Her er bagmanden: Sådan snød Arthur Williams NemID og stjal fra Nordea-kunder

Dokumentation: Version2 har fulgt sporet efter de it-kriminelle, der via et 'man in the middle'-angreb brød NemID-sikkerheden og stjal penge fra 8 Nordea-kunder. Se på grafikken, hvordan angrebet skete.

Herover ses to loginbilleder til Nordeas netbank. Ét er ægte og ét er phishingsiden, der blev brugt til at stjæle loginoplysninger fra 8 Nordea-kunder. Klik for at forstørre - kan du se forskel?

Version2 kunne onsdag aften berette om, at 8 Nordea-bankkunder var blevet udsat for et phishingangreb. Kunderne havde fået franarret deres loginoplysninger til NemID, og samtidig var det lykkedes den kriminelle at få den NemID-nøgle, der hørte til et bestemt nøglenummer. Det kunne den kriminelle, fordi phishingangrebet foregik real-time. Det bekræfter en kilde over for Version2. Men hvad er et real-time-angreb overhovedet?

Læs også: NemID phishet – 8 bankkunder frastjålet penge i netbank

Et real-time-angreb kendes også som 'man in the middle'. Det vil sige, at den kriminelle har siddet mellem den intetanende bankkunde og Nordeas netbank. I dette tilfælde var kunden via en phishingmail blevet lokket ind på domænet nordea-dk.com, i stedet for nordea.dk.

På den falske side, nordea-dk.com har den kriminelle så lavet en side, der til forveksling ligner den rigtige loginside (se i øvrigt ovenstående billede).

Klik på den interaktive grafik nedenfor og se, hvordan den kriminelle fik fat i bankkundens informationer og nøglen fra NemID.

Den danske reaktion

Da phishingmailen kom i omløb, tog Nordea kontakt til de danske myndigheder og fik lukket for den falske hjemmeside. Efterfølgende tog en bankkunde kontakt til banken, fordi vedkommende havde en transaktion, der 'så underlig ud'. Herefter undersøgte Nordea sagen nærmere og fandt frem til yderligere 7 bankkunder, der havde fået foretaget lignende transaktioner.

Claus Christensen er informationschef i Danmark for Nordea. Han oplyser, at de otte bankkunder, der har været ramt af phishingangrebet undtagelsesvist har fået kompenseret de fulde beløb, de havde mistet, da der normalt ellers er en selvrisiko. Han oplyser også, at det for alle kundernes vedkommende drejede sig om mindre end 8.000 kroner, der var blevet stjålet.

Og så vil Claus Christensen gerne slå fast, at Nordea som altid råder deres kunder til aldrig at give deres loginoplysninger væk, eller reagere på mails, hvor der står, at de skal logge ind på bankens hjemmeside. Den slags mails sender Nordea ikke, lyder det fra banken.

Sikkerhedsekspert Peter Kruse fra CSIS har været dybt involveret i sagen, men har netop af den grund ingen kommentarer. Han afviser at kommentere sagen, så længe efterforskningen stadig er i gang, men han bekræfter over for Version2, at han ved, hvilken metode, der er blevet brugt i phishingangrebet, men vil hverken be- eller afkræfte, om der er tale om et real-time-angreb.

Storstilet, organiseret it-kriminalitet

Det viser sig, at det ikke er første gang, den kriminelle bagmand har forsøgt at narre logins fra folk ved hjælp af phishing. Ved hjælp af et såkaldt whois-opslag på domænet nordea-dk.com, kan man få oplyst, hvem der har registreret navnet. Vedkommende er en Arthur Williams fra New York, men det er Version2’s opfattelse, at der med stor sandsynlighed er tale om en falsk identitet.

Ved at søge på de oplysninger, der dukker frem om registranten på phishingdomænet, dukker flere advarsler op på nettet omkring registrantens identitet, der har op til flere phishingdomæner tilknyttet. En sikkerhedsblog advarer mod en server fra Proxad i Frankrig, der hoster en række falske bankdomæner. På bloggen står der, at domænerne retter sig mod finske og franske bankkunder. Domænet, der blev brugt til det danske phishingangreb, er dog registreret hos et Australsk hostingfirma bosiddende i Melbourne.

Phishingdomænerne er blandt andet nordeasfi.com, nordea-if.com og osuuspankki-fi.com, hvor sidstnævnte er en finsk sammenslutning af banker. Og lige netop domænet nordeasfi.com har været nævnt af sikkerhedsfirmaet F-Secure den 12. september.

Det tyder altså på, at den eller de kriminelle bagmænd fokuserer på Nordea-koncernen, og at det ikke er første gang, de har forsøgt at franarre loginoplysninger og i sidste ende penge fra intetanende bankkunder. Det kan Peter Kruse fra CSIS bekræfte. Han oplyser til Version2, at CSIS har haft en fil på gruppen bag phishingangrebet i over et halvt år. Men det er første gang, de har ramt Danmark:

»Denne her gruppe er ikke ukendt for os. Det er folk, der er vant til at lave it-kriminalitet og har specialiseret sig i phishing-angreb. Det er helt klart organiseret kriminalitet,« siger Peter Kruse til Version2 og fortsætter:

»De har tidligere brugt andre navne. Alt tyder på, at nogle af dem, der står bag dette phishingangreb har tilknytning til Rockbanden. Rockbanden udså sig skandinaviske mål i stor stil for fire år siden og var direkte relateret til Avalanche-botnettet.«

Bekræft din konto

Herunder kan du læse den phishing-mail, Nordea-kunderne havde modtaget. Et ekstra mellemrum er dog indsat i linket.

**Fra:** Nordea [*mailto:security@nordea.dk*]
**Emnelinje:** Pmindelse
**Indhold:**
Dette er en hfligheds pmindelse om, at din konto skal verificeres.
For at modtage uafbrudt tjenester, skal du kontrollere dine oplysninger med det samme.
For at bekrfte din konto, skal du klikke p nedenstende link, logge ind og flge de anvisninger:
http://www.netbank.norde a-dk.com/netbank/?servlet/LogonCommon
Hilsen,Nordea

Forresten: Det er billedet til venstre, der er fra phishingsiden.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (86)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jesper Lund

Tjaah, der har vel været et to-cifret antal version2 indlæg som skitserede lige præcis dette angreb, så nogen stor overraskelse er det ikke.

