overhovedet kan lade sig gøre, er at det er muligt at lave anonyme pengeoverførsler. Ved at indfører en væsentlig forsinkelse på frigivelsen af pengene til western union (eller hvem de nu benytter) kunne man måske nå at fange "muldyret" før pengene er forsvundet og derved gøre det helt uinteressant at bryde ind i banker.

Jacob Rasmussen

"ligner 100%". Bortset fra jeg får en SSL certifikat fejl eller URLen er forkert. Jeg ville ikke blive naret af det trick...

Hvis jeg har installeret et malware program på din PC, der kan ændre din Hosts fil, kan jeg vel også tilføje et nyt root certifikat til din keychain?
Begge ting burde kræve administrator rettigheder.
Hvis jeg tilføjer mit eget root certifikat, får du IKKE SSL fejl ved den nye adresse...

Andrew Rump

Problemet er (forhåbentlig) at det kun er NemID applet'en og NemID der ved hvilken kode den skal bede om, så medmindre der sidder en levende person og taster koden ind i det system, der bliver vist til brugeren, så burde det ikke kunne lade sig gøre!

Erik Jensen

Som andre er inde på, så kræver det altså ikke komplicerede tekniske løsninger at logge ind med nem-id, hvis folk selv udleverer informationer. Uden at vide det, kunne jeg forestille mig, at phisheren i det aktuelle tilfælde har udbedt sig personnummer, kode og telefonnummer i mailen. Når nogen er uforsigtige nok til at oplyse dette, så er "angrebet" ret så simpelt for bagmanden. Han skal bare tage telefonen og ringe til ofret, og sige: "Goddag, det er fra banken. Tak for din mail med oplysningerne. Det var godt du kontaktede os, så vi kan få løst problemet. Vi manger dog lige kode nr. xxxx fra dit kodekort, for at vi kan lukke sagen".

Det er svært at sikre sig mod. Tokens osv. løser ikke noget, hvis folk selv udlevere informationerne.

Der hvor 2 faktor sikkerhed gør en forskel er i forbindelse med automatisk høst af informationer fra folks computre.

Benni Bennetsen

Der er også forsinkelse (manuelle checks) på udlandske overførsler.. Har selv prøvet at banken lige ringede og spurgte om jeg var sikker på, at jeg ville overføre nogen penge.. Fordi nogen i deres overvågning af udlandske overførsler mente den så mystisk ud..

Jesper Lund

Det måtte jo ske før eller senere - på trods af at både skattevæsen og banker flere gange har været ude i pressen og ADVARE folk mod overhovedet at reagere på mails hvor de bliver opfordret til at logge ind med deres nem-id via et medfølgende link - ja, så er der 8 bankkunder (læs: FJOLSER) som klikker kritikløst på et tilsendt link, og udleverer frivilligt brugernavn, password og papkort-kode !

Forklar mig lige hvordan jeg kan kontrollere at jeg kommunikerer med DanID og bruger DanID's Java applet? Modsat ved HTTPS hvor jeg kan checke certifikatet manuelt (og installere Firefox plugins som holder øje med om certifikatets fingerprint ændrer sig, så det ikke pludseligt er udstedt af DigiNotar..), er der ikke nogen nem metode til at verificere certifikatet for en Java applet.

Nu ved vi ikke hvordan angrebet er foregået (og måske får vi det heller aldrig at vide), men det er gentagne gange blevet påpeget at NemID er meget sårbar overfor man-in-the-middle angreb fordi den reelle authentikering sker på en central server, mens din kommunikation til serveren ikke er sikret.

Jesper Lund

Hvad man kunne forvente. Den slags angreb er vel svær at beskytte sig overfor. Men tvivler på at dem der er blevet snydt har læst beskeden ordenligt, hvis der er kommet sådan en "Godkend denne signerede applet".

Måske er den falske applet (hvis er er indgået en falsk applet i angrebet; det ved vi ikke) ikke signeret, og hvis du som 99.9% cacher godkendelsen af en applet kan du ikke skelne mellem tidligere godkendte og ikke-signerede appletter.

Tobias Tobiasen

Forklar mig lige hvordan jeg kan kontrollere at jeg kommunikerer med DanID og bruger DanID's Java applet? Modsat ved HTTPS hvor jeg kan checke certifikatet manuelt (og installere Firefox plugins som holder øje med om certifikatets fingerprint ændrer sig, så det ikke pludseligt er udstedt af DigiNotar..), er der ikke nogen nem metode til at verificere certifikatet for en Java applet.


Når jeg logger på min netbank så bliver appleten vist på bankens https site. Der er det meget let at se om man er på bankens https site eller en phising site. (Med mindre min computer har mallware forståes). Hvis du er sikker på at appleten kommer fra din banks hjemmeside så er det meget svært for phisere at få fat i dine nøgler.

Jacob Rasmussen

[quote=179128]Problemet er (forhåbentlig) at det kun er NemID applet'en og NemID der ved hvilken kode den skal bede om, så medmindre der sidder en levende person og taster koden ind i det system, der bliver vist til brugeren, så burde det ikke kunne lade sig gøre![/quote]

Det er vel muligt at sætte en dummy box op, der kan lave selve login proceduren på den rigtige netbank, mens man videresender de få spørgsmål der kræves, til brugeren.
Du ved inden du starter, at du kommer til at mangle CPR og password.
NemID koden skal du først bruge, når du fuldførerer en overførsel, så her skal man nok automatisere lidt.

1: spørg bruger om CPR + password
2: lad brugeren stå i en 'please wait' situation et par sekunder
3: log ind på den rigtige netbank
4: gem forsiden af netbanken
5: start overførsel til 'Hr. Muldyr'
6: aflæs challenge kode fra NemID Applet
7: spørg brugeren om response koden fra papkortet.
8: fuldfør overførslen til 'Hr. Muldyr'
9: vis brugeren en fin forside, så han tror at han er logget ind
10: Sørg eventuelt for at brugeren får en fejlbesked, hvis han klikker videre fra forsiden, og viderestilles til den rigtige netbanks loginside.

Det der er problemet i den her procedure, er at A: få brugeren til at tro at han er på den rigtige netbank og B: aflæse selve challenge koden i NemID appletten, og svare tilbage.

A: kan oftest løses ved at vise brugeren en plausibel side, og håbe på at han ikke kontrollerer URL, SSL og andre normale tegn på forfalskninger. Den almindelige bruger er slet ikke opdraget til at kontrollere den slags, og er desuden enten ikke kompetent, eller for doven til at gøre det hver eneste gang.

B: kan nok løses maskinelt, men alternativt kan man løse det ved at have en person siddende foran skærmen mens login forsøget udføres. Det vil selvfølgelig lække nogle IP oplysninger, da denne person skal have kontakt med serveren der kører hele phishing schemet.

Eventuelle IP spærringer kan omgås, ved at sætte en hacket maskine i Danmark op til at køre webserveren, der udfører login på vegne af hackeren.

Jeg kan ikke lige komme i tanke om nogle sikkerheds foranstaltninger, der skulle kunne spærre for sådan et man-in-the-middle angreb?
Cookies, skjulte HTML FORM parametre og selv timing issues kan vel efterlignes, uden at netbanken kan se forskel på et rigtigt login, og en maskine?
Det eneste det afhænger af, er hvor længe brugerne vil vente på 'please wait' skærmen, men eftersom de i forvejen har svaret på en phishing mail, er der nok en god chance for at de ikke springer fra, på grund af en 'langsom netbank'...

Jesper Lund

Et meget interessant emne er hvem der tager den økonomiske risiko? Er det brugeren der selv skal afholde hele tabet fordi koder er oplyst til treidepart? eller påtager banken sig ansvaret for sikkerheden?

