Sjusk med NemID-nøglekort: Derfor udgør bankerne det svageste led

Fire ud af seks banker sender nøglekort på en måde, som på grund af flere små svagheder i systemet gør det muligt for svindlere at overtage NemID.

Angreb på bankkonti, nedlukning af personligt ejede selskaber, digitale underskrifter på køb og salg af ejendomme og optag af kvælende kviklån. Det er nogle af mulighederne, hvis det lykkes at overtage kontrollen med et dansk NemID.

Det potentiale er hackere og svindlere begyndt at få øjnene op for. De seneste tal fra finanssektorens brancheorganisation, Finans Danmark, viser, at udbyttet fra netbankindbrud steg markant i første kvartal 2019.

Læs også: Bankerne sjusker med NemID-nøglekort: Kostede ung lærer 270.000 kroner

Her på opslaget kan du læse historien om et af ofrene, Ronja Larsen, som blev frarøvet 270.000 kr. Men hvordan kunne det komme så vidt?

For at kompromittere NemID skal en svindler have adgang til tre oplysninger:

  • Brugernavn
  • Adgangskode
  • Nøglekort eller nøgle-app

Brugernavnet er som udgangspunkt offerets CPR-nummer, og det kan relativt let kompromitteres.

»CPR-numre er alt andet end sikre. De kan nemt findes i datalæk, eller man kan gætte sig frem til dem,« lyder det fra Keld Norman, sikkerhedskonsulent i it-sikkerhedsselskabet Dubex.

Derfor har sikkerhedseksperter for længst erklæret CPR-nummeret uegnet til sikker autentifikation i sig selv.

Vi undlader at gå i detaljer med, hvordan CPR kan kompromitteres, men nøjes med at konstatere, at så mange offentlige og private myndigheder benytter CPR-numre til at identificere borgeren eller kunden, at svindlere simpelthen kan tjekke, om de har gættet rigtigt, før de benytter det til at hacke et offers NemID.

Keylogger til 50 kroner

I det konkrete svindelnummer, der satte gang i Ingeniørens undersøgelse, har de kriminelle opsnappet både brugernavnet og kodeordet til NemID på forhånd. Sandsynligvis ved på et bibliotek at benytte en såkaldt keylogger, der optager tastetryk. De findes i et hav af variationer og kan fås for 50 kroner. De dyrere af slagsen kan endda selv sende filerne med de optagne tastetryk til angriberen.

CPR-nummeret og navnet på offeret var i Ingeniørens stikprøve tilstrækkeligt til at få fire ud af seks banker til at sende et nyt NemID-nøglekort. Stikprøven viser, at bankerne ser anderledes på sikkerheden end NemID’s egen hjemmeside nemid.nu og Borgerservice, der kræver pas og kørekortnummer for at udstede et nyt nøglekort.

I to tilfælde var det tilstrækkeligt at oplyse blot et fornavn, og i to andre tilfælde CPR-nummeret for at få tilsendt et nyt nøglekort til offerets adresse. Adressen oplyste de fire banker også under stikprøven, hvilket i øvrigt er i strid med persondata-lovgivningen.

Når svindlerne har adressen, kan de stjæle brevet fra postkassen, når det kommer, og Keld Norman fra Dubex fortæller da også, at det generelt er nemt at åbne og låse klassiske postkasse-låse, uden at ejeren aner det. Det tog Ingeniøren mindre end 30 sekunder at dirke en postkasse op med to hårnåle.

Det svage lede er bankerne

»En kæde er aldrig stærkere end det svageste led, og det svage led er bankerne i det her tilfælde. Det virker underligt, at bankerne kræver lavere sikkerhed, og det er kun et spørgsmål om tid, før de kriminelle for alvor finder ud af det,« siger kriminolog og forsker Peter Kruize, som har skrevet rapporter om e-svindel for bl.a. Justitsministeriet og Det Kriminalpræventive Råd.

Offeret aner ikke, at svindlerne har bestilt et nyt nøglekort. Det nu ti år gamle NemID-system er nemlig ikke udstyret med en funktion, der adviserer brugeren, når et nyt nøglekort er på vej.

Stort set alle andre selskaber, der arbejder med digital sikkerhed, har procedurer til at sikre, at det er kunden selv, der har ændret i sine forhold. Google sender straks en e-mail, når du logger på Gmail fra en ny enhed, Microsoft sender en e-mail, hvis du ændrer din kode, og sådan er der utallige eksempler.

»Man kunne med rette informere brugeren om, at der er et nøglekort på vej. Det ville gøre det markant sværere for svindlere at opnå at overtage NemID,« siger Jacob Herbst, medejer af Dubex.

Netbankerne gør det desuden enklere for svindlerne ved at oplyse, hvor offeret er kunde.

For hvis man logger på en vilkårlig netbank i Danmark med NemID med et rigtigt brugernavn og kodeord, får man at vide, hvis man ikke er kunde i den pågældende bank, vel vel at mærke inden man bliver bedt om at bruge nøglekort.

