Udvikler revser bankerne: Dårlig sikring mod forkerte kontonumre

Udvikler Klaus Hansen mener, at bankerne skal gøre mere for at sikre kunderne mod at overføre penge til en forkert konto, særligt ved kopiering af kontonummeret. Nordea vil nu arbejde på en advarsel, hvis nummeret forkortes eller ændres af netbanken.

Forleden sendte en netbankkunde ved en fejl 175.000 kroner til den forkerte konto, fordi der manglede et tal i kontonummeret. Det rejste spørgsmålet, om netbankerne kan gøre mere for at hjælpe kunderne, og det mener udvikler Klaus Hansen helt klart, at de kan.

Han fik sendt 3.000 kroner ud i den blå luft, fordi det kontonummer, han kopierede ind i feltet på skærmen med en tastaturgenvej, indeholdt et mellemrum.

»Systemet ser så, at der er for mange karakterer og fjerner det første tal i kontonummeret. Derefter ser systemet, at der er mellemrum i kontonummeret, og fjerner det. Og til sidst bliver der sat nuller foran,« forklarer Klaus Hansen.

Den rækkefølge forstår han ikke. Hvis man først havde tjekket for mellemrum, havde det ikke været et problem. Og under alle omstændigheder mener han, at banken bør advare kunden, hvis der bliver klippet i nummeret.

Ligger hos styresystemet

Martin Andersen, chef for Nordeas netbank, forstår godt ønsket om en advarsel. Men fordi selve copy-paste-delen ligger i styresystemet og ikke i webapplikationen, er det ikke så nemt at styre, lyder forklaringen.

»Vi har tilladt 10 karakterer, fordi et kontonummer ikke er længere end det. Hvordan det bliver pastet ind, er det styresystemet, der har kontrol over,« siger han.

Nordea har slået muligheden for højreklik i netbank-applikationen fra, blandt andet for at undgå copy-paste-situationen. Det er nemlig nemt at få for mange eller for få karakterer med, når man skal markere et langt tal. Men tastaturgenveje som control-v i Windows kan Nordea ikke slå fra.

»Derfor har vi et kvitteringsbillede, hvor man kan tjekke, at nummeret er rigtigt, inden man endeligt godkender transaktionen,« forklarer han.

Men er der tekniske muligheder for at forbedre træfsikkerheden med copy-paste, vil Nordea meget gerne indføre det.

»Vi vil helt klart kigge på, om det er muligt at få en advarsel frem, når der bliver indsat flere karakterer end ti med copy-paste,« siger Martin Andersen.

Den primære sikring mod, at netbank-kunder sender penge til forkerte, består i, at kontonumrene er strukturerede på en særlig måde, der skal leve op til modulus-11-testen på samme måde som CPR-numre.

Det betyder ifølge Martin Andersen, at det er uhyre sjældent, at man rammer et tilfældigt kontonummer, der både er gyldigt og i brug.

Da Klaus Hansen sendte 3.000 kroner til et forkert kontonummer, eksisterede det da heller ikke. Alligevel var situationen irriterende, for pengene svømmede rundt hos modtagerbanken i et par dage, før de kom tilbage og kunne sendes til den rigtige modtager.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (41)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Jeppe Toustrup

Jeg tror der er blevet roddet en smule rundt med navnene, i det sidste afsnit er nævnt en "Klaus Andersen", som ikke er nævnt andre steder i artiklen - Og det er tilfældigvis fornavnet fra den ene person, og efternavnet fra den anden person der bliver nævnt i artiklen :)

  • 0
  • 0
#4 Rasmus Toftdahl Olesen

... istedet for at rette vores fejl.

Det gør det garanteret mindre sandsynligt at man taster forkert hvis man skal sidde og skifte mellem en mail med et konto nummer i og til web siden med web banken.

Det virker lige så smart som de web forme der kræver at man indtaster telefon nummeret på et eller andet specielt format (00 11 22 33) før den vil godkende det.

Det kan da virkelig ikke være rigtigt at noget så simpelt som at fjerne eller tilføje mellemrum skal være brugerens opgave?

(Jeg er åbenbart morgen sur idag :)

  • 0
  • 0
#7 Kjeld Flarup Christensen

Feltet til indtastning i browseren kan kun tage 10 cifre, så derfor slipper man for at checke dette når billeded modtages på serveren.

Så er der et mellemrum med, så vil dette blokere for det sidste ciffer.