Du har ikke oplyst dine koder til tredjemand fordi du bliver udsat for et man-in-the-middle angreb på et system, som er uden for din kontrol, og som reelt ikke kan sikres mod dette. Denne gang var det kun penge heldigvis, så det er bankens problem.

Hvis indbruddet var sket i de offentlige systemer, ville du formentlig selv have siddet med aben og ansvaret for at rydde op. Regn ikke med at staten giver dig et nyt CPR nummer ved identitetstyveri, selv ikke hvis samme stat har lækket dine personlige oplysninger pga utilstrækkelig systemsikkerhed.

Jeg vil også bruge min netbank-NemID i morgen uden at ryste på hånden fordi jeg ved at det økonomiske ansvar for et eventuelt misbrug ligger entydigt hos min bank. Men jeg er godt nok glad for at jeg sagde nej til OCES-NemID.

Lars Hansen

Jeg kan ikke lige komme i tanke om nogle sikkerheds foranstaltninger, der skulle kunne spærre for sådan et man-in-the-middle angreb? Cookies, skjulte HTML FORM parametre og selv timing issues kan vel efterlignes, uden at netbanken kan se forskel på et rigtigt login, og en maskine

Hvis NemID havde brugt et rigtigt certifikat installeret på kundens PC kunne dette være undgået. Så ville Banken vide hvilket certifikat der var i den anden ende og om det stemte overens med brugernavnet og man-in-the-middle ville være ellimineret.

Sjovt nok var det sådan TDC løsningen fungerede som NemID ikke fandt sikker nok.

Tobias Tobiasen

Det er vel muligt at sætte en dummy box op, der kan lave selve login proceduren på den rigtige netbank, mens man videresender de få spørgsmål der kræves, til brugeren. Du ved inden du starter, at du kommer til at mangle CPR og password. NemID koden skal du først bruge, når du fuldførerer en overførsel, så her skal man nok automatisere lidt.


Nordea er faktisk lidt anderledes. Her bliver du bedt om cprnr, password og NemID koden iden du logger ind. Når man så skal godkende en overførelse bliver man kun bedt om password.
Så Nordea kunder er måske en smule lettere at nare da man ikke behøver at holde brugeren hen og vise ham en fornuftig siden inden ham taster NemID koden ind. Man kan bare vise ham den normale login sekvens (cpr, passwd, kode) så give en plausibel fejlbesked og sende videre til Nordeas site.

Måske det er derfor det er gået ud over Nordea?

Jesper Lund

Når jeg logger på min netbank så bliver appleten vist på bankens https site. Der er det meget let at se om man er på bankens https site eller en phising site. (Med mindre min computer har mallware forståes). Hvis du er sikker på at appleten kommer fra din banks hjemmeside så er det meget svært for phisere at få fat i dine nøgler.

Jeg kan verificere bankens SSL certikat, men alt embedded indhold inklusive Java appletter kan jeg ikke verificere (ja, jeg cacher også applet godkendelser..). Hvad nu hvis min DNS resolver er kompromitteret? Min egen bank synes af en eller andet grund at der skal inkluderes noget GA-lignende third-party tracking spyware på netbank https-siden. Hvis sikkerheden hos det eksterne spyware firma ikke er i orden, kan det formentlig blive en angrebsvektor.

Næste problem er at NemID ikke kun bruges til netbanker, medmindre man som jeg har fravalgt OCES delen af sikkerhedshensyn. En phising side kan lige så godt være noget helt andet, og eftersom DanID's ejere har våde drømme om at tjene en krone på hvert login somewhere in the universe, vil de arbejde for at NemID bliver udbredt til en helt masse sites. Det vil øge risikoen for en MiTM angreb.

Tobias Tobiasen

Jeg kan verificere bankens SSL certikat, men alt embedded indhold inklusive Java appletter kan jeg ikke verificere (ja, jeg cacher også applet godkendelser..). Hvad nu hvis min DNS resolver er kompromitteret?


Hvis din DNS resolver er kompromitteret så vil SSL certifikatet vise en stor fejl. I min browser kommer man slet ikke ind på siden men ender med en stor advarsel.

Og ja, jeg satser på at bankens webserver ikke er blevet ændret af phiseren. Det kræver trodsalt en helt anden indsat fra phiserens side. Det vil sikkert også blive opdaget ret hurtigt og blive lukket inden jeg kommer ind på siden.

Lars Hansen

Derfor er det meget vigtigt at understrege, at man aldrig skal give sin adgangskode eller NemID-nøglekort til nogen som helst

[joke]Hmm.. gad vide hvordan man skal bruge sin NemID hvis man aldrig må give adgangskoden til nogen?[/joke]

Problemet er jo desværre at man snart kan bruge sin NemID til at logge på hvad-som-helst. Jo mere man kan bruge NemID til, jo mindre vil folk have paraderne oppe når de benytter sin NemID. Det kan jo nemt udnyttes til at lave et phishing site:

Svar på 3 spørgsmål og deltag i konkurrencen om en iPjat.

  1. Hvor handler du?
  2. Hvilken bank har du?
  3. Hvor har du sidst hold ferie?

Log på med din NemID for at deltage i konkurrencen.

Snip snap snude phisherne har alle de oplysninger der skal til og kontoen er tømt øjeblikket efter.

Lars Sommer

»Nej, jeg kan jo ikke sidde og give opskriften på, hvordan angrebet er tilrettelagt,« siger Jette Knudsen til Version2.

Hvorfor ikke? Vil I andre beskrive det, når/hvis I ved det?

Jesper Lund

Nordea er faktisk lidt anderledes. Her bliver du bedt om cprnr, password og NemID koden iden du logger ind. Når man så skal godkende en overførelse bliver man kun bedt om password. Så Nordea kunder er måske en smule lettere at nare da man ikke behøver at holde brugeren hen og vise ham en fornuftig siden inden ham taster NemID koden ind. Man kan bare vise ham den normale login sekvens (cpr, passwd, kode) så give en plausibel fejlbesked og sende videre til Nordeas site.

Jeg tror ikke at en OTP kode for selve transaktionen ville gøre nogen forskel her. Det tager ikke mange sekunder at lave en overførsel til en anden bankkonto, så hvis angrebet er sket ved at fiske OTP koder (replay angreb) på et phishing site, ville der ikke gå gange sekunder mellem de to OTP forespørgsler. En "time out" eller "du tastede forkert" besked vil for mange virke plausibelt nok til at indtaste kode #2.

Jesper Lund

Hvis din DNS resolver er kompromitteret så vil SSL certifikatet vise en stor fejl. I min browser kommer man slet ikke ind på siden men ender med en stor advarsel.

Nu behøver angriberen ikke nødvendigvis kompromittere bankens https side, kun det embeddede indhold som Java appletten (eller third-party tracking spyware som også injectes på siden).

Et andet problem, som jeg ikke fik skrevet i første omgang men som jeg passende kan tilføje nu, er at sikkerheden ved SSL i praksis har vist sig at være meget ringe. Der er masser af eksempler på at "nogen" har fået udstedt SSL certifikater til andres domæner, og flere CA'ere er blevet hacket eller sågar kontrolleret af hackere i en kortere eller længere periode. Det er ikke kun DigiNotar, men også store CA'ere som Comodo (plus de sager som vi aldrig har hørt om).

Det er altså ikke bare et spørgsmål om at folk skal holde op med at klikke på links i mails, og så vil den hellige grav være velforvaret (angrebet på RSA, der endte med kloning af SecureID tokens, startede i øvrigt med en mail, så det er ikke kun Hr Hansen og Fru Jensen der falder i hullet på den måde; medarbejdere i sikkerhedsfirmaer gør det også nogle gange).