Når man som svindler rammer den rigtige bank og bliver bedt om at indtaste en nøgle, kan man pænt ringe til netop dén bank og bestille et nøglekort og derefter sørge for at tømme offerets postkasse de efterfølgende dage, inden vedkommende selv gør det.

»Se sikkerheden efter«

»Alt i alt giver det her grundlag for at se sikkerheden omkring NemID efter i sømmene. NemID er ikke helt nyt længere, og det her tyder på, at sikkerheden generelt set kunne trænge til et løft,« siger Jacob Herbst.

Af et internt dokument fra en af bankerne fremgår det, at bankerne langtfra lever op til den aftale om håndteringen af NemID, banken har indgået med Nets, der ejer NemID.

I aftalen står der, at når kunden henvender sig telefonisk til bankerne og eksempelvis beder om at få tilsendt et nøglekort, skal banken sikre en ‘stærk autentifikation’. Det tæller oplysningen af kundens CPR-nummer ikke som.

I stedet opfordres bankerne i dokumentet til at udspørge kunden om personlige kundeoplysninger. Det kan bl.a. være spørgsmål om de seneste kontoudtræk, som er vanskelige for en svindler at svare på.

NemID skal i 2021 afløses af et nyt, opdateret digitalt ID kaldet MitID. Som det ser ud lige nu, bliver det et farvel til nøglekortet, der vil blive erstattet af andre digitale nøgleløsninger.

Denne artikel stammer fra den trykte udgave af Ingeniøren.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (13)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Tobias Tobiasen

“ stedet opfordres bankerne i dokumentet til at udspørge kunden om personlige kundeoplysninger. Det kan bl.a. være spørgsmål om de seneste kontoudtræk, som er vanskelige for en svindler at svare på.”

I Ronja Larsens tilfælde ville det sikkert ikke hjælpe. Der havde angriberen cpr og kodeord og kunne derfor logge ind med kontokik hvor man kan se kontoudtræk.
Så jeg håber bankens procedure spørger om information der ikke kan ses når man logger ind med kontokik.

  • 2
  • 0
Povl H. Pedersen

En 2-faktor mekanisme der sendes via posten har været effektiv mod de traditionelle scenarier med udenlandske hackere.

Dog er der kommet en rækker personer til i det danske samfund, som har evnerne eller kontakterne, og viljen, til at udnytte den danske tillid.

Det rammer os alle, og vi kan fremover ikke antage at noget der har været i hænderne på 3die part (eksempelvis PostNord) længere er fortroligt. Så man bliver nødt til at kræve personligt fremmøde, uanset besværet. Det er en samfundsmæssig omkostning ved at vi ikke længere har et tillidssamfund.

  • 3
  • 2
Bjarne Nielsen

Der er ingen tvivl om at bankerne fejler over en bred kam, men det egentlige problem er, at vi tvinger folk med ringe IT forudsætninger (herunder kloge og kyndig folk, som bare mangler rette hardware) til at bruge offentligt tilgængeligt IT-infrastruktur ved at henvise dem til "borgerservice eller bibliotek".

Det er et IT-sikkerhedsmæssigt mareridt at sikre noget, som samtidigt skal være alment tilgængeligt, og selv med god OPSEC, som f.eks. ikke at genbruge passwords, så kommer man nemt på glat is.

Problemstillingen med offentlige computere er behandlet i tvillinge-artiklen: https://www.version2.dk/artikel/hacket-270000-kroner-nogen-fik-banken-at... - og det virker til at Ronja Larsen har gjort hvad hun kunne. Hånden på hjertet, hvor mange her ville have kunnet undgå det, hvis de havde været henvist til "borgerservice eller bibliotek"?

Og det er så ikke de vidt og bredt anerkendte IT-sikkerhedseksperter fra Version2 debatten, som er i den typiske kundegruppe for "borgerservice eller bibliotek". Det er ikke kun folk, som dig og mig og Ronja, men folk, som i forvejen er bagud IT mæssigt. Det er den perfekte storm, og det er nok kun held, at det ikke er gået langt værre.

Ja, det at fiske nøglekort vil være mere vanskeligt når nøglekortet bliver til en app, men hvis man i forvejen er henvist til "borgerservice eller bibliotek", så er der gode odds for at man af forskellige årsager (og nok med stor overlap til årsagerne for at man ikke har egen computer) heller ikke har en smartphone.

Det kan godt være, at det er nemt og bekvemt for mange, og at der er altid flere, som stikker hovedet i buksen og mener at de allerede betaler nok til fællesskab, og da slet ikke vil betale for "sær-løsninger", men i stedet for at smide de svageste under bussen, så skulle vi sørge for, at netop de kom sikkert med. Vi stærke, vi skal nok klare os.

  • 8
  • 0
Christian Nobel

.. når man læser en udtalelse som denne:

»Alt i alt giver det her grundlag for at se sikkerheden omkring NemID efter i sømmene. NemID er ikke helt nyt længere, og det her tyder på, at sikkerheden generelt set kunne trænge til et løft,«

for (også) denne sikkerhedsrisiko har været drøftet allerede før NemID blev tvangsindført, bla. i nærværende debatforum.

