Livet bliver sværere for fupbutikker på .dk: Nu skal alle domæneejere NemID-registreres

Opdateret. Fremover kan man ikke registrere et .dk-domænenavn uden NemID. Og alle eksisterende domæneejere skal også registreres. Det sker for at dæmme op for fupbutikker og anden svindel.

Alle danske privatpersoner, foreninger og virksomheder, der allerede har et .dk-domænenavn eller ønsker at oprette et nyt, skal fremover registrere deres identitet med NemID.

Det oplyser DK Hostmaster.

»Ved at indføre identitetskontrol med NemID får vi bedre sikkerhed for identiteten på den person, der står bag et domænenavn, og vi mindsker muligheden for at misbruge andres personers oplysninger. Det bidrager til større sikkerhed i den danske .dk-zone,« siger DK Hostmasters direktør, Jakob Bring Truelsen, ifølge en meddelelse.

Version2 har tidligere beskrevet, hvordan svindlere i år har haft travlt med at købe danske domæner og opsætte fup-butikker på dem.

Således blev der eksempelvis i maj registreret det højeste antal domæner af personer med relation til Kina i løbet af en måned siden november 2014. Og mange af dem er altså butikker, der sælger falske varer eller på anden måde svindler kunderne.

Læs også: Kinesiske fupbutikker vælter atter frem på danske domæner

»Vi er meget opmærksomme på den øgede kriminalitet på nettet, og ved at indføre id-kontrol med NemID kan vi være sikre på, at vi kender identiteten på den, der har et domænenavn. Får politiet kendskab til fuphjemmesider eller andet misbrug, så øger vi muligheden for at kunne finde frem til personen bag,« forklarer Jakob Bring Truelsen.

Rent praktisk vil eksisterende domæneejere ikke kunne få adgang til den konto, hvorfra de administrerer deres domæne fra i dag. Og det bliver et krav i registreringsprocessen at identificere sig med NemID, hvis man vil have et nyt .dk-domæne.

»Kravet om NemID-registrering vil gøre det langt mindre attraktivt for svindlere at registrere et domæne og åbne en webbutik med falske svarer. Og det vil også gøre det nemmere for myndighederne at finde dem, som står bag fuphjemmesider eller andre sider, hvorfra der bedrives misbrug,« siger Jakob Bring Truelsen til Version2.

Når brugeren én gang har gennemgået identitetskontrol med sit NemID til sine domænenavne, vil det fortsat være muligt at logge ind med sit bruger-id fra DK Hostmaster.

Obligatorisk brug af NemID vil ifølge DK Hostmaster gælde for alle nye og eksisterende brugere, der er bosat i Danmark. I princippet kan eksisterende domæneejere godt fortsætte en rum tid endnu uden NemID-registrering, hvis de ikke gør brug af deres administratorkonto. Men på et tidspunkt bliver der fastlagt en deadline. (se note nederst, red.)

DK Hostmaster kommer senere på året med en løsning, der skærper identitetskontrollen for udenlandske kunder.

DK Hostmaster har efter udgivelse af artiklen oplyst, at der ingen planer er pt. om at man får suspenderet sit domænenavn på sigt, hvis man ikke logger ind med NemID.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (30)
Jens Beltofte Sørensen

Hvordan skulle dette egentlig hjælpe med svindel webshops og andre kriminelle? De færreste af de domæner der benyttes af svindlerne har en dansk ejer, og de kan derfor fortsætte uhindret med deres svindel. Til gengæld bliver livet væsentlig mere besværligt for danske virksomhedere der har mange .dk domæner.....

Mads T. Jensen

Igen viser dkhostmaster en fantastisk manglende vilje til at løse problemerne.

Det er jo ikke et stort problem, at danskere registrerer sig med et .dk uden ar vi ved det er rigtige danskere. Det er er problem at Ling Lui fra Kina og Jack Johnson fra Detroit uden videre kan registrere domæner, uden nogensinde at bekræfte deres identitet.