Jesper Lund

Den 19/9 skrev Politiken denne artikel
http://politiken.dk/tjek/digitalt/internet/ECE1398269/it-kriminelle-afsl...

Det ligner et man-in-the-middle angreb på NemID og Nordeas netbank. Jeg ved selvfølgelig ikke om der er en sammenhæng med det aktuelle angreb, men det skulle godt nok være underligt hvis der er to uafhængige angreb på Nordea i samme uge.

Jeg undrede mig en del over denne udtalelse som Peter Kruse kom med til Politiken den 19/9 (og i øvrigt artiklens overskrift)

Men samtidig afslører de it-kriminelle bag forsøget, at de ikke har tjek på, hvordan sikkerheden er bygget op i Nem-ID, forklarer Peter Kruse fra firmaet.

Peter Makholm Blogger

Hvis din DNS resolver er kompromitteret så vil SSL certifikatet vise en stor fejl

Med mindre angriberen også har skaffet sig et validt SSL certifikat. Men det er selvfølgelig helt usandsynligt...

Vi kan gætte herfra og til juleaften uden at blive klogere. Sålænge DanID ikke bare vil give en grov skitse af angrebets natur må vi antage at NemID er dybt kompromiteret (også til bankbrug, hvor jeg ellers har fundet det rimelig acceptabelt).

Det interessante spørgsmål er om det bare er en dårlig kopi af Nordeas netbank uden nogen form for signeret applet som man skal være forholdsvis godtroende for at hoppe på eller om der faktisk er tale om et noget mere forfinet tiltag hvor man rent faktisk bliver udsat for en signeret applet der tilsyneladende ser ud til at komme fra applet.danid.nu. I bedste fald kan DanID besvare spørgsmålet, i værste fald er de lige så blanke som vi er.

Så det vi ved er: Der er en fungerende angrebsvektor. The Bad Guys kender den. Vi almindelige brugere ved ikke hvad vi skal være opmærksomme på.

Tobias Tobiasen

Nu behøver angriberen ikke nødvendigvis kompromittere bankens https side, kun det embeddede indhold som Java appletten (eller third-party tracking spyware som også injectes på siden).

Et andet problem, som jeg ikke fik skrevet i første omgang men som jeg passende kan tilføje nu, er at sikkerheden ved SSL i praksis har vist sig at være meget ringe....


Derfor skrev jeg også "Det kræver trodsalt en helt anden indsat fra phiserens side". Det er så meget lettere for en fisker at lave en "danskebanki.dk" side der vil narre de fleste. At placere malware på folks computere, snyde med CA'er, injecte ting på bankens website osv. er unægteligt mere besværligt.

Henrik Madsen

Der er flere jer der siger de er glæde for at de ikke har aktiveret oces delen men kan en phisher ikke bare logge ind på din nemid konto og aktivere det og derefter F.eks bestille adresseændring uden du ved det ?

Jørgen Elgaard Larsen

Nordea skriver:

Adgangen til den falske hjemmeside blev derfor spærret kort tid efter, de falske mails blev opdaget.

(Tak til David for linket - se ovenfor)

Det tyder på, at teorien om en falsk bank-side er korrekt.

Niels Terp

Re: Hacking ? Næh, bare dumhed !

Det måtte jo ske før eller senere - på trods af at både skattevæsen og banker flere gange har været ude i pressen og ADVARE folk mod overhovedet at reagere på mails hvor de bliver opfordret til at logge ind med deres nem-id via et medfølgende link - ja, så er der 8 bankkunder (læs: FJOLSER) som klikker kritikløst på et tilsendt link, og udleverer frivilligt brugernavn, password og papkort-kode !

Forklar mig lige hvordan jeg kan kontrollere at jeg kommunikerer med DanID og bruger DanID's Java applet? Modsat ved HTTPS hvor jeg kan checke certifikatet manuelt (og installere Firefox plugins som holder øje med om certifikatets fingerprint ændrer sig, så det ikke pludseligt er udstedt af DigiNotar..), er der ikke nogen nem metode til at verificere certifikatet for en Java applet.

Nu ved vi ikke hvordan angrebet er foregået (og måske får vi det heller aldrig at vide), men det er gentagne gange blevet påpeget at NemID er meget sårbar overfor man-in-the-middle angreb fordi den reelle authentikering sker på en central server, mens din kommunikation til serveren ikke er sikret.

Som jeg læser sagen på DanID's hjemmeside, har de 8 Nordea-kunder reageret på en mail som har indeholdt et link til en side der ligner Nordeas til forveksling. Det behøver ikke engang være HTTPS, en almindelig webformular + lidt CSS kan gøre det.

Det første der bliver spurgt om, er brugernavn og password. Så snart de er tastet ind, kan de naturligvis videresendes til den rigtige nordeaside, som derefter sender Challenge'n til phishernes website. Som straks sender den videre til offeret, som derefter bevidstløst indtaster koden fra papkortet.

Fejlen her er jo helt åbentlyst at man klikker på linket i en mail for at logge ind i sin bank. Så er man efter min mening så dum, at det burde være fuldt ansvarspådragende !

Men som Nordea skriver på sin hjemmeside, alle kunder er blevet holdt skadesløse. Og det er måske en del af problemet: Når alle "ved" at bankerne er villige til at tage skraldet, bliver man sløset med påpasseligheden.

DanID skriver bl.a. på deres hjemmeside:

Der er ingen, hverken banker eller offentlige myndigheder, der på noget tidspunkt vil sende en mail ud med et link til log ind med NemID. Hvis man modtager en sådan mail, er den falsk, og bør slettes.

Jesper Lund

Vi kan gætte herfra og til juleaften uden at blive klogere. Sålænge DanID ikke bare vil give en grov skitse af angrebets natur må vi antage at NemID er dybt kompromiteret (også til bankbrug, hvor jeg ellers har fundet det rimelig acceptabelt).

Sålænge banken dækker tabet ved eventuelt misbrug, har jeg ikke noget problem med at de bestemmer sikkerhedsniveauet. Jeg bruger også flittigt plastickort i EMV chipterminaler eller på internettet, selv om der er talrige eksempler på konsekvenserne af dårlige sikkerhed (læs artiklen "Chip and PIN is broken" eller "How not to design an authentication" om 3D Secure). Jeg har tillid til at banken kan foretage en fornuftig afvejning af hvilket sikkerhedsniveau der giver mening for dem, økonomisk set, for det er jo dybest set deres penge der er på spil, ikke mine. Og som sagt vil jeg også bruge min netbank-only NemID i morgen, med samme ro i sindet som i dag.

OCES-NemID er en helt anden sag. Sikkerhedssituationen er værre end netbank-NemID fordi OCES-NemID skal bruges mange steder ("overalt") og fordi det offentlige vil bygge yderligere man-in-the-middle konstruktioner som NemLogin (et server-baseret single sign-on, noget af det værste som man kan lave) oven på NemID. Derudover er de ansvarlige for sikkerheden ikke dem som i praksis kommer til at sidde med regningen for kompromittering af sikkerheden. Og OCES NemID er alt-eller-intet. Jeg kan ikke bestemme at jeg kun vil bruge OCES-NemID til f.eks. digital tinglysning. Siger jeg ja til digital tinglysning har jeg også sagt ja til at alle mine data hos det offentlige må eksponeres mod internettet via NemLogin. Det er næsten som at købe en smartphone: du er "nødt" til at stole på Apple eller Google, der er ikke noget valg.

Jesper Lund

Der er flere jer der siger de er glæde for at de ikke har aktiveret oces delen men kan en phisher ikke bare logge ind på din nemid konto og aktivere det og derefter F.eks bestille adresseændring uden du ved det ?