Denne gang var det en falsk netbank side, som måske burde have fået advarselslamperne til at lyse hos NemID brugerne.

Men tænk et par år frem i tiden: NemID har erstattet alle andre former for login (og DanID tjener kassen med en krone per login), PET har krævet personvalidering med NemID for at bruge offentlige hotspots ("det kunne jo være en terrorist"), vi skal alle bruge NemID for skrive kommentarer på version2 eller Ekstra Bladet ("kun terrorister skriver anonyme kommentarer"), aldersvalidering med NemID for at se porno, etc etc etc. Alle bruger NemID (selv mig!) fordi tvangsdigitaliseringen i det offentlige har tvunget os til det ad bagvejen (uden at Folketinget nogen sinde har vedtaget en lov og taget ansvaret for NemID).

I det fremtidsscenarie vil NemID være overalt, og ingen vil blive overrasket hvis de møder NemID et nyt sted på nettet. Hvordan skal vi skelne mellem ægte og falske NemID sites i den situation? Det login som jeg afgiver til hotspottet for at komme på nettet, kan også bruges (via MiTM) til netbankindbrud eller identitetstyveri af mine oplysninger i offentlige databaser (der skal eksponeres mod internettet via single sign-on'et NemLogin).

Kenn Nielsen

oplyser, at de otte bankkunder, der har været ramt af phishingangrebet undtagelsesvist har fået kompenseret de fulde beløb, de havde mistet, da der normalt ellers er en selvrisiko.

Meget pænt af dem, men man kunne få den tanke , at det er for at lægge låg på dårlig omtale af nemID.

K

Thomas Johansen

Spændingen er udløst. Check flash grafikken (der er 4 tabs).

Doh, jeg så slet ikke at der var flere sider på den flash.

Nøj hvor er det en simpel måde at få de rette oplysninger på. Det er jo skræmmende let at lave sådan en phishing model. Havde slet ikke tænkt på denne måde.
Så længe de realtime får oplysningerne fra banken/nemid, så ahr de hvad de skal bruge får at få de korrekte informationer retur.....Skræmmende.

Rolf Kristensen

Ville det ikke bare være at når man logger ind på den falske hjemmeside, så logger de ind på Nordea hjemmeside.

Så først angiver man CPR-NR + Kodeord, som de så sender videre til NemId applet på Nordea's netbank side.

Hvorefter Nordea's netbank side beder om en NemId kode, som de så videresender til den falske hjemmeside. Når brugeren indtaster koden på den falske hjemmeside, så kan de så videre sende koden til Nordea's netbank side.

Derefter har de en session hvor man kan gøre hvad man har lyst til, idet man netop har password.

Frej Soya

Jeg undrer mig lidt over den der hængelås 'sikker forbindelse'. Det er vist mere skadeligt at have den på en ikke. Godt kan man trykke på den (hvad sker der?), men så ville det jo være bedre at trykke på den hver gang du logger ind, hvis det rent faktisk forbedrer sikkerheden (tvivlsomt).

Thue Kristensen

Jeps, det er useriøst at brugeren ingen reel chance har for at vide om en side er reel. Der er jo bare et tilfælde her, at de bruger en Nordea-lignende side til at narre Nordea-kunder. De kriminelle kunne have brugt en hvilken som helst side til at aflure passwords. For eksempel hvis man kan lave en Javascript-injection på en side, så kan man tegne en NemID-login dialog.

Der er jo også den pointe, at jeg ikke har nogen mulighed for at sikre mig mod at min netbank fisker mit login når jeg logger ind. Ikke særligt sandsynligt, men stadig principielt et problem.

Og det kan man da sagtens gardere sig mod: Gør lige som OpenID, for NemID er jo ikke det første login-system som skal prøve at løse det problem. Se for eksempel på http://openid.net/get-an-openid/start-using-your-openid/ hvordan et openid-login foregår.

Med OpenID's metode: Vedtag at alle logins foregår på https://nemid.nu. Hvis man skal logge ind på Nordea's hjemmeside bliver man sendt til https://nemid.nu, skriver under på at man vil logge ind hos Nordea, og bliver så sendt tilbage til Nordea. Man skal så som bruger checke, om siden man taster sit nemid-password på er https://nemid.nu . Ganske simpelt og sikkert mod phishing.

Jeg har for resten for noget tid siden angivet problemet til
-IT og Telestyrelsen
-DanID
-Datatilsynet
-Udvalget for Videnskab og Teknologi
Jeg nævnte også OpenID's løsning i brevene til Datatilsynet og Udvalget for Videnskab og Teknologi. Uden den store effekt.

Peter Mogensen

Nej - hvordan skulle jeg kunne det?
I har jo eksplicit ikke inkluderet den information i screen-shot'et der skulle sætte mig i stand til det.

Man kan så diskutere om SSL-certifikaterne og den måde browseren giver brugeren adgang til at vurdere om siden er ægte er brugervenlig.

Ulrik Suhr

dvs. hvis man nu i første omgang havde pki og modtog mails fra banker af den vej..... ville man så overhoved være i tvivl om det var en falsk mail?

En dag når EU eller et andet EU land har fået oprettet et ordentlig offentligt sikkerhedssystem til borgerkommunikation kan vi vel købe det..

indtil da har vi en nem løsning som ikke er sikker :)

Christian Loiborg

Hej Lars

Jeg har lige tjekket infografikken i både Chrome (14.0.835.186) og Firefox (7.0.1) - det virker helt fint.

Det, der sandsynligvis er problemet er, at der nu i artiklen er et billede, der linker til infografikken i en større udgave (hvor den før var interaktiv i selve artiklen). Derfor er der kun ét billede i selve artiklen (både i FF og Chrome).

/Christian, Version2

Palle Due Larsen

Hvis ikke man kan se, at den pågældende mail er en phishing mail, bør man lukke sin netbank, købe sig et par gode sko og gå ned i den lokale filial og foretage alle sine bankforretninger. Det skriger jo til himlen. En eller anden dag finder phisherne en danskkonsulent, og så vil vi se mange flere sager af denne slags.

