Netbanktyve bryder gennem NemID igen: Stjæler 700.000

Har lige modtaget en "vrøvlet" mail vedr. min konto hos Danske Bank. Forsøger via Netbank at sende en mail (sourcecode) til Danske Bank, så de er advaret. Kan bare ikke lade sig gøre, da de ikke vil modtage "< og >" tegn. Hvordan pokker skal jeg så kunne hjælpe DB, når de nægter at modtage advarsler !!!! Jeg er ufatbar.... at DB (og måske andre banker IKKE har en adresse på anmeldelser af forsøg på phishing.

Hvorfor er det pludseligt mere sikkert hvis man skal svare JA på en sms? Banken abonnerer ikke på dine CPR-oplysninger mig bekendt - min bank har ihvertfald ikke mine CPR oplysninger. Jeg har selv skullet give dem nyt telefonnummer eller adresse når jeg har skiftet telefon eller bopæl. Hvis du har adgang til folks netbank via NemID, så har du for ~50%*'s vedkommende også adgang til resten af deres digitale liv via et OCES-certifikat. Så burde det være muligt at snyde selv en SMS autentificering hvis der bare skal svares JA. Hvis det er et OTP fra papkortet, så hjælper det på det.

Mit største problem med NemID er ikke sikkerheden, det er at man ikke har valgt PKI og at man har valgt at bruge en java-applet, ehdddrrrr... Jeg kan ikke gå på netbank fra min telefon. HTML, JS, CSS er rigelig fint til login med brugernavn/password + challenge/OTP.

Jeg er enig med de andre debattører, at tyvene må have søgt en del kandidater igennem før de fandt nogle med så mange kontanter. Der er givetvis masser af folk i Danmark der stadigvæk joiner botnettet uvidende hver gang de starter computeren. Det er svært at garantere sikker kommunikation når hele softwarestacken på klientsiden kan være kompromiteret til kernen - men hva pokker. NemID skal nok tilbyde mere gaffa-tape i form af nye og ENDNU mere hemmelige autentificeringsmetoder. Der er hele tiden et nyt token om hjørnet fornemmer man på pressemeddelelserne; for en beskeden pris naturligvis!

Men hvorfor brokker jeg mig - det er jo valgfrit! Analogien med kløften, broen og pigtråden er ikke helt ved siden af, synes jeg :)

• Jeg kan ikke finde en artikel der giver det præcise tal for hvor mange af danskerne der har aktiveret OCES, men op til årsopgørelsen mener jeg antallet bevægede sig noget over de skuffende 25% ved udgangen af 2010**

** http://www.version2.dk/artikel/hver-fjerde-vil-ikke-bruge-nemid-til-offentlige-tjenester-16523

Er det overhovedet muligt at lave et idiotsikret system?

Det er så let at pege fingre af NemID. Men hvordan skal man lave et 100% idiotsikret system? Hvis folk gladeligt trykker på links i en dybt suspekt email, så kan man da lave vilkårligt sindrige systemer, hvorved det alligevel lykkes tyve at liste sig udenom systemerne.

Hvis man kan franarre folk deres identitet ved at sende dem en email - så er det åbenbart NemIDs skyld! MEN hvis man snupper folks bilnøgle fra deres taske, er det så Volvos skyld? Eller hvis jeg aflurer folks kode til deres dankort, er det så pengeinstituttets skyld?

Hvis forventningerne til et "sikkert system" er, at folk bare skal slå hjernen fra og "gøre som der bliver sagt i en suspekt mail", så er det da svært op ad bakke at designe et sådan system.

Det må være en udfordring til de meget begavede folk i denne debat, at skrue et sådant system sammen. :)

Rent faktuelt er det brugerne, der er blevet snydt, og ikke NemID's sikkerhed der er blevet brudt.

Brugerne har selv (ved at være uforsigtige) udleveret deres brugerid, kodeord og engangskode til hackerne. Det er hverken DanID's applet, protokol eller servere, der har været kompromitteret.

Artiklens postulerende overskrift svarer til at hævde, at Dankort systemet er brudt, hvis en tyv kan hæve på en andens kort efter at have afluret pin-koden og stjålet pungen.

Det korte af det lange er, at det brugerne som er det svage led, og som bliver angrebet. Hvis man mener, at vi skal have national sikkerhedsløsning, som ikke er sårbar overfor borgere med malware på deres pc/mobil og som udleverer deres credentials i et phishing angreb, skal vi formentlig have den MEGET store pengepung frem samt formentlig ofre ting som brugervenlighed og mobilitet. Er det virkelig det, folk ønsker?

http://www.version2.dk/artikel/skat-dropper-links-i-e-mails-sikkerhed-k…;
<p>:-)

DanIDs regler siger kun at de ikke må linke direkte til login-siden. De må gerne linke til en forside, hvorfra man så kan klikke videre til en login-side. Ud fra et eller andet mystisk argument om at en IT-kriminel ikke kan finde ud af at lave 2 sider. Jeg synes ikke artiklen siger klart hvilke links der vil være i næste email fra skat.dk .

Jeg synes hellere at DanID skulle få noget rigtig sikkerhed, i stedet for sådanne brugeruvenlige og ineffektive regler.