Jo, det har du formentlig ret i. Man kan desværre ikke permanent sige nej til et OCES certifikat selv om man aldrig nogensinde vil ønske sig sådan et, men det kan være at DanID implementerer den mulighed efter dette angreb? Der er behov for mere sikkerhed, og en permanent blokering af OCES delen vil hjælpe (lidt).

Jeg er dog ikke helt klar over om jeg kan aktivere mit OCES certifikat alene med en netbank NemID og OTP kode, eller om der kræves yderligere verifikation såsom et pasnummer? Jeg har ikke prøvet, og har heller ikke lyst til at gøre det.

Jeg ved dog stadig sige at risikoen er mindre fordi jeg kun skal bekymre mig om falske netbank sites. Jeg vil ikke blive lokket til at udlevere en OTP kode for at skrive en kommentar på version2 (som nogle politikere måske går og drømmer om, når de gerne vil have styr på hvem der skriver kommentarer på blogs og online nyhedsmedier, og obligatorisk brug af NemID vil eliminere muligheden for anonyme kommentarer som visse politikere ønsker).

Morten Andersen

Ang. det med at:

Der er ingen, hverken banker eller offentlige myndigheder, der på noget tidspunkt vil sende en mail ud med et link til log ind med NemID. Hvis man modtager en sådan mail, er den falsk, og bør slettes.

Jeg søgte min mailbox igennem for ordet "NemID". Har en mail fra SKAT med direkte link til "TastSelv" hvor man logger på med NemID. Har det samme fra min A-kasse.

:D

Jesper Lund

Fejlen her er jo helt åbentlyst at man klikker på linket i en mail for at logge ind i sin bank. Så er man efter min mening så dum, at det burde være fuldt ansvarspådragende !

Det var jo det som OTP koderne (blandt andet) skulle beskytte mod, så hvis du mener at der ikke skal mere til end at et par almindelige brugere klikker på et forkert link ved en fejl, har du indirekte sagt at OTP koderne ikke giver væsentligt mere sikkerhed end en single-factor password login løsning. Det synspunkt har skam været fremført af folk der har kritiseret sikkerheden i NemID, men det blev pure afvist af DanID. OTP koderne var sikre, fik vi vide.

Du kan måske med en vis rimelighed basere netbank sikkerhed på at folk ikke klikker på det forkerte link (den vurdering vil jeg overlade til bankerne der har den økonomiske risiko for misbrug af netbankerne), men meningen var/er som bekendt at NemID skal være et nationale identitetssystem og digital signatur. Nøglen til alt på det digitale plan, og det ikke-digitale skal elimineres med vold og magt. Det øger kravene til den indbyggede sikkerhed ganske væsentligt.

Medmindre de otte bankkunder selv aktivt har samarbejdet med de kriminelle (og den mulighed er nok blevet undersøgt), ligger ansvaret for denne sag helt og alene hos DanID, der i øvrigt må have et kæmpe forklaringsproblem. Måske vil de ikke forklare sig over for den danske befolkning, som tvinges til at stole på NemID, men Folketinget vil forhåbentligt kræve en forklaring.

Martin Larsen

Jeg spekulerer på om det strengt taget ikke er nok med en enkelt tilfældig kode fra papkortet? Det er nemlig sådan at hvis man reloader siden bliver man mødt af en ny nøglekode. Så ved hele tiden at refreshe siden er der altså en reel chance for at ramme netop den kode man har fået tiltusket sig.

Dette kræver naturligvis at der ikke er en mekanisme der kan detektere "brute-force" angreb, men det skulle ikke undre mig spor hvis en sådanmanglede.

Jacob Rasmussen

Hvordan vil du gøre det med en forbindelse der er end-to-end krypteret via en hardware-token?

Så længe du skal taste koden ind i en webform, kan jeg opsnappe den og lave Man-In-The-Middle angreb på din netbank.
Hardware nøgler, smartphone apps, papkort, sms og så videre...
Brugeren er jo ved at logge ind, så selvfølgelig vil han udføre alle de normale procedurer for et login.

Baldur Norddahl

Eneste løsning der reelt blokerer fishing og man in the middle er en hardware token med usb og display. Den skal kunne skrive noget i stil med "Godkend overførsel af DKK X,XX fra konto YYYY til konto ZZZZ?".

Alt der foregår på computerens skærm kan manipuleres. Der er nødt til at være end-to-end kryptering mellem token og bank, således at uanset hvad der sker, så vil brugeren skulle lokkes til at godkende en transaktion direkte på en skærm på token.

I samme forbindelse vil det være smart at indføre biometrisk adgangskontrol på token i tilføjelse til eller måske i stedet for kodeord. Folk vælger elendige kodeord. Et fingeraftryk er måske også for nemme, men det er dog svært hvis en tyv blot har stjålet tasken og det er umuligt at oplyse over en telefon.

Verner Kristensen

Log on til Kinesiske netbanker foregaar saadant.
User name:
Password:
indtastning af bogstav/ tal kombination vist paa web siden:

Saa kan man se konti og bevaegelser.
For at forretage en transaction skal man brugen sin udlevered E-token og en transactions kode som banken sender som sms til din telefon, telefon nummeret skal linkes til din konto ved personligt fremmoede i banken, dette vil jeg mene er en meget sikker metode.

MVH Verner

Kjeld Flarup Christensen

Phisherne må næsten have været nødt til at agere som en slags man in the middle. Phisheren skal præsentere et tal som findes på kortet. Det kan de kun få ved at bruge de oplysninger som de får fra ofret omgående ved at logge på en netbank.
OG den kode vil derefter være brugt, så den skal udnyttes med det samme.

Phisherne kan selvfølgelig også have fisket enkelte koder, og så håbe at det var den kode som blev præsenteret.

Desværre så fungere de fleste webbank systemer uden at skulle bruge nøglekortet, når man laver den faktiske pengeoverførsel også. Her bliver man måske nødt til at hæve sikkerheden.

Michael Peters

Du er hård i din vurdering og tager ikke højde for, at nogle mennesker i vores og altså også dit samfund, ikke er involveret i IT og dermed læser f.eks. Version 2. At kalde det dumhed, er din lille mening, men jeg er sikker på, at du også en gang imellem laver "dumheder" på områder, hvor du er blank.

Fakta er, at mange ældre, der har meget lidt forstand på IT og som går på skole, for at lære at sende en mail, også er tvunget ud i NemID og det er sikkert sådanne mennesker, der er ofre.

Tag lige og klap hesten og hav respekt for, at "dumhed" kan være ældre menneskers manglende kompetance, som banker og myndigheder ikke tager hensyn til.

Lars Hansen

Og skurken er NemID. At lave en ny "sikker" løsning uden at de sikrer sig mod man-in-the-middle er årtiets fail. Samtidig skrottede NemID den eksisterende nøgleløsning fordi den "ikke var sikker nok", hvorefter de lavede noget som var endnu mere usikkert. epic fail.

Jesper Lund

Desværre så fungere de fleste webbank systemer uden at skulle bruge nøglekortet, når man laver den faktiske pengeoverførsel også. Her bliver man måske nødt til at hæve sikkerheden.


Det vil næppe have gjort nogen forskel for et MiTM angreb. Hvis angriberne kan fiske en kode, kan de også fiske to. Tiden mellem login og pengeoverførsel er få sekunder, og på phishing siden kan det maskeres som normal systemventetid (browseren "hænger" lidt) efterfulgt af en besked om at den første kode var forkert og at en ny skal indtastes.

Christian Nobel

Tag lige og klap hesten og hav respekt for, at "dumhed" kan være ældre menneskers manglende kompetance, som banker og myndigheder ikke tager hensyn til.

Hørt, hørt.