Henrik Kramshøj Blogger

Jeg har for resten for noget tid siden angivet problemet til -IT og Telestyrelsen -DanID -Datatilsynet -Udvalget for Videnskab og Teknologi Jeg nævnte også OpenID's løsning i brevene til Datatilsynet og Udvalget for Videnskab og Teknologi. Uden den store effekt.

Desværre vil en ændring betyde at man skal erkende fejlen man har gjort - og der er desværre blevet gravet så dybe kløfter nu at det aldrig sker. NemID bliver aldrig en success - i mine øjne.

Det er ikke en skam at lave fejl, men en skam ikke at rette op på dem.

Martin K

Nu har jeg kigget lidt på hvordan det her phising angreb (og nogle andre har foregået), så vil jeg påstå at min banks opsætning gør dens brugere mere sikre overfor denne metode. Der kan godt nok logges ind på banken hjemmeside uden NemID, men der kan ikke laves nogle transactioner af nogen slags uden du skal have dit NemID frem. Så som jeg ser det så burde man være sikker, hvis man som bank sørger for sine kunder skal bruge NemID ved hver transaction. Dette er dog nok en irretation, men dog vil jeg hellere have lidt mere sikkerhed, når man alligevel skal have kortet op. Dog så kan man sikkert også phishe resten af processen og så logge folk til at lave en overførsel, men min opfattelse er at folk normalt vil mistænke det for at være et scam, hvis man bliver bedt om at lave en overførsel.

Morten Borg

I GAMLE DAGE var det med Jyske Bank således at man hver eneste gang man skulle foretage en transaktion, så skulle man bruge en ny "NemID kode" (Jyske Bank havde sit eget tilsvarende system).

Med det nye NemID system, kan man, når først man er logget ind, gennemføre transaktioner blot ved at efterfølgende at bruge sit kodeord.

Hvis det gamle system havde været bibeholdt - ny ved jeg godt vi snakker Nordea - så var dette næppe sket. Sandsynligheden for at samme kunde inde for en kort periode hopper i samme fælde er i hvert fald betydeligt mindre.

Jeg mener banken har det fulde ansvar for det der her er sket, idet de har prioriteret brugervenlighed over sikkerhed. Sålænge at bankerne til enhver tid erstatter de fulde tabte beløb, har jeg ingen indvendinger imod det som sådan. Men det ER bankens ansvar, når de har prioriteret sådan.

Michael Fjeldsted

Sandsynligheden for at samme kunde inde for en kort periode hopper i samme fælde er i hvert fald betydeligt mindre

Hvis først kunden er gået i fælden burde det ikke være et stort problem at lokke 2 koder ud af personen. Efter man har modtaget første rigtige kode fra brugeren logger man ind i netbanken, men fortæller brugeren at koden var forkert og beder brugeren prøve igen. Så vil brugeren de fleste gange prøve igen og nu har du kode nr 2 du så kan bruge på at overføre penge.

Morten Borg

Hvis først kunden er gået i fælden burde det ikke være et stort problem at lokke 2 koder ud af personen. Efter man har modtaget første rigtige kode fra brugeren logger man ind i netbanken, men fortæller brugeren at koden var forkert og beder brugeren prøve igen. Så vil brugeren de fleste gange prøve igen og nu har du kode nr 2 du så kan bruge på at overføre penge.

Du har uden tvivl ret i at nogen vil gå i fælden fortsat, men jeg vil nu antage at det vil sortere nogen fra.
Jeg synes dog med rette man kan stille spørgsmålstegn ved om det er i bankernes interesse at tilbyde den højere sikkerhed, dels er mindre brugervenligt og ikke mindst er det formentligt betydeligt dyrere at betale NemID for hver transaktion end blot at dække tabene. Derfor taler jeg heller ikke for den gamle model - sålænge tabene dækkes.

Thue Kristensen

Hvis man ikke opdager, at man logger ind på nordea-xx.com, hvorfor skulle man så opdage, at phisheren har lavet nemid-xx.com, som man så bliver omdirigeret til, når man skal logge ind. Kan ikke rigtig se, at det løser noget problem.

Lige nu har DanID ikke fortalt mig som bruger hvilke sider det er sikkert at taste mit NemID-password ind på. Med min løsning, så kan man meget simpelt informere brugerne om, hvor de må taste deres NemID-password ind. Nemlig kun på https://nemid.nu .

Med den nuværende løsning ved jeg personligt ikke hvordan jeg skulle afgøre om en given NemID-dialog er ægte. Jeg kan komme med et godt gæt, men der er ikke nogen skudsikker metode.

Der vil selvfølgelig altid være brugere, som taster deres password ind alligevel. Men med min løsning så har de i det mindste en chance.

Thue Kristensen

I GAMLE DAGE var det med Jyske Bank således at man hver eneste gang man skulle foretage en transaktion, så skulle man bruge en ny "NemID kode" (Jyske Bank havde sit eget tilsvarende system).

Med det nye NemID system, kan man, når først man er logget ind, gennemføre transaktioner blot ved at efterfølgende at bruge sit kodeord.

I min bank (Nykredit), så kræver det en tofaktor-kode for hver transaktion. Så jeg går ud fra at det er bank-afhængigt.

Til gengæld kan man i Nykredit logge ind uden tofaktor-kode. Og derfra få direkte adgang til sin e-boks, uden at skulle taste yderligere koder ind.

Baldur Norddahl

Hvis det gamle system havde været bibeholdt - ny ved jeg godt vi snakker Nordea - så var dette næppe sket. Sandsynligheden for at samme kunde inde for en kort periode hopper i samme fælde er i hvert fald betydeligt mindre.

Det er intet problem. Fake siden melder bare fejl i første login forsøg og beder om en ny kode. Hvem har ikke prøvet at taste en kode forkert? Brugeren vil måske undre sig, men langt langt de fleste vil prøve en gang mere.

