Med få dages indsats, en smule fantasi og værktøjer, der er frit tilgængelige på internettet, kan en relativt ukyndig it-kriminel franarre dig dine NemID-oplysninger og få adgang til bl.a. netbank, selvangivelsen eller detaljerede oplysninger om medicinforbrug og behandling på sundhed.dk.
Det dokumenterer Ingeniøren og Version2 i dag i en video, hvori et fiktivt angreb præsenteres trin for trin.
NemID anvendes i dag på et stigende antal hjemmesider, f.eks. biblioteker, datingtjenester og nyhedsmedier. Den stigende udbredelse betyder, at brugerne ikke ænser, om de er inde på en ægte eller en falsk side.
Det kan it-kriminelle udnytte til at etablere en falsk hjemmeside, f.eks. for et bibliotek, hvor NemID-oplysningerne lokkes ud af borgeren, påpeger Ulf Munkedal, direktør i it-sikkerhedsvirksomheden FortConsult:
»Det er et reelt designproblem i dag, og DanID skal have gjort noget ved det, inden trusselsbilledet for alvor indhenter dem. De skal finde en måde at løse det her på, så man ikke bare i flæng taster NemID ind alle steder,« siger han.
Forsker: Et realistisk angreb
Forsker i it-sikkerhed ved IT-Universitetet Joe Kiniry er enig og fastslår, at angreb af den type - kaldet man-in-the-middle - er realistiske:
»Det er helt sikkert et problem. Og det bliver formentlig udnyttet allerede nu med man-in-the-middle-angreb. Lige så snart det her bliver mere udbredt - og nogen for alvor begynder at udnytte situationen - vil der blive gjort noget ved problemet,« siger han.
At NemID er sårbart over for angreb via falske hjemmesider viste sig også i september, da otte Nordea-kunder blev narret til at indtaste deres login på en efterligning af Nordeas netbank.
Men som Ingeniøren dokumenterer, kan andre hjemmesider også bruges til at narre NemID ud af borgerne og derved give kriminelle adgang til netbanker og over 220 offentlige og private hjemmesider.
Eksperter: Sårbarhed kan mindskes
Det er langt fra kun NemID, der risikerer man-in-the-middle-angreb. Også de store kreditkortselskaber og andre leverandører af online-betalingstjenester har forsøgt at løse brugernes problem med at vide, om man befinder sig på en lovlig hjemmeside for indtastning af kreditkortoplysninger, eller om oplysningerne i virkeligheden er ved at blive indtastet på en ondsindet side, forklarer Ulf Munkedal.
For at komme den usikkerhed til livs anvendes der i betalingskortsammenhæng nu flere steder et særskilt pop-up-vindue, når brugeren ønsker at betale med kort på nettet. På den måde skal brugeren blot tjekke, at der står f.eks. 'visa.com' i browserens adressefelt - for det skal der stå, uanset i hvilken butik, man handler, for at der er tale om en lovlig transaktion. Og den løsning mener Ulf Munkedal godt kunne overføres til NemID:
»Hvis man gik over til at bruge et pop-up-vindue fra en autoriseret kilde, så ville det i hvert fald hjælpe på sikkerheden,« siger han og bakkes op af Joe Kiniry.
DanID: Forsvar vil gå ud over brugeroplevelsen
Chef for Center for Digital Signatur under Digitaliseringsstyrelsen Palle H. Sørensen, der er den daglige ansvarlige for NemID og den kontrakt, der er indgået med leverandøren DanID, erkender, at Ingeniørens simulerede angreb er muligt.
»Men vi laver en løbende trusselsvurdering, og hvis vi kan se, billedet ændrer sig, så er der nogle mekanismer, vi kan tage i brug,« siger han - uden at ville gå i detaljer med, hvilke mekanismer, der er tale om med henvisning til sikkerheden.
DanID erkender i en skriftlig udtalelse til Ingeniøren, at angrebene er mulige, men vil ikke øge sikkerheden endnu:
'Vi har mulighed for at imødegå denne trussel, men ikke uden at det går ud over brugeroplevelsen.'
Denne historie er fra Version2's søstermedie Ingeniørens trykte avis, der udkommer fredag