Både Nels og Kim udviser en ubehagelig og elitær mangel på forståelse for et problem som er blevet påduttet rigtig mange mennesker, som måske ikke bruger hele dagen foran en computer, og for hvem ord som SSL, certifikater, kryptering, osv. osv. er sort tale.

Men selv samme mennesker er af systemet blevet påtvunget at benytte digital selvbetjening, og gør det måske kun sjældent.

Hvis nu de herrer Nels og Kim pludselig blev plantet i hulabulastan og ikke kunne tale sproget, og dernæst spurgte efter et glas vand, hvilket desværre på hulabulastansk betød din mor er en luder, og en sådan udtalelse i hulabulastan var så fornærmende at det straffes med døden - så ville de nok ikke være så kålhøgne!

Så hvis sådan nogen systemer skal udbredes til gud og hver mand, så er det op til os som tekniker at lave dem gode nok, ikke op til os at fordømme folk der ikke kan forstå vores bras!

Lars Hansen

https://www.nemid.nu/support/ofte_stillede_spoergsmaal/
Den nye, avancerede type svindel, der går under navne som f.eks. "Man-in-the-Middle" eller Real Time Phishing, drejer sig om at den kriminelle konstruerer en hjemmeside der giver sig ud for at være en ægte bankhjemmeside. Kunden bliver snydt ind på den falske hjemmeside via e-mails, der f.eks. postulerer at banken har brug for kundens hjælp i forbindelse med opdatering af et eller andet. Når oplysningerne er tastet ind, logger den kriminelle sig ind i den rigtige netbank i stort set samme sekund, og overfører penge til sin egen konto. DanID er helt opmærksom på denne type svindel, og der er taget højde for dem på forskellig vis i løsningen - fx ved ALDRIG at sende dig e-mails med links du skal trykke på.

Vi kan være helt rolige. NemID HAR taget højde for de "nye avancerede man-in-the-middle angreb" - de sender aldrig mails ud med links man skal trykke på. Puha.. jeg var lige ved at blive nervøs men der er styr på situationen.

Skidt pyt med at alle sites der bruger NemID kan være hacket eller hvem-som-helst kan lave et site med et NemID lign. login. Det er der styr på. Du får nemlig aldrig en mail med et link du skal trykke på.

Niels Terp

Re: Hacking ? Næh, bare dumhed !

Du er  hård i din vurdering og tager ikke højde for, at nogle mennesker i vores og altså også dit samfund, ikke er involveret i IT og dermed læser f.eks. Version 2. At kalde det dumhed, er din lille mening, men jeg er sikker på, at du også en gang imellem laver "dumheder" på områder, hvor du er blank.  

Fakta er, at mange ældre, der har meget lidt forstand på IT og som går på skole, for at lære at sende en mail, også er tvunget ud i NemID og det er sikkert sådanne mennesker, der er ofre.

Tag lige og klap hesten og hav respekt for, at "dumhed" kan være ældre menneskers manglende kompetance, som banker og myndigheder ikke tager hensyn til.

Nu ved vi ikke så meget om de konkrete detaljer om angrebet. Men hvis min tolkning er rigtig, og de omtalte phishing-mails har indeholdt et link som har ført den godtroende bruger til en falsk webside, så vil jeg opretholde min påstand om dumhed.

LIGE NETOP dette er der blevet advaret imod igen og igen, både i dagspressen (senest i anledning af en del phisingmails som foregav at komme fra SKAT) og på webbank-hjemmesiderne. Ligeledes gøres der i hvert fald i Nordea opmærksom på problemet allerede i de betingelser man underskriver ved oprettelsen af webbankaftalen. Alle steder gøres der opmærksom på, at bankerne ALDRIG vil udsende mails med links som man opfordrer folk til at klikke på. Og når der så kommer netop sådan en mail klikker folk prompte på linket, og udleverer nøglerne til guldet.

Hvis man gerne vil have et system hvor folk kan få adgang til systemerne fra en vilkårlig computer, har jeg meget svært ved at se hvordan man teknisk skulle designe et system til at beskytte mod "man in the middle"-angreb.

Jeg forsvarer IKKE nem-id. Jeg synes det er et elendigt system, som er blevet trukket ned over hovedet på os, og jeg havde langt hellere beholdt min gamle digitale signatur. Hvis jeg skal være "flink" ved ofrene er dette så deres undskyldning: At de har fået en bank og en regering som fortæller dem at systemerne er sikre, hvad de absolut ikke er.

Søren Rønsberg

@Niels Terp
Du forholder dig ikke til at DanIDs forsikring om de andre myndigheder aldrig vil udsende mails med links til login ikke har hold i virkeligheden, som både jeg andre har givet eksempler på.

En hurtig gennemgang af min indbakke viser mails med links fra: DanID, PBS, Skat, borger.dk og virk.dk (Erhvervs og selskabsstyrelsen).

Når man er vant til at modtage så mange legitime mails, hvordan skal almindelige, ikke paranoide, personer så fatte mistanke ?

Niels Terp

Hvis nu de herrer Nels og Kim pludselig blev plantet i hulabulastan og ikke kunne tale sproget, og dernæst spurgte efter et glas vand, hvilket desværre på hulabulastansk betød din mor er en luder, og en sådan udtalelse i hulabulastan var så fornærmende at det straffes med døden - så ville de nok ikke være så kålhøgne!

Nej, det har du selvfølgelig ret i. Og hvis de otte Nordeakunder faktisk KOMMER FRA Hulabulastan, hvor banker og offentlige myndigheder jævnligt sender mails ud til borgerne med opfordringer til at klikke på en link - så skal de hermed være undskyldt.

Hvis de derimod er pæredanske, så mener jeg at de burde have lyttet til medierne og den linde strøm af advarsler der er kommet over de sidste par måneder. Og ikke mindst have læst det der står skrevet med halvsmåt i den webbankaftale de i sin tid har skrevet under.

Måske er problemet bare generelt at folk har alt for meget tillid til offentlige og halvoffentlige IT-systemer. Systemerne er rimeligt sikre, HVIS og KUN HVIS man overholder ALLE spilleregler. Hvis man synes det er for kompliceret eller svært, så bør man sige fra overfor internettet.

Hvis det bliver opfattet som "elitært", så beklager jeg. Sådan var det ikke ment. Tvært imod. Jeg er selv programør, og jeg VED at det stort set er umuligt at designe et system der er 100 % sikkert. Men at bilde folk ind, at problemet UDELUKKENDE skyldes dårligt design i nem-id - DET finder jeg til gengæld elitært !

Jacob Ottesen

Jeg vil også bruge min netbank-NemID i morgen uden at ryste på hånden fordi jeg ved at det økonomiske ansvar for et eventuelt misbrug ligger entydigt hos min bank. Men jeg er godt nok glad for at jeg sagde nej til OCES-NemID

Men tilsyneladende kan man blive "tvunget" til at bruge OCES NemID hvis der er en offentlig service man er afhængig af? Jeg var forbi SU kontoret på mit universitet forleden dag, og damen var ret ligeglad med at jeg ikke havde en OCES NemID. Hun insisterede på at jeg skulle have fat i én hvis jeg gerne ville ansøge som stipendier og godkende SU-lån. Man kan så sige at det ikke er tvang i og med at jeg jo i princippet selv bestemmer om jeg vil ansøge om SU, men jeg synes alligevel det er lidt langt ude.

Niels Terp

@Niels Terp
Du forholder dig ikke til at DanIDs forsikring om de andre myndigheder aldrig vil udsende mails med links til login ikke har hold i virkeligheden, som både jeg andre har givet eksempler på.

En hurtig gennemgang af min indbakke viser mails med links fra: DanID, PBS, Skat, borger.dk og virk.dk (Erhvervs og selskabsstyrelsen).