Kjeld Ole Bak

I mange år havde Danske bank en loginprocedure, der minder om Nem-ID, dog med en lille special-regnemaskine i stedet for papkort. Indtil for 3-4 år siden var proceduren, at man loggede ind med sit hoved-password, og derefter validerede sig med et engangspassword ved hjælp af regnemaskinen, fuldstændig som Nem-ID i dag. Når man skulle flytte penge til egne eller andres konti, skulle man validere hver transaktion med et nyt engangspassword. Men for 3-4 år siden svækkede Danske Bank sikkerheden ved kun at forlange hoved-passwordet (og altså ikke engangspasword) ved pengetransaktioner - fuldstændigt som Nem-ID gør det i dag. Dette betød, at ved et man-in-the-middle angreb kunne manden i midten sende pengetransaktioner til banken blot ved hjælp af det hoved-password, som han havde opsamlet ved starten af sessionen. Vel at mærke pengetransaktioner, som ikke bliver vist for brugeren, og som brugeren altså ikke har nogen viden om. Hvis man havde fortsat med at kræve et engangspassword for hver transaktion, havde manden i midten naturligvis været tvunget til at vise transaktionen for brugeren for at få det næste engangspassword udleveret, og så ville det angreb jo være afsløret.

Jeg skrev dengang til Danske Banks edbafdeling og omtalte denne sikkerhedsbrist, men de værdigede mig naturligvis intet svar. Og denne sikkerhedsbrist er i dag videreført i Nem-ID. Jeg forstår ikke, hvorfor man ikke genindfører en så lille procedureændring, som det ville være at gå tilbage til at kræve engangspassword for hver pengetransaktion.

Tobias Tobiasen

"Og så vil Claus Christensen gerne slå fast, at de som altid råder deres kunder til aldrig at give deres loginoplysninger væk, eller reagere på mails, hvor der står, at de skal logge ind på bankens hjemmeside. Den slags mails sender Nordea ikke, lyder det fra Nordea."

Det er mærkeligt for jeg har mange mails fra Nordea der siger jeg skal logge ind på bankens hjemmeside. Her er seneste eksempel:

"Vi har sendt en mail til dig i Netbank.

Af hensyn til din sikkerhed er der ikke links i denne notifikationsmail. Du
skal derfor selv logge på Netbank for at læse din mail fra os."

Mon ikke Claus mener at de aldrig inkluderer links i de mails de sender?

Claus Nielsen

Hvis først kunden er gået i fælden burde det ikke være et stort problem at lokke 2 koder ud af personen. Efter man har modtaget første rigtige kode fra brugeren logger man ind i netbanken, men fortæller brugeren at koden var forkert og beder brugeren prøve igen. Så vil brugeren de fleste gange prøve igen og nu har du kode nr 2 du så kan bruge på at overføre penge.

En simpelt "forkert kode - prøv igen" metode, som du beskriver er uden tvivl mulig, men kræver at brugeren ikke fatter mistanke imens phisheren lige skal sætte en pengeoverførse (eller flere) op inden han/hun beder om den næste kode.

Man vil utvivlsomt kunne få enkelte brugere til at taste nye koder ind i flere minutter, men man skal alligevel være hurtig på tasterne.

Anders Kreinøe

Hvis angriberen har kendskab til hvordan netbankens er opbygget, er det selvfølgelig scriptet, og tiden det tager før han har den næste kode han skal spørge brugeren om, er derfor kun afhængig af svar tiden på netbanken. Det kan sagtens ske på et par sekunder, som de fleste nok næppe fil få mistanke af.

Emil Moe

Der burde følge en udførlig og nem guide med nøglekortet til, hvordan man ser, hvilket domæne man er inde på. Samt der online, eller i brevet, nok bedst online da den kan opdateres, med, hvilke domæner der er godkendte til NemID. Det vil være forkert at sige det er NemID der er skyld i det, men det er heller ikke en løsning at sige, at det er brugernes egen skyld når nu 8 faldt for det på samme tid.

Bjarne W. B. Petersen

Hvor realistisk er følgende scenario.

  1. Hacker får lusket kode ind på en offentlig myndigheds hjemmeside (det har vi lige læst at det sagtens kan ske).

  2. Hackeren benytter denne adgang til at luske en fake NemID-login på siden og narre oplysningerne ud af de borgere der skal logge ind hos myndigheden.

  3. Ud over cpr/brugernummer, adgangskode så har hackeren 3 skud til at få NemID-koder ud af borgeren og satse på at vedkommende er kunde hos Nordea, Danske Bank eller Jyske Bank.

  4. Tømme borgerens konti, hvis der er bingo.

Hvilke muligheder har jeg som borger for at beskytte mig mod dette?

Michael Nielsen

men I F******* TOLD YOU SO.

Jeg beskrev dette angreb, da NemID lancerede, og jeg endda sendte et brief ind til teknologirådet og alle andre jeg kunne få navne på, hvor jeg pågede en reel løsning for disse problemer.

Man ack nej, "eksperterne" ved bedre, og vil ikke høre på kritik, og nu har vi et system hvor almindelige brugere sådan bare er "sheep for the slaughter", almindelige brugere har ingen chance... Advancerede brugere kan også narres ved denne slags angreb, men vectoren skal ikke være en email, men en virus der ændre system hosts filen..

Den Eneste sikre løsning, (som i øverigt ville være billigere end NemID var, og ville fungere uden at oprette en ny Monopol, og ville være immune over for NemID nedbrud), er at bruge en Crypto terminal, med en skærm, dvs end-to-end kryptering, hvor Man-In-The-Middle angreb er umulige, det kan gøres..

Men eksperterne ved bedre, og mener et ælgammelt system (som var smidt ud i 1990'erne som værende usikkeret) er den ultimative login løsning i Danmark.. Forgangs land, lol..

Kontakt mig hvis i vil vide mere..

Michael Nielsen

Hvis den gør som mange banker, skal jeg kun bruge 1 nøgle for at komme ind, så hvis jeg gjorde det ville jeg få nøglen logge ind, lave transaktionen, og smide brugeren hen til - login fejl, og sige de skal vente 1 time før de prøver igen, Hvis banken brugere mere end 1 nøgle, kan man også bruge denne teknik til at få flere nøgler ud af brugeren.

Morten Borg

[qoute]Det kan jo uden de store armsving automatiseres. Det behøver ikke tage mere end få sekunder at få sat gang i den transaktion.[/quote]

  • Og det kan banken jo så igen meget nemt tage højde for ved ikke at tillade at der overføres penge så hurtigt efter login. De kan jo blot foretage en simpel måling af hvor hurtigt man manuelt er i stand til at overføre penge til andre konti og så sætte grænsen dér. Det vil højst sandsynligt i alle situationer ødelægge konceptet med "din kode er forkert, prøv igen".
Lars I. Nielsen

Jeg er helt med på, at en falsk hjemmeside kan "fake" den rigtige, så brugeren bliver snydt til at tro, at det er den rigtige side han er inde på.