Det er jo det samme mønster hver gang. Domæne deaktiveres og slettes, to uger efter samler en kineser det op og opretter endnu en “Nike outlet very cheap” shop. Det er fornærmende nemt at registrere for dk-hostmaster. Men man vælger at lukke øjene; for det koster penge ar beskytte danskerne - også selv en abe kunne gå listen igennem, en gang om ugen

Men dkhostmaster er for nærige til en abe. Så hellere skrue prisen op på domæne-reservationer og servicen på supporten ned.

Lars Skovlund

»Kravet om NemID-registrering vil gøre det langt mindre attraktivt for svindlere at registrere et domæne og åbne en webbutik med falske svarer. Og det vil også gøre det nemmere for myndighederne at finde dem, som står bag fuphjemmesider eller andre sider, hvorfra der bedrives misbrug,« siger Jakob Bring Truelsen til Version2.

Vil det reelt gøre det, eller vil det blot tilføje endnu et oplagt MitM-mål til listen? En evt. mand i midten behøver kun at stjæle en kode om året og kan så gøre hvad han vil med domænet resten af året.

Ebbe Hansen

Det vil gøre pengeløse og andre svage borgere til potentielle ofre på endnu et område.
Tænk hvis du kan leje din NE-mide ud uden det får nævneværdige konsekvenser (har ikke hørt, at domæneejere er blevet hængt op på andres ugerninger på et domæne, ud over at domænet kan blive suspenderet)

David Nielsen

der er mange andre og mere lukrative måder at bruge et nemid på - fx. oprette ivs selskaber og moms svindel (og har også været kendt blandt fx. rumænere længe som kommer til landet, får nem-id og så lader svindlere køre max på det).

men selvf. - domæne svindel vil jo nok være en fin sidebeskæftigelse for dem også.

https://www.dr.dk/nyheder/penge/advokat-om-danske-selskaber-utroligt-nem...

Keld Simonsen

En, som jeg kender har været i kontakt med dkh. Dkh siger at hvis man ikke har nemid, kan man bare sende en kopi af sundhedskortet - gerne med cpr skjult, så skulle de acceptere dette på linje med Nemid.

Jeg synes dette er en rimelig løsning, og opfordrer DKH til at skriftligt indføre denne regel i deres regelsæt.

En af de ting jeg har mødt med falske .dk sites er kort tid efter et dk-domæne lukkes, er at det så overtages af nogen, der slår plat på navnet. DKH opfordres til at tage hånd om denne specielle problematik. Måske skulle DKH sige at de kun vil sælge sådanne domæner til danskere.

Peter Jensen

Dkh siger at hvis man ikke har nemid, kan man bare sende en kopi af sundhedskortet - gerne med cpr skjult, så skulle de acceptere dette på linje med Nemid.


Hvad rager det DK Hostmaster hvilken personlig læge m.v. man har?

Det er i øvrigt en særdeles uintelligent løsning, idet folk bare kan sende en kopi af en anden persons sundhedskort.

Desuden er adressen på et sundhedskort pærelet at forfalske, idet man kan bare rette sin adresse i Folkeregisteret og få et nyt kort tilsendt - og så rette adressen tilbage. Mange lavt begavede bankansatte tror (og insisterer) fx på at en kopi af et sundhedskort er et bevis for hvilken adresse man bor på.

Mads T. Jensen

Jeg har tidligere verificeret min konto hos DK hostmaster, med NemID, fordi jeg så kunne kæde mine fire kontos sammen (som jeg holder adskilt pga. virksomheder). Nu kan jeg så ikke få adgang til nogen konto før jeg IGEN verificerer med NemId. Dengang var det kaos, fordi jeg har skjult adresse. IGEN er det kaos, fordi jeg har skjult adresse.

De har -overhovedet- ikke styr på en skid ved Dk-Hostmaster. Det er ufatteligt så ringe udviklingen af deres system må være. Hvordan kan man have monopol på så stor en årlig indtægt, og ikke få de helt basale ting på plads.