Når man er vant til at modtage så mange legitime mails, hvordan skal almindelige, ikke paranoide, personer så fatte mistanke ?

Er du sikker på at du ikke også er blevet hacket ? :-)

Nej, men helt alvorligt - hvis det var mig der modtog en sådan mail (og jeg tager dit ord for at det er en normal foreteelse), Så ville jeg omgående skrive noget i denne retning retur:

Kære (myndighed/bank)

De har d.d. tilsendt mig en mail med et link som udgiver sig for at være til nem-id. Dermed kompromiterer De sikkerheden i nem-id systemet på det groveste, og jeg har derfor slettet Deres mail.

Da dette brud på sikkerheden kan have almenhedens interesse er kopi af nærværende mail sendt til EkstraBladet.

Så kan de lære det !

Casper Kvan Clausen

Måske er problemet bare generelt at folk har alt for meget tillid til offentlige og halvoffentlige IT-systemer.


Det er helt sikkert en stor del af problemet - se bare hvor mange, der efterspørger muligheden for at stemme over nettet. Man skulle jo ellers tro at langt de fleste havde prøvet at miste arbejde og data pga. programnedbrud, døde harddiske/maskiner og lignende, og derfor havde en vis skepsis over for IT.

Søren Schack Hansen

Tak for den kommentar!
Jeg er nogenlunde orienteret i it-verdenen, men kun på amatør-basis (læs: Pensioneret IT-underviser i folkeskolen) og frustreres, fordi jeg reelt forstår under 10 % af indlæggene i denne stream.
Den del af befolkningen, der end ikke har min baggrund, er som nævnt henvist til at stole på eksperterne og i øvrigt udvise almindelig sund forsigtighed.

Claus Nielsen

Til diverse myndigheders forsvar skal det siges at det nu om dage er forbandet svært at skrive en web-addresse som feks. www.borger.dk i en mail eller andetsteds uden at det af en browser, et mailprogram, en sms-klient eller lignende straks bliver fortolket som et klikbart hyperlink.

Det gør at den eneste måde man kan UNDGÅ at sende links ud er ved ikke at skrive dem "rigtigt", såsom w w w . b o r g e r . d k, hvilket nok skal forvirre en vis andel af publikum.

Finn Aarup Nielsen

"Nets Group" udsender denne pressemeddelelse: https://www.nets-danid.dk/om_nets_danid/presse/28092011_nets_danid_advar... hvor der står "Der er ingen, hverken banker eller offentlige myndigheder, der på noget tidspunkt vil sende en mail ud med et link til log ind med NemID. Hvis man modtager en sådan mail, er den falsk, og bør slettes."

Er det ikke lodret usandt? Jeg modtager månedligt email fra en server under e-boks.dk. Denne har link til www.e-boks.dk. Desuden har den seneste også link til www.nemid.nu. Fra www.e-boks.dk føres der videre til www.nemadgang.dk, hvor min NoScript Firefox udvidelse kæmper en brav kamp. Om nemadgang.dk er et fiskested har man vel ikke a priori mulighed for at vide.

Fiskere kan crawle statslige website med medarbejder email-adresser (f.eks. universiteter), efterligne e-boks emailen, udsende en email i slutningen af måned med noget i retning af www.e-boks.ck og derefter vente på at man kan live-fiske. Har man crawlet tilstrækkeligt mange emails bør der være en god sandsynlighed for at en af os i et uopmærksomt øjeblik ryger i.

Søren Rønsberg

Det er normal praksis at sende informative emails ud med et relevant link. Alt andet vil også være tåbeligt, da de færreste kan huske adressen på en hjemmeside som måske kun skal anvendes een gang om året.

Konsekvensen heraf er at loginsystemet skal være sikkert at anvende under sådanne forhold, således at ikke bare brugeren bliver identificeret over for serveren, men også at serveren bliver identificeret over for brugeren. Og med sikkerhed for at kommunikationen ikke er modificeret undervejs.

Vi kan nu konstatere at NemId ikke duer til den virkelige verden. Men det kommer nok ikke som en overraskelse for ret mange. Den angrebsmetode der formentlig er anvendt (med en falsk hjemmeside)blev beskrevet kort efter præsentationen af NemId.

Niels Terp

Login sikkerhed skal svare til normal brug

Det er normal praksis at sende informative emails ud med et relevant link. Alt andet vil også være tåbeligt, da de færreste kan huske adressen på en hjemmeside som måske kun skal anvendes een gang om året.  

Konsekvensen heraf er at loginsystemet skal være sikkert at anvende under sådanne forhold, således at ikke bare brugeren bliver identificeret over for serveren, men også at serveren bliver identificeret over for brugeren. Og med sikkerhed for at kommunikationen ikke er modificeret undervejs.

Vi kan nu konstatere at NemId ikke duer til den virkelige verden. Men det kommer nok ikke som en overraskelse for ret mange. Den angrebsmetode der formentlig er anvendt (med en falsk hjemmeside)blev beskrevet kort efter præsentationen af NemId.

Men her beder du om noget som er fysisk umuligt. Man kan godt verificere at man har fat i den korrekte server - hvis man kan opdrage alle brugere (også den 72-årige pensionist) til at klikke på hængelåse og tjekke SSL-certifikater. Det er næppe realistisk i den virkelige verden.

Derimod kan man IKKE verificere fra serveren, at det er "den rigtige" bruger der er logget ind. DET kræver (som i det gamle Digital Signatur) en krypteret nøglefil på computeren, eller på en hardware-token som så SKAL tilsluttes via USB og understøtte end-to-end kryptering.

Og det er hele "ideen" bag nem-id: AAt brugeren nemt og bekvemt kan koble sig op fra en hvilken som helst computer - hvis man har webadgang har man også adgang til bank, det offentlige o.s.v. Men det har "men in the middle" desværre også.

Niels Terp

Her i Sverige har man en anderledes håndfast tilgang til problemet:

Når du opretter en bankkonto med webbank her, får du som standard udleveret et VISA-kort til din konto, plus en lille kortlæser med USB-tilslutning.

Her skal man hverken bruge brugernavn eller password. Man går ind på bankens hjemmeside, og indtaster sit personnummer. Så bliver der på skærmen vist en kontrolkode. Nu sætter man sit VISA-kort i kortlæseren, indtaster kontrolkoden OG KORTETS PIN-KODE, og får så i displayet en kode som giver adgang til hjemmesiden. Derudover skal denne procedure gentages for hver transaktion man foretager.

Dette system fungerer også som adgang til div. offentlige systemer, enten ved udveksling af kontrolkoder eller ved direkte tilslutning via USB.

Under alle omstændigheder er det en forudsætning for at komme "på", at man har sit VISA-kort og pinkoden til det.

Jeg tvivler på at selv dette system er 110 % sikkert, men det er i hvert fald langt mere sikkert end det stenaldersystem som Dan-ID har bikset sammen.

Jesper Poulsen

Så bliver der på skærmen vist en kontrolkode. Nu sætter man sit VISA-kort i kortlæseren, indtaster kontrolkoden OG KORTETS PIN-KODE, og får så i displayet en kode som giver adgang til hjemmesiden.

Hvor genereres denne kode?
Server-side?
Client-side?
I kortlæseren?

Det er ikke ligegyldigt, da kortnummer og PIN-kode jo skal holdes adskilt. Sendes disse over en forbindelse der ikke er end-to-end-krypteret er et MITM-angreb mindst lige så fatalt som med NemID.

Morten Wegelbye Nissen

Skal vi ikke være enige om at det primære problem er at bankerne ikke opkræver nemid kode for at lave overførelse.