MEN, hvorfor "fjernstyrer" skurken det rigtige login til den rigtige netbank ?

Man logger jo ind med NemID gennem en Java applet, ikke via HTML eller JavaScript. Mig bekendt har en applet intet programmeringsinterface man kan tilgå. Den eneste mulighed jo kunne tænke mig, var hvis appletten kommunikerede med DanID i klartekst, hvilket en proxy-server ville kunne opfange og logge, men det er vel ikke tilfældet ??

Michael Nielsen

Hvor længe vil du vente.

Jeg kan bare simulere lidt netværks lag - op til flere sekunder virker fint.. 10 sekunder virker også - jeg har oplevet det kan tage en hel del sekunder.

Men der er intet der stopper mig for at tage tallet - vente lidt - sende en fejl til brugere - du kom ikke ind, mens brugeren så er i gang igen, kan siden bekvemmeligt tage sin tid og angribe systemet når hvad en timer der er løber ud.

Det er et hack på at løse et skidt system... Den bedre måde er at at løse problemet rigtig.

Jørgen Elgaard Larsen

Man logger jo ind med NemID gennem en Java applet, ikke via HTML eller JavaScript.


Den falske side kan bare lave en falsk form eller sin egen java-applet, der opsnapper oplysningerne. Det er ikke noget problem at interface mellem den falske side og den rigtige java-applet.

Det kan gøres på mange måder - en af de simpleste er at have en maskine stående med en browser åben, og så generere muse- og tastaturevents. Der findes flere muse-automatiseringsværktøjer, der kan gøre dette.

Det vil også have den fordel, at banken ikke vil have nogen mistanke om, at det ikke er en person med en rigtig browser, der logger ind - det er jo netop en rigtig browser.

IT-Politisk Forening beskrev iøvrigt for længe siden den angrebsmetode, der er blevet anvendt mod Nordea. Der var endda flere artikler i dagspressen. Men dengang udtalte DanID, at det ikke kunne lade sig gøre.

Peter Pedersen

Hvordan kan bagmanden så overføre penge nu? Jeg har selv Nordea og skal da taste et par engangskoder hver gang regningerne skal betales, samt når jeg skal overføre.

Den eneste kode fra papkortet, som bliver kompromitteret er jo en engangskode og kan ikke genbruges? Er der mere "Netbank" efter at personen har logget ind?

Baldur Norddahl

Der er allerede svaret i trådene ovenover (lad som om der er login fejl o.s.v.). Men jeg vil bemærke at det står angriberen frit for at være kreativ. Han kan sagtens lave et system der spørger brugeren om alt muligt og beder brugeren om at bekræfte med ekstra koder.

Og det behøver på ingen måde være et system som 100% af brugerne hopper på. Det er fint nok bare nogle få procent taster deres koder ind.

Niels Dybdahl

For at besvare det stillede spørgsmål om det kun var nordeakunder som fik emailen, har jeg kigget i mit spamfilter (jeg er ikke hos nordea). Emailen var der ikke, men der var to som bad mig logge ind på en fupside for den finske nordea og en som bad mig logge ind på en fupside for skat.

Michael Nielsen

@Morten Andersen

Hvor var det i pressen I beskrev det aktuelle angreb?

Du kan søge på bla. mit navn i Computer world, Comon, og Version2... Jeg har også beskrevet angrebet på andre sites.

IT-politisk forening har også prøvet at få opmærksomhed på sagen, og har været i medierne flere gange, mht problemer med NemID, men hver gang afvises det fra DanID's side som fantasi, men desværre er det nemmeste angreb nu udført. Medlemmer af IT-politisk forening har været meget aktiv.

Men hverken staten eller DanID har været lydhør, og man tror mere på DanID end kritikere, det kan man se ud af de høringssvar som kritikken udmundede sig i.

Bare sørgeligt, man bruger nogle milliarder på at bruge et system, folk påpege problemer fra før projektet starter, mens det kører, efter det er lanceret, men fordi DanID siger det er sikkert, så hører man ikke på kritikken.

lArs hAnsen

Er der nogen, som kan forklare hvordan det er muligt?

Banditten sætter et falsk site op med et falsk nemid lign. login. Du taster dit cprnummer/brugernavn og din adgangskode ind. Du trykker på login. Banditten taster de samme oplysninger ind på den rigtige bank-login. Banditten får nu nummeret på den kode du skal taste ind. Banditten laver næste loginside hvor han gentager nummeret fra den rigtige side. Du taster pinkoden fra nemid kortet ind på bandittens side. Banditten taster nummeret ind i netbanken har har nu fuld adgang til dine penge. Bandittens arbejde kan naturligvis automatiseret vha. script så du ikke kommer til at vente alt for længe.

Kjeld Ole Bak

Lars Hansens beskrivelse hér er netop hvad jeg forsøgte at skrive tidligere i denne streng. Det er muligt fordi der efter den første udveksling af engangpassword er fri bane til at tømme kontoen alene med hoved-passwordet, som jo er opsnappet. Det fortvivlende ved hele sagen er egentligt, at f.eks. Danske bank tidligere forhindrede dette ved at kræve et nyt engangspassword ved hver transaktion, men de gik bort fra denne sikkerhed ved at slække på kravene, så at der kun skulle indgives et engangspassword ved starten. Hvordan nogen i Danske Banks edbafdeling kunne mene, at denne simplere procedure var sikker nok, er helt uforståeligt. Det er imidlertid en kendsgerning, at denne simplere procedure blev indført i Danske Bank flere år før indførelsen af Nem-ID. Men ingen besvarede mine mails om problemet.

Morten Lund

Syntes at banken bør tilbyde usikre kunder at få indlagt en forsinkelse på transaktioner sammenkoblet med en SMS besked. Evt også SMS når der blive logget på ens konto. For mig vil en forsinkelse på adskillige timer ikke genere det aller mindste.