@Keld: hvad folk bruger deres domæner til, skal DK-hostmaster blande sig fuldstændigt udenom, medmindre det er ulovligt. De har selv indført en reservations-funktion, som de forøvrigt tjener rigeligt på til hver delete-deadline.

Det er forøvrigt ikke nok at strege personnummet over - stregkoden skal også væk.

Keld Simonsen

man kan vel også både skjule lægens navn og adresse mv., samt stregkoden på sundhedskortet.

Og ja, men kan da flytte frem og tilbage, men det er vel også nemt at få en ven til at bruge sin nemid og så bestille domænet, formentlig kan dette gøres idet ejerens rigtige navn og adresse opgives til DKH.

Keld Simonsen

Jeg kan blot se at udløbne domæner meget ofte bliver opkøbt af forbrydere, der slår plat på et indarbejdet domænenavn. Domænet havner så ofte i politiets varetægt. Jeg foreslår så DKH at de ændre på deres procedure for de udløbne domæner, fordi der er mange problemer her. På den måde kan man forhindre at disse brodne kar laver alt for megen skade.

Jesper Lund

De har -overhovedet- ikke styr på en skid ved Dk-Hostmaster. Det er ufatteligt så ringe udviklingen af deres system må være. Hvordan kan man have monopol på så stor en årlig indtægt, og ikke få de helt basale ting på plads.

For et par år siden lavede selvsamme DK-Hostmaster en validering af alle adresseoplysninger for danske registranter mod CPR/CVR registeret. Så hvis DK-Hostmaster nu beder om kopi af et sundhedskort, vil de modtage adresseoplysninger som er mindre validerede end dem som DK Hostmaster allerede har.

Det giver simpelthen ingen mening. Men når DK-Hostmaster og DIFO insisterer på at man skal sende kopier af officielle dokumenter via email, yder de en stor hjælp til kriminelle identitetstyve, som løbende prøver at lokke folk at gøre den slags ved eksempelvis at sende spoofede emails om at dit domæne blokeres, hvis du ikke straks sender en kopi af dit pas til dem.

Måske burde DIFO og DK-Hostmaster holde sig til den tekniske administration af .dk zonen (sådan set deres ENESTE opgave), i stedet for at drømme om at lege indholdspoliti for diverse hjemmesider med .dk domæne, og opbygge store lognings-agtige databaser med oplysninger, som det rigtige politi (eller andre, herunder identitetstyve) måske kunne være intereseret i en dag. Just saying..

Prisen for et .dk domæne stiger i øvrigt med over 10%. Man skulle ellers mene at digitalisering og den slags gør administration billigere. Det kunne være interessant, hvis nogen gravede i om disse påståede stigende udgifter hos DK-Hostmaster (begrundelsen for prisstigningen) skyldes deres nye selvopfundne rolle som domænepoliti..

Henning Wangerin

Efter at NemID på hardware blev lukket ned giver det jo så en ekstra hurdle.

Hmm. Skulle lige ændre noget på et par af "mine" domæner.

Det jeg står som personlig ejer af kan jeg ikke lige få adgang til pga nemid-blokaden, men da jeg forsøgte at logge ind med handlet for en forening, var der ingen nemid-check.

Så konklutionen er vel at skal man bruge et domæne , skal man bare oprette en forening som ejer domænet.

Hvad bliver det næste DKHM finder på af tossede ting?

/Henning

Keld Simonsen

Jeg har lige læst på DK Hostmasters nye vilkår:
https://www.dk-hostmaster.dk/da/nye-vilkaar

De skriver bl.a.: Der indføres en ny metode til identitetskontrol for udlændinge (og alle andre, der ikke kan anvende NemID). På anmodning skal registranter indsende dokumentation for sin identitet

Så de regler, jeg har skrevet om i denne tråd er dokumenteret i deres nye vilkår.