Visa pin kode systemet er præcis det samme som nemid, bare med noget mere POP.
Noget man har papkort/visa kort. Noget man ved, pinkode. Tilsæt en challenge. I mine øjne er løsningerne helt ens.

Niels Terp

@ Maciej

Det hele foregår i en webbrowser, så jeg går ud fra at det også vil virke i Citrix. Men jeg har ikke prøvet.

@ Jesper

Kontrolkoden genereres fra bankens webserver. Men til forskel fra nem-id genereres koden STRAKS du går ind på hjemmesiden. En falsk hjemmeside skulle altså generere en "falsk kode" som bankens server med garanti ikke ville genkende - og det ville min kortlæser heller ikke. Det vil sige at min kortlæser heller ikke giver mig nogen returkode, og dermed har jeg slet ikke mulighed for at sende mit CPR-nr afsted.

Så vidt jeg kan se, er et man-in-the-middle angreb kun muligt hvis angriberen PÅ FORHÅND kender offerets personnummer. Det fjerner i hvert fald muligheden for at skyde med spredehagl, og blot sende et par tusinde phishingmails ud i håb om at nogen går i fælden.

Hvis Dan-ID ville øge sikkerheden kunne de ændre deres logon, så challenge-koden blev genereret med det samme, og svarkoden så skulle sendes SAMMEN MED CPR-nummeret.

@ Jesper

Nej, til Nem-ID kører jeg en linuxbox på Virtualbox.

Jesper Lund

Skal vi ikke være enige om at det primære problem er at bankerne ikke opkræver nemid kode for at lave overførelse.

Uenig. Jeg tror ikke at det vil gøre nogen forskel.

Hvis du kan fiske en korrekt OTP kode ved login til netbanken (via din phishing side), kan du også gøre det når transaktionen skal gennemføres. På phishing siden vil manden med papkortet opleve at det første login fejler og det ser ud som om at NemID beder om en ny kode. Det er der ikke noget usædvanligt i. Det er sket flere gange for mig og jeg klikker ikke på underlige links :-)

Jesper Poulsen

Kontrolkoden genereres fra bankens webserver. Men til forskel fra nem-id genereres koden STRAKS du går ind på hjemmesiden.

Sendes kortdata og PIN-kode til bankens server forud for login?

Så vidt jeg kan se, er et man-in-the-middle angreb kun muligt hvis angriberen PÅ FORHÅND kender offerets personnummer.

Det afhænger af hvilke data der sendes til bankens server forud for login.

Det fjerner i hvert fald muligheden for at skyde med spredehagl, og blot sende et par tusinde phishingmails ud i håb om at nogen går i fælden.

Men det fjerner ikke muligheden for indbrud/misbrug.

@ Jesper

Nej, til Nem-ID kører jeg en linuxbox på Virtualbox.

Samme her. Men nu var det Maciej der ville vide om det virker med XenApp, så det kunne tænkes at han virtualiserer NemID på netop den platform... :-)

Niels Terp

Sendes kortdata og PIN-kode til bankens server forud for login?


Det som banken sender til mig er en formular på hjemmesiden som allerede har en kontrolkode. Denne kontrolkode taster jeg ind på min kortlæser, sammen med pinkoden på mit kort. Hvis min kortlæser så godkender kontrolkoden (og jeg går ud fra at den er genereret bl.a. ud fra et klokkeslet) får jeg en svarkode vist i displayet, som jeg så indtaster sammen med mit CPR-nummer. D.v.s. jeg KAN ikke sende mit CPR-nummer af sted uden en korrekt kontrolkode.

Hvis jeg derimod ikke får en returkode (kontrolkoden er ikke godkendt) kan jeg prøve igen (hvis jeg har tastet forkert) eller jeg kan udbede mig en ny kontrolkode ved at genopfriske siden.

Mine kortdata og min PIN-kode til kortet forlader således aldrig min computer. De bliver end ikke indtastet i computeren.

Så vidt jeg kan se, er eneste mulighed for indbrud/misbrug at

  1. En falsk hjemmeside med en falsk kontrolkode vises.

  2. Min kortlæser afviser kontrolkoden. Allerede her ville jeg blive grundigt mistænksom, og som minimum prøve med den samme kontrolkode igen. Det ville så heller ikke virke.

  3. Jeg genopfrisker siden for at få en ny kontrolkode. Den falske hjemmeside må nu generere en ny falsk kontrolkode.

  4. Kun i det helt usandsynlige tilfælde at kontrolkoden skulle "passe til" kortlæseren, ville fiskeren nu kunne få mit CPR-nummer.

  5. Først nu, bevæbnet med mit CPR-nummer, kan fiskeren få adgang.

Kontrolkoden er i øvrigt på 6 cifre, og selvfølgelig fuldstændig udokumenteret.

Niels Terp

Hvordan får du en webbrowser til at kommunikere med et USB device?


USB-tilslutningen på kortlæseren er blot en mulighed, hvis man f.x. vil bruge sit VISA-kort direkte som elektronisk ID. Når jeg logger ind på netbanken er kortlæseren slet ikke forbundet til computeren - den har faktisk samme funktion som papkortet i Nem-ID, bortset fra at man altså skal have et VISA-kort med tilhørende PIN-kode for at bruge den.

Søren Rønsberg

@Niels

Så vidt jeg kan se, er eneste mulighed for indbrud/misbrug at

1.En falsk hjemmeside med en falsk kontrolkode vises.

Den falske hjemmeside beder om en ægte kontrolkode fra din bank og videresender til dig.

2. Min kortlæser afviser kontrolkoden. Allerede her ville jeg blive grundigt mistænksom, og som minimum prøve med den samme kontrolkode igen. Det ville så heller ikke virke.

Din kortlæser godkender koden som normalt.

3. Jeg genopfrisker siden for at få en ny kontrolkode. Den falske hjemmeside må nu generere en ny falsk kontrolkode.

Den falske hjemmeside beder om en ny ægte kontrolkode fra din bank og videresender til dig.

4. Kun i det helt usandsynlige tilfælde at kontrolkoden skulle "passe til" kortlæseren, ville fiskeren nu kunne få mit CPR-nummer.

Du indtaster dit CPR-nummer.

5. Først nu, bevæbnet med mit CPR-nummer, kan fiskeren få adgang.

Enig.

Challenge koden skal sendes krypteret fra banken med bank/NemIds hemmelige kode og din offentlige for at du kan være sikker. Den skal desuden indeholde oplysning om hvilken site du er ved at logge ind på. Dit svar skal være krypteret med din hemmelige kode og NemIds/banks offentlige kode, og indeholde oplysning om hvilken transaktion du godkender.

Det kan kun laves sikkert hvis brugerne på forhånd har en liste over gyldige certifikater eller kan betros at fungere som rodcertificat for andre udbydere.

NemIds koncept med at samme login bruges alle steder til alt muligt betyder at et login for at hente skolens meddelelser kan misbruges til at bryde ind i ens netbank.

Der er en som påpeget af mange før en grundlæggende designfejl i systemet.

Niels Terp

Den falske hjemmeside beder om en ægte kontrolkode fra din bank og videresender til dig.


Men allerede her "går det galt" for den falske hjemmeside. Den kan ikke bede om en ægte kontrolkode fra min bank, for dertil skal den bruge mit personnummer - og det indtaster jeg ikke før jeg har en fungerende kontrolkode.

Vi er helt enige om, at med diverse aflytningsteknikker er der stadig mulighed for at bryde ind - men et man-in-the-middle angreb baseret på en simpel falsk webside vil jeg anse for at være udelukket i dette system.

Michael Nielsen

Ja i det her tilfælde var naieve brugere sendt i fælden, via et simple trick.