Hvis alle phishing angreb starter igennem ens email konto, var en kobling mellem bank og email konto også en mulighed. (Og email adresse ændringer skulle ikke træde i kraft øjeblikkeligt), Som ovenfor skrevet. Eller hvis det er teknisk muligt, en pop op menu efter aftale med banken, hvor man på sin hjemme computer bliver adviceret hver gang der bliver logget på ens konto. Det vil decimere risiko.

Michael Nielsen

Dette er et hack for at løse et fundamental design fejl i NemID.

Havde man gjordt det rigtig fra starten, så var alt det her unødvendigt.

SMS'en vil kun virke indtil alle har smartphones, og der er nok viruser i omløb til at man kan detektere hvem der ejer hvad mobil - dette er teoretisk muligt, men besværligt.

Så igen det er kun en lappe løsning på problemet.

Den rigtige løsinge er End-To-End kryptering, og authentication, hvor man benytter sikrede terminaler (som i øverigt allerede eksistere, og koster omkring 200-400dkk/styk, og ville havde været billigere end NemID løsningen).

Niels Dybdahl

Den rigtige løsinge er End-To-End kryptering, og authentication, hvor man benytter sikrede terminaler (som i øverigt allerede eksistere, og koster omkring 200-400dkk/styk, og ville havde været billigere end NemID løsningen).

Der er et eksempel i diskussionen http://www.version2.dk/artikel/forsker-vi-har-kun-set-begyndelsen-paa-ne...
I Tyskland har Postbank en dims som hedder chipTAN: http://www.youtube.com/watch?v=4Ie6fmESPKw
Den koster mellem 11 og 15 €, dvs omkring 100 kr inklusive forsendelse. Den er ikke så nem at anvende som NemID, men den er sikker mod MitM angreb. Jeg tvivler på at den er billigere end NemID.

Christian Nobel

Jeg tvivler på at den er billigere end NemID

Starter lige med undskyldningen, jeg skulle svare dig, men kom til at trykke på anmelde knappen - så V2 kan I ikke fikse den anmelde knap!!!

Nå til sagen, hvad mener du med at du tvivler på den er billigere end "NemID"?

Mener du dimsen versus 1 papkort incl forsendelse, eller dimsen i hele dens levetid versus en mængde papkort?

Og herregud, 100 kr. ville jeg da gerne ofre hvis jeg kunne få en (sikker) webbankløsning (og da NemID ikke er en digital signatur, så taler vi kun om bank).

Skal jo trods alt betale 25 kr hver gang man skal lave en indbetaling eller overførsel.

Jens Larsen

Der er et eksempel i diskussionen http://www.version2.dk/artikel/forsker-vi-har-kun-set-begyndelsen-paa-ne... I Tyskland har Postbank en dims som hedder chipTAN: http://www.youtube.com/watch?v=4Ie6fmESPKw Den koster mellem 11 og 15 €, dvs omkring 100 kr inklusive forsendelse. Den er ikke så nem at anvende som NemID, men den er sikker mod MitM angreb. Jeg tvivler på at den er billigere end NemID.

Vil den ikke stadig have lidt af samme svaghed som NemID har?

I tilfældet artiklen bliver offeret lokket ind på en falsk netbank side og bedt om at logge ind. Der vil chipTAN ikke hjælpe. Bagmændene har jo ikke brug for at decryptere de blinkende firkanter der kommer, blot sende dem videre til offeret. Og når chipTAN siger at man er igang med at logge på netbank, er det det offeret forventer.

chipTAN vil godt nok hjælpe på problemet med at hvis ens "golfklub", vil bruge ens login til at logge på netbank med, så siger chipTAN at man er igang med at logge på netbank. (golf klub eksempel fra http://www.version2.dk/artikel/forsker-vi-har-kun-set-begyndelsen-paa-ne...)

Baldur Norddahl

@Jens, prøv at se videoen igen. Han bruger slet ikke dimsen når han logger på. Det er først når han overfører penge at den kommer i brug. Og da skriver den direkte på skærmen indbygget i dimsen hvor meget og hvortil han er i gang med at overføre.

Hvordan skal den stakkels phisher lige lokke dig til at godkende at hele din opsparing overføres til en fremmed konto?

Niels Dybdahl

Vil den ikke stadig have lidt af samme svaghed som NemID har? ... Og når chipTAN siger at man er igang med at logge på netbank, er det det offeret forventer. chipTAN vil godt nok hjælpe på problemet med at hvis ens "golfklub", vil bruge ens login til at logge på netbank med, så siger chipTAN at man er igang med at logge på netbank.

Det kommer lidt an på din netbank. Nogle netbanker kræver idag NemID kode når du logger ind, nogle når du laver transaktionen og nogle i begge tilfælde. Hvis banken kræver NemID/chipTAN kode når du laver selve transaktionen (det gør Finansbanken og JyskeBank), så vil chipTAN vise i displayet: "Vil du overføre alle dine penge til udlandet?". Det kan en MitM ikke lave om på og dermed giver en chipTAN en væsentlig forskel.

Jens Larsen

Så er der fejl i implementeringen. Den bør være lavet så at den modtager en besked med digital signatur fra banken, som er umulig at forfalske.

Mente, når offeret er på phisherens hjemmeside så kan de skrive i en boks (som så ser troværdig ud) at der forløbig kan forkomme fejl med meddelserne man modtager på chipTAN. Så vil offeret se igennem fingrende med at der på chipTAN står man overføre hele sin formue til phiserne, og alligevel give koden.

Niels Dybdahl

@Baldur Norddahl, Social engineering, skrive at de oplever problemer med forkerte beskeder på chipTAN.

Mon ikke snarere der menes følgende: http://www.redteam-pentesting.de/publications/2009-11-23-MitM-chipTAN-co...

Her henvises til 2 problemer med chipTAN:
1. Hvis man skal overføre mange beløb, så tilbyder mange banker at man kan nøjes med at godkende alle overførslerne med en kode. Dette gør Postbank også og i det tilfælde får man kun at se på chipTAN hvilket beløb og hvor mange overførsler det drejer sig om. Malware kan altså i virkeligheden have sat pengene til at blive overført til andre konti end dem man har indtastet.
2. Hvis man har bedt om en overførsel til et meget langt kontonummer (der nævnes et IBAN nummer), så viser chipTAN kun 6 af cifrene. Hvis noget malware både har omdirigeret betalingen til en anden IBAN konto og viser dennes kontonummer på skærmen, så vil mange tro at det er det rigtige nummer og godkende transaktionen.