Løsningen er dog ret simpel, tillad f.eks. 20 tegn, og håndter det så på serveren.

  • 0
  • 0
#10 Nicolai Schlenzig

Ja, både bankens første implementation er amatøragtig, men også deres arrogante måde at håndtere sagen på.

Det kan da aldrig blive brugerens problem, at systemet ikke kan håndtere copy/paste og fejlindtastninger af denne type.

Og jeg mener ikke de kan gemme sig bag

Derfor har vi et kvitteringsbillede, hvor man kan tjekke, at nummeret er rigtigt, inden man endeligt godkender transaktionen

De burde i stedet smide en lille stump JavaScript ind der checker det indtastede realtime.

Der er SÅ mange muligheder med dagens teknologier - og med teknologier der har eksisteret i rigtig mange år efterhånden. Så der er vist ikke nogen undskyldning - kom ind i kampen!

  • 0
  • 0
#11 Martin Westergaard Lassen

I virkeligheden passer det ikke rigtig bankerne at brugerne ønsker en grafisk brugerflade. Hvis vi bare kunne holde os til 3270 emulatorer så mener de at verdenen ville være et meget bedre sted.

At forsøge at undgå at brugeren har adgang til klippebordet er jo også fuldstændigt håbløs, idet at risikoen for tastefejl vel er langt højere?

  • 0
  • 0
#12 Deleted User

Hvad nu hvis vi havde offentlige konto numre som alle kan sætte penge ind på, men ud over det har vi et hemmeligt konto nummer som vi kan overføre penge fra.

Så ville en kriminel ikke få noget ud af at kende dit offentlige konto nummer, for pengene kan kun bevæge sig ind på den konto.

@Kjeld Flarup Christensen: Endelig så kunne man jo også opdage hvis de kriminelle gentagende gange prøvede at indtaste tilfældige numre, og så skulle netbanken stoppe det og de skulle få en advarsel fra deres bank.

@Flemming Riis: God ide, det er lidt det jeg efterlyser.

  • 0
  • 0
#14 Deleted User

og for at gøre Stephan glad kunne man jo lave det med en kode til formålet så man gerne vil overføre 1000dkr til Anders And med koden Andeby så kender man ikke konto nummer men kun en unik streng opfundet til formålet så mangler man bare at kunne sløre afsenderen

Lidt ala en email adresse? Men det løser ikke problemet hvis 2 forskellige personer begge vælger en unik streng som ligger ret tæt på af hinanden, for så kan folk jo også tage fejl eller skrive forkert. Det var derfor jeg ville have navn og adresse med, fordi de er ret forskellige.

Det med at sløre afsenderen tror jeg aldrig du får lov til. Det kan jo bruges til hvid vaskning af penge.

  • 0
  • 0
#15 Peter Andersen

Jeg synes heller ikke om bankernes implementering, eller den ringe filtrering af f.eks for mange mellemrum - og jeg vil da langt hellere klippe-klistre et kontonr fra en mail, end at taste det manuelt.

Når det er sagt, mener jeg også at brugeren har et ansvar for, på kvitteringssiden, at dobbeltjekke at kontonummeret er korrekt. Det tager 10 sekunder. At undlade det er manglende omhyggelighed, og det er der ingen teknisk løsning der kan dæmme helt op for.

Personligt dobbelttjekker jeg selv, og jonglerer jeg med større beløb, f.eks når jeg flytter rundt på min opsparing for bedre rente, overfører jeg først 1 krone og gemmer modtager-kontoen som "foretrukken". Først dagen efter resten af beløbet.

Overfører jeg til venner/familie, beder jeg dem at om at bekræfte modtagelse første gang.

  • 0
  • 0
#16 Peter Lind

Jeg har et utal af gange forsøgt at få indført nogle mere accepterende inputfelter de steder hvor jeg har arbejdet, men fordi det aldrig har været et "krav fra kunden" har der ikke været nogen grund til at gøre det. Før der så begynder at komme klager fra slutbrugere, og der skal laves forskellige sjove løsninger.

Anyways, her er nogle ting som Martin Andersen (og andre) kan bruge helt gratis. Først og fremmest, på serversiden, når kontonummeret er modtaget, kører man lige en konto = konto.replaceAll("[^0-9]", ""); for at fjerne tegn der ikke er tal - og derefter begynder man at validere.

Lad være med at bruge halve løsninger som maxlength-attributten på front-enden. Lav noget solidt javascript der løbende validerer om det indtastede er godt nok, eller lad helt være.

