Sjusk med NemID-nøglekort: Derfor udgør bankerne det svageste led

Fire ud af seks banker sender nøglekort på en måde, som på grund af flere små svagheder i systemet gør det muligt for svindlere at overtage NemID.

Angreb på bankkonti, nedlukning af personligt ejede selskaber, digitale underskrifter på køb og salg af ejendomme og optag af kvælende kviklån. Det er nogle af mulighederne, hvis det lykkes at overtage kontrollen med et dansk NemID.

Det potentiale er hackere og svindlere begyndt at få øjnene op for. De seneste tal fra finanssektorens brancheorganisation, Finans Danmark, viser, at udbyttet fra netbankindbrud steg markant i første kvartal 2019.

Her på opslaget kan du læse historien om et af ofrene, Ronja Larsen, som blev frarøvet 270.000 kr. Men hvordan kunne det komme så vidt?

For at kompromittere NemID skal en svindler have adgang til tre oplysninger:

Brugernavn

Adgangskode

Nøglekort eller nøgle-app

Brugernavnet er som udgangspunkt offerets CPR-nummer, og det kan relativt let kompromitteres.

»CPR-numre er alt andet end sikre. De kan nemt findes i datalæk, eller man kan gætte sig frem til dem,« lyder det fra Keld Norman, sikkerhedskonsulent i it-sikkerhedsselskabet Dubex.

Derfor har sikkerhedseksperter for længst erklæret CPR-nummeret uegnet til sikker autentifikation i sig selv.

Vi undlader at gå i detaljer med, hvordan CPR kan kompromitteres, men nøjes med at konstatere, at så mange offentlige og private myndigheder benytter CPR-numre til at identificere borgeren eller kunden, at svindlere simpelthen kan tjekke, om de har gættet rigtigt, før de benytter det til at hacke et offers NemID.

Keylogger til 50 kroner

I det konkrete svindelnummer, der satte gang i Ingeniørens undersøgelse, har de kriminelle opsnappet både brugernavnet og kodeordet til NemID på forhånd. Sandsynligvis ved på et bibliotek at benytte en såkaldt keylogger, der optager tastetryk. De findes i et hav af variationer og kan fås for 50 kroner. De dyrere af slagsen kan endda selv sende filerne med de optagne tastetryk til angriberen.

CPR-nummeret og navnet på offeret var i Ingeniørens stikprøve tilstrækkeligt til at få fire ud af seks banker til at sende et nyt NemID-nøglekort. Stikprøven viser, at bankerne ser anderledes på sikkerheden end NemID’s egen hjemmeside nemid.nu og Borgerservice, der kræver pas og kørekortnummer for at udstede et nyt nøglekort.

I to tilfælde var det tilstrækkeligt at oplyse blot et fornavn, og i to andre tilfælde CPR-nummeret for at få tilsendt et nyt nøglekort til offerets adresse. Adressen oplyste de fire banker også under stikprøven, hvilket i øvrigt er i strid med persondata-lovgivningen.

Når svindlerne har adressen, kan de stjæle brevet fra postkassen, når det kommer, og Keld Norman fra Dubex fortæller da også, at det generelt er nemt at åbne og låse klassiske postkasse-låse, uden at ejeren aner det. Det tog Ingeniøren mindre end 30 sekunder at dirke en postkasse op med to hårnåle.

Det svage lede er bankerne

»En kæde er aldrig stærkere end det svageste led, og det svage led er bankerne i det her tilfælde. Det virker underligt, at bankerne kræver lavere sikkerhed, og det er kun et spørgsmål om tid, før de kriminelle for alvor finder ud af det,« siger kriminolog og forsker Peter Kruize, som har skrevet rapporter om e-svindel for bl.a. Justitsministeriet og Det Kriminalpræventive Råd.

Offeret aner ikke, at svindlerne har bestilt et nyt nøglekort. Det nu ti år gamle NemID-system er nemlig ikke udstyret med en funktion, der adviserer brugeren, når et nyt nøglekort er på vej.

Stort set alle andre selskaber, der arbejder med digital sikkerhed, har procedurer til at sikre, at det er kunden selv, der har ændret i sine forhold. Google sender straks en e-mail, når du logger på Gmail fra en ny enhed, Microsoft sender en e-mail, hvis du ændrer din kode, og sådan er der utallige eksempler.

»Man kunne med rette informere brugeren om, at der er et nøglekort på vej. Det ville gøre det markant sværere for svindlere at opnå at overtage NemID,« siger Jacob Herbst, medejer af Dubex.

Netbankerne gør det desuden enklere for svindlerne ved at oplyse, hvor offeret er kunde.

For hvis man logger på en vilkårlig netbank i Danmark med NemID med et rigtigt brugernavn og kodeord, får man at vide, hvis man ikke er kunde i den pågældende bank, vel vel at mærke inden man bliver bedt om at bruge nøglekort.

Når man som svindler rammer den rigtige bank og bliver bedt om at indtaste en nøgle, kan man pænt ringe til netop dén bank og bestille et nøglekort og derefter sørge for at tømme offerets postkasse de efterfølgende dage, inden vedkommende selv gør det.

»Se sikkerheden efter«

»Alt i alt giver det her grundlag for at se sikkerheden omkring NemID efter i sømmene. NemID er ikke helt nyt længere, og det her tyder på, at sikkerheden generelt set kunne trænge til et løft,« siger Jacob Herbst.

Af et internt dokument fra en af bankerne fremgår det, at bankerne langtfra lever op til den aftale om håndteringen af NemID, banken har indgået med Nets, der ejer NemID.

I aftalen står der, at når kunden henvender sig telefonisk til bankerne og eksempelvis beder om at få tilsendt et nøglekort, skal banken sikre en ‘stærk autentifikation’. Det tæller oplysningen af kundens CPR-nummer ikke som.

I stedet opfordres bankerne i dokumentet til at udspørge kunden om personlige kundeoplysninger. Det kan bl.a. være spørgsmål om de seneste kontoudtræk, som er vanskelige for en svindler at svare på.

NemID skal i 2021 afløses af et nyt, opdateret digitalt ID kaldet MitID. Som det ser ud lige nu, bliver det et farvel til nøglekortet, der vil blive erstattet af andre digitale nøgleløsninger.

Denne artikel stammer fra den trykte udgave af Ingeniøren.