Det synes jeg er OK.

Mads Bendixen

Identifikation påkrævet

Da du er anonym i CPR-registret, bedes du kontakte vores kundeservice vedrørende identifikation

... Efter man har logget ind med nemID og indtastet CPR-nr. - Det virker lidt som chikane, blot fordi man ikke vil have sin adresse udbasuneret på dk-hostmaster.dk

Og i mellemtiden er man så udelukket fra benytte selvbetjening på dk-hostmaster.dk. Tak for advarslen, eller...

Henning Wangerin

De ville sikkert ikke have understøttet NemID på hardware alligevel, det er jo kun det offentlige der er forpligtet til det.

Det gør de i hvertfald ikke lige nu.

Jeg frygter lidt at de begynder at checke formaer og foreninger med NemID. Og der er nøglefiler mere brugt. (Nej jeg har ingen tal på det)

Og hardware og nøglefilen bruger de samme værktøjer.

Men de vil åbenbart gerne lave en masse manuelt arbejde med at håndtere alle som ikke har papkort.

/Henning

Povl Hansen

Nej. For nogle af os har ikke tillid til papkorts-løsningen.


Surt Røv for jer, så må i arbejde for af en ændring, og håbe på af i ikke har et domaine der skal laves ændringer på så længe

Jeg kan blot se at udløbne domæner meget ofte bliver opkøbt af forbrydere,

Man kunne jo også lave 1 års blokering, så er der stor chance for af domainet er blevet glemt

Jesper Lund

De skriver bl.a.: Der indføres en ny metode til identitetskontrol for udlændinge (og alle andre, der ikke kan anvende NemID). På anmodning skal registranter indsende dokumentation for sin identitet

Så de regler, jeg har skrevet om i denne tråd er dokumenteret i deres nye vilkår.

Det synes jeg er OK.

Det er absolut ikke OK, når DK Hostmaster vil anvende denne tvangsprocedure mod eksisterende domæner, som i god tro er registreret for længe siden, uden disse åndssvage identifikationskrav. Det giver heller ikke nogen mening, udover at bevise at DK Hostmaster kan tillade sig hvad som helst. De få domæner, som er brugt til svindel, er sikkert relativt nye i forhold til registreringsdatoen (eller overdragelsesdatoen).

DK Hostmaster har allerede lavet en adressevalidering mod CPR/CVR registeret for et par år siden. Nu beder DK Hostmaster angiveligt om adresseoplysninger, som er mindre validerede end dem som DK Hostmaster allerede har. Det giver simpelthen ingen mening. Medmindre det altså handler om magtmisbrug fordi man kan (udbytte at eksisterende .dk registranter ikke bare kan gå til en konkurrent, for der er ingen konkurrent).

Det helt absurde er at DK Hostmaster med denne procedure bliver de kriminelle identitettyves bedste ven. Der er ikke noget bedre for kriminelle end borgere, som er vænnet til at sende kopier af ID-papirer til alle mulige, som beder om det. Til sidst er det umuligt at skelne mellem de "legitime" anmodninger og dem som kommer fra kriminelle.

Christian Nobel

Jeg har lige læst på DK Hostmasters nye vilkår:
https://www.dk-hostmaster.dk/da/nye-vilkaar

De skriver bl.a.: Der indføres en ny metode til identitetskontrol for udlændinge (og alle andre, der ikke kan anvende NemID). På anmodning skal registranter indsende dokumentation for sin identitet

Så de regler, jeg har skrevet om i denne tråd er dokumenteret i deres nye vilkår.

Og det har de så åbenbart alligevel ikke.

Jeg havde i dag kontakt med en af DK Hostmasters (inkompetente) medarbejdere, og hun var ikke til at hugge eller stikke i, men påstod hårdnakket at NemID validering er et myndighedkrav, og hvis man ellers var utilfreds skulle man sende en mail til DK Hostmasters juridiske afdeling (meget upersonligt kaldt nemid@dk-hostmaster.dk).