Rapporten mener dog at chipTAN er mere sikker end alternativerne.

Min konklusion må dog være at hvis betjeningen skal være nogenlunde nem, så må man gå på kompromis med sikkerheden.

Baldur Norddahl
Michael Nielsen

Hvis du designer systemet korrekt, kan du gå ind på en phising side uden at bekymre dig, fordi der er end-to-end encryption. OG du får at se hvad du godkender før du gør det.

Dvs, hvis din hardware dims ikke ser en request underskrevet af din bank vil den afvise den...

Derfor skal der komme en krypteret besked fra banken, for at starte transaktionen, denne vises på skærmen, hvis hackeren har prøvet at ændre på indholdet, fejler valideringen, og afvises, uden brugeren skal gøre noget..

Derfor kan en hacker ikke præsentere dig med et falsk billede, eller web side (det tillader NemID).

Har hackeren bestilt transaktionen, er hans problem, at den sendes den til brugeren, og brugeresn terminal vil vise transaktionen. Nu har du chancen for at se hvad du laver.. Var beløbet de du skrev, var kontoen de du skrev - hvis nej, afvis. Hvis ja gennemfør.. Var det en helt anden aktion end du forventede, feks en bank transaktion i stedet for en login ?

Kontrollen ligger i dine hænder..

Alle plaster som delays og sms'er giver dig ikke kontrol, og er bare security by obscurity, som betyder, det viker indtil hackeren gennemskuer systemet, og kan kontroller både SMS og phishe dig - mere svært, men ikke umuligt... Desuden besværliggører de processen betydeligt...

Social engineering er det sværeste at undgå, men så længe man giver folk alle mulighederne for beskytte sig selv, så har systemet gjordt sit job.

Banken kunne evt. i tilfælde af der er brugt en konto som brugeren aldrig har brugt før, sende en dobbelt forspørsel, som siger "den konto har du aldrig betalt til før", eller "det giro nummer er ny" - er du sikker j/n"..

Men det er teknisk muligt at skabe en kanal mellem banken og en terminal, hvor man ved ingen 3. part kan havde ændret på indholdet. Altså det serveren (golfklub, bank m.v.) udfører er præcist det du har bedt den om, det er ikke muligt at forfalske det du ser.

Morten Lund

Syntes papkortet er godt og selv min gamle mor kan finde ud af det. Og det lyder også smart med den sikrede terminal. Så kan man have næsten 100 % sikker forbindelse med sin bank.

Selve phishingen må kunne modarbejdes med nogle små simple programmer. Det drejer sig vel blot om at man ikke lige får nærstuderet adresselinien ordentligt. Der kan phishingen vel ikke gå ind og overskrive. Så et lille program der "råber" op når noget ser mistænkeligt ud, eller ønsker en tillykke med at man er lokket på sin netbank og rolig kan begynde overføre.

Niels Dybdahl

Selve phishingen må kunne modarbejdes med nogle små simple programmer. Det drejer sig vel blot om at man ikke lige får nærstuderet adresselinien ordentligt.

Det er ikke lige der problemet er. F.eks hvilken af følgende tre loginadresser til webbanker er phishingadressen: jyskenetbank.dk, portalbanken.dk, nordea-dk.com? På dette punkt lader bankerne kunderne i stikken ved ikke at bruge deres normale domæne som loginadresse. Og DanId gør det generelt ved at tillade alle mulige loginadresser og ikke kun nemid.nu

På ikke-inficerede PCere kunne man bedre gardere sig ved at lade logins ske via nemid.nu, men på inficerede PCere er man hjælpeløs. Phisherne kan jo installere en modificeret version af browseren som viser en anden andresse end den man faktisk er på.

Morten Lund

Kan godt se at det er et problem. Hvis forbryderen går ind og inficere ens pc og derefter "styre" den. Er det svært at detektere?

Da bankrøverierne tog til i antal, blev der indlagt en forsinkelse på flere minutter før man kunne hæve større beløb. Det har alle taget til sig uden protest.

Det bliver nok en evig kamp som så mange andre. Nye forhindringer overvindes hele tiden, men så laver man dem bare smartere eller mere avancerede.

Hvad med at forsinke alle udenlandsoverførsler i 24 timer og altid sende en email til kunden.

Michael Nielsen

Selve phishingen må kunne modarbejdes med nogle små simple programmer. Det drejer sig vel blot om at man ikke lige får nærstuderet adresselinien ordentligt. Der kan phishingen vel ikke gå ind og overskrive. Så et lille program der "råber" op når noget ser mistænkeligt ud, eller ønsker en tillykke med at man er lokket på sin netbank og rolig kan begynde overføre.

Nej det er netop det du ikke nemt kan gøre..

Jeg kan angribe dig på flere måder hvor du ikke har nogen chance for at forsvare dig, hvis du ikke er 100% vågen.

Feks kan jeg via en virus, eller en hjemme side (hvis du som 90% andre køre windows som admin user), erstatte c:/windows/system32/etc/hosts (mener jeg den hedder), og sætte ind at nemid.nu, danske.dk alle peger må min server i stedet for at pege mod de rigtige servere.

Du vil nu komme ind via min server, og dine check programmer vil indikere at der ikke er noget galt.

Den reelt eneste måde du kan beskytte dig selv er ved at bruge Cryptographical checks, og det er hvad HTTPS gør for dig, men desværre ligger de færreste mærke til om der er en hængelås, eller står https:// i den title, og desuden bruger mange at bare sende dig ind på en alm. side og fortage login via https:..

Dette betyder du kan ikke bekæmpe phising, når du bruger en 3. til at logge ind med.

Det er kun muligt ved at havde en ekstern Cryptographical terminal til at håndtere den, som feks chipTan - som er et bud - i min mening mere besværlig end nødvendigt, et andet er en usb token.

Systemer som NemID, SecureID, m.v. beskytter dig ikke i mod phishing, eller MITM angreb, de er ekstremt sårbare over for dette angreb. SecureID løser det ved at normalt kører man ind via et program der etablere en point-to-point forbindelse via RSA nøgler, og derefter bruger man secureid til at bekræfte man har det token som er bundet til kontoen.