At slå højreklik fra fordi man ikke orker selv at skrive valideringskode, er simpelthen noget af det mest amatøragtige ... At lægge ansvaret over på brugeren selv med et kvitteringsbillede der viser det rigtige kontonummer (sammen med et væld af andre informationer) er simpelthen fornærmende.

At lave et system der ødelægger det indtastede, og så lade det være op til brugeren selv at tjekke om det er blevet ødelagt eller ej ... ja, jeg mangler ord.

  • 0
  • 0
#17 Deleted User

Jeg har et utal af gange forsøgt at få indført nogle mere accepterende inputfelter de steder hvor jeg har arbejdet, men fordi det aldrig har været et "krav fra kunden" har der ikke været nogen grund til at gøre det. Før der så begynder at komme klager fra slutbrugere, og der skal laves forskellige sjove løsninger.

Jeg har gentagende gange bedt min tidligere bank om at de skulle lave nogle mere advancerede funktioner i deres webbank. De var lige glade. Det endte med at jeg skiftede til merkurbank.dk som kan lidt mere i deres webbank.

  • 0
  • 0
#18 Martin Bøgelund

Jeg har gentagende gange bedt min tidligere bank om at de skulle lave nogle mere advancerede funktioner i deres webbank. De var lige glade. Det endte med at jeg skiftede til merkurbank.dk som kan lidt mere i deres webbank.

Personligt er jeg glad for Jyske Netbank.

Jeg overfører ofte penge mellem mine egne konti.

Til overførsler er der 2 separate menu-punkter: "Overfør til egen konto" og "Overfør til andre".

Så kan jeg mere eller mindre bevidstløst overføre penge til mig selv, og så er det også nemmere at gide trippel-tjekke kontonummeret, når jeg overfører til andre.

Måske ikke den ultimativt perfekte løsning, men en enkel og effektiv måde at nedsætte risikoen for fejloverførsler betragteligt.

  • 0
  • 0
#20 Martin Bøgelund

Hvorfor skal du have flere konti hvor pengene ikke flyder frit imellem? Det øger kun komplexiteten.

Hvis du kender banken, kan du jo bare tjekke deres kontotyper, og se om navnet eller rentesatserne afslører mulige årsager til at have forskellige konti...

Desuden kan flere konti være med til at give overblik og bedre styring af økonomien.

Du ved... "Del og hersk"...

  • 0
  • 0
#23 Deleted User

Hvilke funktioner savnede du i Jyske Netbank? Bare sådan af nysgerrighed.

Jeg savnede en daglig email/sms med saldo. Merkurbank giver mig godt nok kun mulighed for email ved saldo under <indsæt beløb her>.

Jeg savnede også en email når der blev sat penge ind. Den mulighed har merkurbank.

Jeg ville gerne automatisk kunne analysere mit pengeforbrug, således at navnet på stedet hvor jeg har brugt mit dankort og beløbets størrelse gør at pengene automatisk bliver puttet i forskellige grupper. Fx: Q8 på flere hundrede kroner ville ryge i en benzin gruppe. Men Q8 på ca. 50 ryger i en slik gruppe, sammen med kiosk 7-11 osv. Kvickly, netto, fakta, aldi, irma, ... ville ryge i en mad gruppe.

Jeg vil bruge det til at forstå hvad jeg bruger mine penge på. Og gerne kunne lave statistik, har jeg fx. brugt flere eller færre penge på slik osv.

  • 0
  • 0
#25 Deleted User

Erhvervsmæssigt så forstår jeg slet ikke at bankerne ikke har integreret deres webbank og et bogholderi system. Der er jo indtil flere web baserede bogholderi systemer, bla. Saldi.dk som jeg selv bruger flere steder.

Jeg forstår ikke at bankerne ikke har lavet et sådant system. Hver en krone jeg ikke bruger på slik er en krone som banken kan låne ud til andre og få renter for dem.

  • 0
  • 0
#27 Paul Paulsen

Det er sgu ligeså slemt, når kunder sender overførsler med så ulæselig underskrift/kontonummer, så pengene trækkes på en forkert konto. Det er sket for min hustru adskillige gange nu. Det er samme kunde der giver problemer og hver gang skal den pågældende bank slette overførslen. Min hustru har heldigvis hver gang opdaget fejlen før pengene er trukket. Giv dog den mand et stempel med kontonummer, så var problemet løst eller også giv ham et kursus i at skrive tal korrekt!!! Banken følger ikke op på det, men mener at det retter sig af sig selv????