Dette til trods for at mit firma har ligget på samme adresse i over 10 år, og oprettelsen i CVR er endnu ældre - så hvorfor er det at man nu skal "validere" (et stærkt udtryk for et SSO) sig med NemID, al den stund firmaet jo tidligere er blevet valideret op mod CVR.

Nu må vi se hvad DK Hostmasters juridiske afdeling vender tilbage med - det var helt Kafkask, man kunne ikke stilles videre til dem.

Christian Nobel

Jeg har i dag efter ca. 3 uger (!) fået følgende ikke-svar fra DK Hostmaster:

"Kære Christian Nobel

Først vil jeg gerne beklage, at det ikke har været muligt at besvare din henvendelse om DK Hostmasters nye krav om NemID før nu. Vi er klar over, at NemID ikke hilses velkommen af alle, men jeg vil gerne beskrive for dig, hvorfor DK Hostmaster har valgt netop denne løsning.

DK Hostmaster afholdt i 2016 en høring af det danske internetsamfund om sin rolle som administrator af .dk-domænenavne i relation til bekæmpelse af internetkriminalitet. Høringen viste, at der er en bred anerkendelse af, at det stigende problem med internetkriminalitet også er noget, som DK Hostmaster skal forholde sig til. Derfor traf DK Hostmasters bestyrelse beslutning om, at indføre nye tiltag til efterlevelse af domænelovens § 18, der pålægger DK Hostmaster et krav om, at oplysninger om registranter af .dk-domænenavne skal være retvisende. Dette betød bl.a., at registranter med bopæl i Danmark fra den 9. november 2017 er blevet bedt om at gennemføre en validering af sit navn og adresse, herunder identitet ved brug af NemID.

Kravet om NemID blev indført med hjemmel i de dengang gældende "Generelle Vilkår", som i dag er erstattet af "DK Hostmasters vilkår om brugsret til et .dk-domænenavn", se https://www.dk-hostmaster.dk/da/regler . I disse vilkårs afsnit 3 fremgår krav til registranter vedrørende retvisende kontaktoplysninger, og der henvises til, at DK Hostmaster angiver den metode, der skal følges. Denne metode er ærmere beskrevet i "Procedure om kontrol af kontaktoplysninger og identitet af ny registrant med bopæl i Danmark" samt i "Procedure om kontrol af kontaktoplysninger og identitet af eksisterende registrant med bopæl i Danmark", se begge på https://www.dk-hostmaster.dk da/procedurer

DK Hostmasters hjemmel til at fastsætte de ovenfor nævnte vilkår findes i domænelovens § 14, stk. 1.

DK Hostmaster har valgt at anvende NemID, fordi det efter DK Hostmasters vurdering pt. er den sikreste måde for registranter at få kontrolleret deres oplysninger og identitet på. Vi har endvidere lagt vægt på, at der stilles juridiske krav til NemID's funktionalitet mv., se https://www.nemid.nu/dk-da/om-nemid/historien_om_nemim/digital_signatur/...

Validering af navn, adresse og identitet ved brug af NemID er således obligatorisk for at få adgang til selvbetjeningen, og hvis du ikke har NemID, kan du finde oplysninger om, hvordan du får NemID her:
https://www.nemid.nu/dk-da/erhverv/

Med venlig hilsen / Best regards

Jens Erik Jensen
Seniorkonsulent"

Læg mærke til hvorledes der behændigt styres uden om det essentielle, nemlig selve det at det skulle være et lovkrav at der benyttes NemID, og udelukkende henvises til afledte afgørelser, eller egne regler.

Læg også mærke til det Kafkaske element, at det selvfølgelig ikke er muligt at kontakte Jens Erik Jensen.

Beklageligvis sidder DK Hostmaster med et monopol, ellers ville noget tilsvarende aldrig kunne lade sig gøre.