NemID prøver at gøre noget lign, men deres situation er værre end SecureID, da deres program er hentet med via nettet, og derfor kan erstattes via phishing. SecureID applikationer er normalt installeret af kompetente folk, som sørger for at alt er ok, og binder endpoints sammen, for at minske MITM angrebs muligheder.. Men den er sårbar over for viruser, da det er ren software på maskinen.

NemID prøver ingengang på at beskytte brugeren mod phising.

IMO NemID er muligvis marginalt bedre end et alm. password, men det er sårbar over for alle angreb (undtaget bruteforce, og replay), som et rent password system er, dog tvinges nye passwords konstant, som øger sikkerheden, mht replay angreb.

men, beskyttelsen mod bruteforce er dog ikke bedre end hvis man tager en god password løsning hvor man blokere passworded efter 3 forkerte forsøg.

Så vi er tilbage til at det eneste vi vinder ved NemID er at den beskytter mod replay (optag login sekvensen og spil den tilbage)..

Det er sgu mange penge der er spildt på et system, med så begrænset en forbedring i sikkerhed.

Morten Lund

Det lyder som cryptographical checks er programmet der kan decimere phishing. Man kan lave OBS på betydende tv-kanaler og radio og få så mange som muligt til at begynde at bruge det. Så er det det vågne øje der holder øje med om man er kommet rigtig ind...???

Papkortet er jo genialt fordi det kommer hjem udenom internettet. Så skal forbryderen holde styr på 2 vidt forskellige indgange til dit hjem.

Søren Rønsberg

Det er sgu mange penge der er spildt på et system, med så begrænset en forbedring i sikkerhed.


Man har taget et system som havde en sårbarhed, hvis brugerens PC var hacket og erstatte med et hvor angriberen ikke behøver at overtage PC'en, men bare skal lokke brugeren ind på en falsk hjemmeside.

Der vil jeg ikke kalde forbedret sikkerhed. Men du har ret i at der er spildt mange penge på det.

Morten Lund

Det er ikke ironi. Og jo tror nok jeg har forstået at Phisheren lader ens log ind info sende videre til netbank i real tid.

Papkortet giver en nemmere log ind fra computere man normalt ikke bruger. Det giver god komfort. Men gør det også nemmere med Phishing som omtalt i artiklen.
Men hvis man er den usikre type og ønsker ekstra sikkerhed, er der vel også en del muligheder. Man skal bare bygge videre på systemet. Selve papkortet er godt og mange kan sagtens bruge det uden de store problemer.

Et system der kørte rent over internettet var langt mere usikker. Papkortet gør at forbryderen i det her tilfælde må arbejde i realtid inden for en snæver tidsramme. Det må være til at dæmme op for.

Hvis papkort suppleres med at man altid bruger den samme computer kan det vel optimeres med altid opdaterede anti spionage programmer og lign. Altså simpel supplement til det eksisterende system. Programmerne skal blot anbefales af pengeinstitutter og nemid.

Men intet system er 100 %.

Baldur Norddahl

Man skal bare bygge videre på systemet

Det er ChipTAN som bør være udgangspunktet for enhver diskussion om et fremtidigt system. Kan vi bruge ChipTAN som det er? Eller skal der større skærm, andre input muligheder eller andre tiltag til?

Det lyder til at du kender og forstår papkortet, så derfor ønsker du at bruge papkortet som udgangspunkt. Men papkortet er faktisk et ret dårligt system. Det blev valgt fordi det var billigt for bankerne og kun derfor. Der kommer ikke noget godt ud af at tage udgangspunkt i et dårligt system. Specielt ikke når vi kender gode systemer, som vi kan tage udgangspunkt i.

Morten Lund

Jeg må bøje mig. ChipTan er smart og det virker.

Det er bare altid ærgerligt når man føler at have smidt penge ud på noget og det så skal skrottes helt. Papkortet kan vel have en fremtid inden for det som mange har efterlyst, at have ét login til de fleste steder i stedet for et dusin forskellige passwords. Så er pengene ikke spildt og bankerne kan køre et selvstændigt løb med fx. ChipTan da det er dem forbryderne går efter. (Selv om jeg godt kunne se at man kunne bygge et ekstra lag ovenpå papkortet til bankerne).

Morten Lund

Syntes man skal skelne mellem forbrydere der sidder i 3. verdenslande og dem der bor her. De første er svære at komme efter hvis det lykkedes for dem at få pengen ud af landet. De sidste er virkelig svære at dæmme op for, for bliver det ikke på den ene måde, så på en anden. Hvis man får sendt et papkort til en adresse her i landet, så skal nogen jo være her til at tage imod det. Dernæst er det meningen at der skal være flere lag på til bankerne.

Tobias Tobiasen

...Hvis man får sendt et papkort til en adresse her i landet, så skal nogen jo være her til at tage imod det....


Det viser sig at være ret let. Find en bygning med mange forskellige firmaer, der har postkasser ude ved vejen. Sæt din egen postkasse op ved siden af og skriv et troværdigt husnummer og bogstav. Så kan du modtage post.
Jeg tror det var kontant der viste at man kunne gøre sådan for at blive oprettet på dba eller qxl.

Peter O. Gram

Nu har Nordea været meget omtalt her i kommentarerne. Så skal det også lige nævnes, at hvis man vil overføre et større (?) beløb fra en Nordea konto, skal man tillige bekræfte en tilsendt SMS. Nu kan den kriminelle jo blot ændre på det registrerede mobil-telefonnummer, men en sådan ændring vil udløse en SMS til det oprindelige nummer.
Hvis man ikke har registreret et mobiltelefonnummer, skal man ringe op til deres døgbemandede kundeservice for at gennemføre transaktionen.

Michael Nielsen

Lappe løsning på lappe løsning, som ville være 100% unødvendig hvis man gjorde det rigtigt fra starten af.

Det her løser kun problemet indtil hackerne får kontrol af mobil enhederne, og så er vi tilbage i samme problem.

Den rigtige løsning (chipTan, eller anden krypto terminal), ville heller ikke være så sårbar over for DanID nedbrud.

Log ind eller Opret konto for at kommentere