Jeg husker ikke det med Gentofte Bibliotek? Og Google finder heller ikke rigtigt noget. Link?

Jeg mente herlev-bibliotek.dk , fra Version2's demo-video: http://www.version2.dk/artikel/paerelet-narre-nemid-fra-dig-med-klonede-hjemmesider-32397

Featuren med SMS godkendelse af bankoverførsler blev jeg først udsat for efter at være blevet flyttet fra deres gamle løsning til nemid løsningen. Set fra mit synspunkt er det Nordeas måde at dobbeltsikre mod evt. problemer med nemid da de jo ikke må have ment det var nødvendigt før.

Nej den kan ej. Kom med et konkret eksempel, tak.

Hvad havde forhindret den falske Nordea-side i at pege på https://danld.dk eller https://danid.eu med en pixel-til-pixel-kopi af https://danid.dk?

bankerne, forbryderne stjal fra. Næste træk: Nu er det kunderne, forbryderne stjæler fra. Næste træk: Det kan trækkes fra i skatteregnskabet. På den måde bliver banken og kunderne delvist skadesløse. Og regningen sendes videre til skatteborgerne. Lyder det helt hen i vejret?

..but i told you so.

Ah, det var lige den nyhed man havde brug for en trist fredag. Man skal ikke være skadesfro, men jeg kan ikke lade være med, at sidde med et kæmpe smil på læben og vente på hvad DanID nu kan finde på af mærkelige søforklaringer :-)

hvor mange er reelt blevet hacket og fundet for lette grundet manglende kapital på deres konti?

Disse 8 kunder er jo bare dem der er har haft masser kapital til at overfører.

Måske er jeg selv hacket, men de har sgu nok grinet deres røv i laser grundet manglende dækning på mine konti ;o)

"Netbanktyve bryder gennem NemID igen"

Øøh, ja selvfølgelig bryder de gennem NemID igen for DanID har jo ikke lukket hullet som de benytter.

Nåååå ja, de har ikke lukket hullet fordi de ikke KAN lukke hullet selvom det er et hul som de blev advaret mod allerede INDEN det blev indført.

"Det er vigtigt at understrege, at det seneste angreb fra it-kriminelle ikke ændrer ved den generelle sikkerhed bag NemID, og man kan trygt anvende sin netbank, som man plejer," lyder det."http://epn.dk/teknologi2/computer/sikkerhed/article2691527.ece

Ja der er i sandhed noget om det gamle ordsprog om at vil man ikke høre så må man føle.

Jeg går generelt ikke ind for kriminalitet men jeg må sige "god vind" til hackerne, håber satme de tager godt for sig af godterne, bankerne og DanID VAR advaret så de er i den grad selv ude om ALT det lort hackerne gør ved dem.

Jo hurtigere de her hackere får bevist at NemID er noget lort så vi kan få gang i at få et andet system jo bedre.

Henrik Madsen

Det må da være forholdsvis simpelt at give Nem-ID brugerne mulighed for at sætte en øvre grænse for overførsler til udlandet. For de fleste af os vil det være mere betryggende, såfremt man ikke kan overføre mere end eks.vis 10.000,- Kr til udlandet, uden at gennemføre en ekstra sikkerhedsprocedure. På den måde vil det nok ikke kunne betale sig for de kriminelle at sidde og lure på hvornår de skal slå til. Man kunne vel også sætte straffen for at fungere som indenlandsk "Mule" op!

Den var Breaking News på forsiden af Dr.dk - og jeg har fået Breaking News SMS fra DR, samt notifikation af DR's nyheds App på IOS.

Nu har DR.dk så nedjusteret den til forsideartiklen uden 'breaking' prædikat; - men det er fedt at en mere bred befolkning fik det serveret som en 'breaking news' - så det ikke kun er i snævre IT kredse man ved, at den er gal.

Har de kriminelle typer slet ikke fulgt med når Nets har forklaret at problemet med Phishing er et rent teoretisk problem.

At de vil være det bekendt.

Ha! var jeg lige ved at sige: dette er jo en gammel nyhed, - den med de 8 bankkunder. http://www.version2.dk/artikel/nemid-phishing-nordea-netbank-otte-kunder-31480 Er Ritzau kørt af sporet?

Så opdagede jeg at det er en ny historie, - og banken er en anden. :-)

Måske kan talskvinde Jette Knudsen genbruge hendes uptalelse fra september 2011:

»Ja, det vil kunne ske igen, hvis folk reagerer på phishing-mails. Derfor er det meget vigtigt at understrege, at man aldrig skal give sin adgangskode eller NemID-nøglekort til nogen som helst,« siger Jette Knudsen.

Hvorfor? Fordi DanID (bankerne) er ligeglade med min sikkerhed i forhold til diverse offentlige systemer. Det selvom identitetstyveri kan være meget ubehageligt for den enkelte. Men kun hvis det koster en bank penge vil DanID gøre noget ved det.

Så derfor er det godt at der bliver stjålet lidt håndører fra Danske Bank.

EDEL!! Hvor er min høtyv og faklen?!?