Men hvis man benytter en virus, til at ændre på din /etc/hosts file (som også findes i windows), kan jeg omdirigere selv erfarene internet brugere til en falsk side, hvis jeg udfører det korrekt vil offeret end ikke vide de er blevet hacket, før de får deres konto udtog. Gør jeg det så intelligent, slette jeg så angrebet fra ofrets computer, som vil gøre det svært for nogen at se hvad der rent faktisk skete..

Det her er det første skridt til at hacke NemID, og den nemmeste måde at gøre det på, der er mange naive brugere, så det vare nok et stykke tid før de kriminelle gider at gå videre..

Men jeg spår det kommer.

Peter Gram

Et par af de ovenstående kommentatorer har været inde på det, men det har fanget interessen tilsyneladende; flaskehalsen i nok enhver økonomisk forbrydelse er at få pengene i hånden uden at blive pågrebet i dette sidste led. Så hvorfor ikke sætte ind ved dette svage led? Hvorfor vil PBS overhovedet tillade pengeoverførsler til Western Union, hvis navn går igen i alt for mange historier om økonomisk (netbaseret) kriminalitet? Hvis det åbenbart skal være muligt at kunne overføre store kontant beløb til en anonym mand, der kommer ind fra gaden, kunne man så ikke lave en ekstraordinær menneskedrevet (og gebyrbelagt) kontrolfunktion, der sikrer, at det virkelig er betalerens hensigt? (jeg skriver dette, idet jeg går ud fra, at en eller anden funktionær fra PBS automatisk bliver sat til at skanne alle disse 100 kommentarer til sagen for at uddrage noget lære)

Niels Terp

Jeg bruger jævnligt Western Union til at overføre mindre beløb til min familie i Kenya. Det er et rigtig godt system, som man altså KUN kan bruge ved at forevise gyldig billedlegitimation - så denne overføringsform må antages at være mindst lige så sikker som alt muligt andet man kunne udtænke.

Hvorfor sker det her så ?

Som jeg ser det, er det svage led ikke Western Union, men derimod det "muldyr" som man på forhånd har overtalt til at medvirke.

Og til det er efter min mening kun at sige, at hvis man går med til en transaktion som man ved eller burde vide er dybt ulovlig, så fortjener man at ende med Sorteper. At vedkommende så i reglen sikkert ikke kan betale det fulde beløb, er så bare ærgeligt, men man kan næppe gøre andet end at idømme så hårde og konsekvente straffe at folk ikke bliver fristet af de tilsyneladende nemme penge.

Den kloge narrer den mindre kloge, sådan har det altid været, og det har internettet i hvert fald ikke gjort til et mindre ploblem !

Jesper S. Møller

... er at der er så mange led i NemID sikkerheden:
- Postbudet
- Din postkasse
- DNS servere
- Dit nøglekort
- Din adgangskode
- CA'ers certifikatudstedelsespraksis
- Din browsers sikkerhedshuller
- Din Java versions sikkerhedshuller
- Din evne til at skelne phishingsites fra rigtige sites
- Ordlyd i bankers og det offentliges mails

Bryder ét (eller i visse sammenhænge to) af de ovennævnte led er det nok til at eksponere dig som bruger, eller den udnyttede serviceudbyder i den anden ende. At tro du kan sikre alle disse led, for alle brugere, altid er utopi.

M.a.o. er det svageste led at der ikke er end-to-end kryptering og signering i spil ved den type transaktioner. Dette kræver noget stærkere end OTP, og udelukker offentlige terminaler, og kræver trusted hardware hos klienten. Alt andet er afhængig af softwareløsninger som jo kan kompromitteres.

(Og det er så hér vi må indrømme at vi savner Stephan Engbergs tydelighed i dette spørgsmål)

I mellemtiden har vi disse mindre sikre løsninger, men de er stadig bedre for samfundet end personligt fremmøde (hvor banken står klar med en håndskriftekspert). Indtil videre.

Peter Gram

Så synes jeg, at der mangler en eller anden vigtig information: Et beløb bliver phishet ud af din konto og over til muldyrets konto. Det er en transaktion, og vi kender derfor muldyrets konto og dermed identitet. Enten kan man så antage at muldyret er i ond tro og kræve beløbet tilbage fra ham, eller også kan man forfølge den næste transaktion, som jo også har en kendt afsender og modtager. Hele vejen til forbryderens hånd er der kendte transaktioner, men det er det sidste punkt, der er kritisk; den fysiske udlevering. W.U. siger du, gør det kun mod billedelegitimation, men vil vel sagtens ikke holdes ansvarlige, hvis det viser sig, at udleveringen ikke skulle have fundet sted. Okay, man kunne vel heller ikke forbyde en kontoejer at overføre et stort beløb til en indisk bank med instruktion om, at pengene skal puttes i en krukke og søsættes i Ganges. Så konklusionen er, at muldyret er skurken, der skal bøde - i mangel af bedre

Simon Rigét

Tja - muldyret er en grådig tåber, der altid bliver fanget. Uanset hvor hårdt man slår med på hende.
At sende penge med W.U. er en let måde at anonymiserer transaktionen på. Bruges i stor stil i mindre udviklede lande og til at vaske penge.
der er ikke samme krav til identifikation som vi normalt forventer af en bank.
Hvis man indfører en forsinkelse på transaktionen i W.U. og andre steder hvir iudentititet ikke er verificeret, ville man måske kunne nå at opklarer forbrydelsen og stoppe transaktionen. Derved ville det ikke være rentabelt at lave phising i DK. (Måske)
Dette skulle naturligvis ikke gælæde hvis man laver almindelige IBAN bankoverførsler. Heller ikke til en indisk bank :o)

Michael Nielsen

[quote]
Men allerede her "går det galt" for den falske hjemmeside. Den kan ikke bede om en ægte kontrolkode fra min bank, for dertil skal den bruge mit personnummer - og det indtaster jeg ikke før jeg har en fungerende kontrolkode.
[/qoute]

Og spørg dig selv, havde du gået ind på den rigtig bank side, hvor har banken fået dit person nummer fra? det er noget du har tastet ind, et eller andet sted.

Du skal identificere dig selv til serveren før den kan vide noget om hvem du er eller hvad dit person nummer er, dette information har du også leveret til MITM angriberen, og derfor har de dit personnummer, eller i hvertifald det information som banken bruger til at skabe din kontrol kode.

DU kan ikke lave det her sikkert hvis du ikke har END-TO-END kryptering, hvor det er umuligt for en MITM.

Den nemmeste måde er at du stiller inde i banken, beviser hvem du er (svageste led), banken udlevere en krypto token (enten som den tyske model), eller som jeg har beskrevet med en skærm på.. Nu kender banken din offentlige nøgle (og ved det er din), og du kender bankens public nøgle og ved med sikkerhed det er banken's nøgle. Nu kan du lave garantere overførsel af information, med nogle simple forholds regler... MITM er nu umulig, hvis man ikke har hacket banken, din krypto terminal, eller har hacket nøglerne - Det er meget svært at gøre..

Alt andet laver man forudsætninger som ikke holde, og når man laver dem ender man som NemID, med et meget meget farlig problem.

Log ind eller opret en konto for at skrive kommentarer

Pressemeddelelser

Affecto Denmark reaches highest Microsoft Partner level

Affecto Denmark, a leading provider of data-driven solutions, has reached the highest level in the Microsoft partner ecosystem: Managed Partner.
22. jun 2017

Innovate your business with Affecto's IoT Explorer Kit

Are you unsure if Internet of Things fits your business strategy?
31. maj 2017

Big Data Lake Summit: Fast and Trusted Insights

If you want to outpace, outsmart and outperform your competition in a digital world, you need trusted data that can be turned into actionable business insights at speed.
24. apr 2017