Der er intet der kommer som en overraskelse, det skulle da være at det trods alt ikke er gået endnu værre.

Ikke nyt længere er noget vrøvl - det har intet med nyt at gøre, men om et produkt der er broken-by-design, og at at man konsekvent har overhørt enhver form for kritik eller forslag.

Som jeg har skrevet andetsteds:
https://www.version2.dk/artikel/bankerne-sjusker-med-nemid-noeglekort-ko...
så vidste den hedengangne IT-og Telestyrelse udmærket hvordan en digital signatur skulle laves korrekt for to dekader siden - men desværre valgte politikerne at lefle for "nem" paradigmet, samt gå i seng med bankerne.

Og det ser ikke ud til at man er blevet en tøddel klogere med næste iteration af det fælles SSO system (som kommet til at koste samfundet yderligere en milliard).

  • 9
  • 0
Bjarne Nielsen

det fælles SSO system

Hmm. Ja. Jeg er ked af, at man har fået mudret digital signatur og SSO / federated identity sammen.

Jeg tror at sikkerheden generelt vil blive hævet af, at ikke alle systemer, inkl. gruppen til korsang og det lokale pizzeria skal gå og tumle med at afkræve os sikre passwords og på at opbevare det på sikker vis.

SAML, OAuth og OpenID burde være en forbedring. På samme måde er en offentlig federated identity infrastruktur (hint: det behøver ikke være et monopol, bare fordi at det offentligt) vel også en fordel.

Når jeg så ikke klapper mere i hænderne over "facebook-login" eller "google-login", så er det fordi at de edderkopper i midten af hvert deres verdenomspændende spind er blevet fede nok, og der ingen grund til at fordre dem yderligere. Man kan holde identity provider i uvidenhed om, hvor man identificerer sig (ligesom det kan gøres umuligt at spore identitet på tværs af steder, hvor man identificerer sig), men det er der ingen af førnævnte som har villet bruge tid på.

Selvfølgelig kan du bevise din identitet med en digital underskrift, men ellers er digital signatur noget andet.

  • 3
  • 0
Jan Heisterberg

Hvis man tager udgangspunkt i de dokumenterede forskrifter, den praksis som har været omtalt, den brug som sker af offentlig tilgængelige PCer (biblioteker, men hvorfor ikke også i virksomheder ?) og den almindelige brugers adfærd, så har "man" et billede af situationen "her og nu".

Over den den kan kreative mennesker så skrive use-cases som omgår den er kendte siguation og laver angreb.
Eksempel:
- keyloggger på bibliotek: udeluk logon til kritiske applikationer bank, borger.dk, sundhed.dk, med mere). Det er meget let.
- postkasse-fiskeri: brug, som foreslået, en notification til egen og måske skygge-adresse (for at udgå at notification havner på stjålet telefon). Det er meget let.

Med andre ord, for hvert "hul" som findes, så gennemfør en præventiv foranstaltning.

Der er ovenfor, og andre steder, mange gode forslag, MEN det. ør ses i en helhed - alt skal på bordet; ellers er det let at rette bager for smed - dvs. ramme ved siden af.

PS: Bare ved at læse nogle af procedurrne på NemId hjemmesiden for diverse, så får jeg KULDEGYSNINGER.

Og så kunne jeg ønske med et NemId Guld, som udelukker en række brugervenlige funktioner (brug på bibliotek, brug på andet end specifik tablet og PC) - alt for at reducere fleksibilitet og øge MIN sikkerhed.

  • 1
  • 1
Gert Madsen

Ikke nyt længere er noget vrøvl - det har intet med nyt at gøre, men om et produkt der er broken-by-design, og at at man konsekvent har overhørt enhver form for kritik eller forslag.


Lige netop.
NemID er uegnet til alt som kræver høj sikkerhed.
Som feks. alt hvad der tidligere krævede mere end en almindelig underskrift.
Den sondren mellem forskellige niveauer af sikkerhed, som man har opbygget gennem århundreder, blev hældt ud med papiret. Med digitalisering, skulle alt være "nemt". Koste hvad det vil. Nogen drømte så om at det også skulle være billigt, men jeg tror ikke at den forretningsplan kan holde til en inspektion.

  • 2
  • 1
Frithiof Andreas Jensen

Mellem at Bankerne er blevet fuldständigt hysteriske med at deres eksisterende kunder skal dokumentere alt muligt, stort set ikke kan anvende kontanter, snart skal aflägge jernbyrd for allernaadigst at få en erhvervskonto og må betragtes med dyb mistro hvis de overförer penge til udlandet - alt sammen på grund af 'Terror'.

Samtidig er man ganske large over for IT-svindel. Som man måske burde kunne forestille sig netop ville blive anvendt til financiering af 'Terror'!

Det virker desvärre som om at så länge beväret fra "digitaliseringen" bare kan "downsources" til brugerne og borgerne, så er der ikke rigtigt noget at 'komme efter' fra de som faktisk har ansvaret for projektet og dermed magten til at gennemtvinge noget ordentligt.

  • 5
  • 0
Log ind eller Opret konto for at kommentere