  • 0
  • 0
#30 Morten Hattesen

konto = konto.replaceAll("[^0-9]", "");

... er lidt farlig. "Gamle" mennesker fra skrivemaskine-æraen anvendte bogstavet "o" som erstatning for tallet nul "0", og bogstavet "l" for tallet et "1" - fordi skrivemaskiner oftest ikke havde disse. Man skal derfor ikke ukritisk fjerne alt ikke-numerisk fra et indtastningsfelt, men gerne whitespace (space, tab, ...) og punctuation (fx komma, punktum, bindestreg, ...) der alle kan anvendes som separatortegn. Men dette er jo også let i Regulærre udtryk.

  • 0
  • 0
#32 Jesper Juhl

Flere personer i denne debat argumenterer for bedre validering af kontonumre via javascript i brugerens browser. Det er bare ikke godt nok gutter.

Ethvert klient-side check kan omgåes. Det er måske meget fint til lige at advare brugeren om at noget er skummelt, men det må aldrig stå alene. Serveren der modtager data skal foretage den endelige validering - og den skal være lige så god (eller bedre) end den validering der sker på klient siden - og så kan man argumentere for, at klient side valideringen er en smule overflødig.

Hvis der stadig, den dag i dag, er nogen der tror at en "MAXLENGTH" attribut på et html input felt eller validering implementeret i kode der kører på klienten, ikke kan omgåes, så er jeg mildest talt rystet.

  • 0
  • 0
#33 dann søjberg

Jeg har selv brugt Jyske Netbanks funktion til at eksportere til regneark når jeg skulle have et overblik over hvor jeg brugte min penge. Det fungerer fortrinligt.

Kan også kun tilslutte mig fordelene ved at have flere logiske konti. Det gør det noget nemmere at vide hvad man har af midler til faste udgifter, mad, sjov og spass etc.

  • 0
  • 0
#34 Rasmus Kaae

paypal og ewire (og sikkert mange andre systemer) understøtter netop featuren "send penge til e-mail". det fungerer ganske godt og så vidt jeg husker tager begge kun et beskedent beløb for at overføre til ens "rigtige" bankkonto.

det åbner naturligvis en masse andre sjove emner indenfor sikkerhed, men den tid den sorg.

  • 0
  • 0
#35 Deleted User

paypal og ewire (og sikkert mange andre systemer) understøtter netop featuren "send penge til e-mail". det fungerer ganske godt og så vidt jeg husker tager begge kun et beskedent beløb for at overføre til ens "rigtige" bankkonto.

Problemet er næsten identisk med den dårlige sikring imod forkerte konto numre.

send penge til: jon@lo.dk men du skriver jon@ol.dk

og voila, resultatet er tabte penge.

  • 0
  • 0
#36 Jens Dalsgaard Nielsen

Er der nogen der ved hvad minimum Hamming afstand mellem to vilkårlig kontonumre hos denne samme bank er ? Hvis den kun er 1 er det jo noget hø for at sige det pænt, Det betyder at man kan skriver 3 istedet for 4 i et kontonummer og derved flytte sine penge hen et andet sted.

Der burde næsten være et lovkrav om mindst 2 eller helst 3 eller mere i Hamming afstand. Dette ville uden tvivl tage langt de fleste af forkert indtastet nummer. Og så skulle der samtidig være krav om at alle konto numre skulle være eks 10 eller 12 cifre.

  • 0
  • 0
#41 Deleted User

Ja, det er muligt at svindle. Men er det et argument, at bare fordi det ER muligt, så skal man gøre det endnu lettere for tyven?

Jeg mener ikke at det er endnu lettere bare fordi man kender modtagers navn ud fra et konto nummer. Du bruger jo ikke konto nummeret til at logge ind i webbanken, og du bør heller ikke kunne få saldo eller gå ned i banken og få dem til at overføre penge.

Det vil jo svare til at konstatere, at det er muligt at dirke en lås op på sin hoveddør, og derfor kan det ikke betale sig at have lås på døren.

Hvis du har en dræber hund inde bag døren, så er det fuldstændig lige meget at du har en ikke lås glasdør. Tyvene holder sig væk. Altså, hvis bare sikkerheden er ordentlig, så gør det ikke noget at du kender modtagers navn.

  • 0
  • 0
Log ind eller Opret konto for at kommentere