Endvidere kan et udenlandsk firma så åbenbart ikke mere oprette et .DK domæne.

Christian Nobel

Skrev følgende til DK Hostmaster i dag (medarbejderne er isoleret mod den grimme omverden gennem en fælles postkasse):

Jeg synes det er beklageligt at DK Hostmaster ikke tillader at man kan have en direkte dialog med en medarbejder, men at man på bedste Kafkaske vis kun kan henvende sig til en upersonlig tjeneste.

Så om hvorvidt dette flyder tilbage til Jens Erik Jensen står hen i det uvisse.

Under alle omstændigheder mener jeg, at det jeg er blevet præsenteret for er en række bortforklaringer og cirkelslutninger, da der stadig ikke kan henvises til en konkret lov for området, da NemID som tidligere nævnt ikke lever op til LOV nr 417 af 31/05/2000 om elektroniske signaturer.

JEJ skriver følgende:

"Validering af navn, adresse og identitet ved brug af NemID er således obligatorisk for at få adgang til selvbetjeningen"

Hvilket er lodret i modstrid med hvad DK Hostmaster selv skriver på FAQ'en:

"Hvis du er fritaget fra at bruge NemID, eller ellers ikke har NemID, skal du kontakte vores kundeservice for mere information."

Endvidere undrer det mig om det nu ikke mere er lovligt for udenlandske firmaer (eller privatpersoner for den sags skyld), som ikke nødvendigvis kan forventes at have NemID, at have et .dk domæne?

Med venlig hilsen
Christian Nobel

Så får vi at se om det afleder endnu en gang bla-bla

Povl Hansen

“Læg mærke til hvorledes der behændigt styres uden om det essentielle, nemlig selve det at det skulle være et lovkrav at der benyttes NemID, ”

Det er et lovkrav at de ved hvem du er, de har så med hjemmel i loven valgt at få de oplysninger ved brug at Nem-id

Christian Nobel

Det er et lovkrav at de ved hvem du er, de har så med hjemmel i loven valgt at få de oplysninger ved brug at Nem-id

Det er muligt at det er et lovkrav at de ved hvem registranterne er, det er ikke det jeg anfægter, men det at brugen/kravet om lige præcis NemID ikke er lovhjemlet,

Det kunne være en option, på linje med at fremsende CVR bevis, eller møde personlig frem.

Christian Nobel

Den Kafkaske farce (efter 1½ uge!) fortsætter med endnu en gang snakken uden om:

"Kære Christian Nobel

Tak for din fornyede henvendelse.

Den konkrete lov for området henviste jeg til i min tidligere e-mail. Iht. domæneloven skal DK Hostmaster som administrator af .dk-domænet fastsætte forretningsbetingelser og vilkår for registranter. Disse vilkår var de dengang gældende "Generelle Vilkår", som i mellemtiden er erstattet af "Vilkår for brugsret til et .dk-domænenavn". Hjemlen for at indføre kravet om NemID er således fuldstændig på plads.

For registranter med bopæl uden for Danmark har vi indført kontrol af
kontaktoplysningerne ud fra en risikovurdering, som du kan læse mere om i procedurerne for kontrol af kontaktoplysninger for hhv. nye og eksisterende registranter med bopæl uden for Danmark. Du kan finde procedurerne her:
https://www.dk-hostmaster.dk/da/procedurer

Jeg kan godt se nu, at der er en forkert tekst og dermed misvisende information i FAQ'en på vores hjemmeside. Det er meget beklageligt, og teksten vil naturligvis blive rettet. Tak fordi du gjorde mig opmærksom på det.

Med venlig hilsen / Best regards

Jens Erik Jensen
Seniorkonsulent"

JEJ vil slet ikke forholde sig til essensen, nemlig brugen af NemID.

Det er på tide at der kommer konkurrence til DK Hostmaster - og det at vende sagen som om jeg har gjort dem opmærksom på en fejlformulering er direkte uforskammet.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017