Hacket for 270.000 kroner: Nogen fik banken til at sende nyt NemID-nøglekort til Ronja

Ingeniøren og Version2 gennemgår her det NemID-baserede angreb, der kostede Ronja Larsen hendes digitale identitet og 270.000 kr.

»Jeg blev sur på min kæreste. Han sad og grinede helt vildt,« begynder den 29-årige lærer Ronja Larsen, der er denne kriminalfortællings ufrivillige hovedperson.

Da kærestens hysteriske grin stopper, og han kigger op fra computeren, siger han:

»Jeg tror, du skal ringe til din bank.«

Herfra buldrer det ned ad bakke. Pludselig er alle Ronjas konti tomme, der er optaget store kviklån, hendes mobil holder pludselig op med at virke, og der er blevet købt en dyr iPhone. Alt sammen i hendes navn, signeret med hendes NemID.

Ronja Larsen blev i alt tappet for 270.000 kroner af de ukendte hackere, der tydeligvis havde fået adgang til hendes NemID’s bruger­navn, hendes CPR-nummer og adgangskoden.

Men hvordan i alverden havde de fået fat i et helt nyt nøglekort, så de kunne tilgå hendes konti og deaktivere hendes gamle nøglekort?

Svaret ligger i den log, der beskriver alle indlogninger foretaget med Ronjas NemID. Og forsøg på samme.

Ingeniøren har gennemgået loggen og fundet en linje, der er særligt interessant. Midt imellem diverse indlogninger og informationer som ip-adresser, tidspunkt og handling er der et blankt felt.

Ingen ip-adresse, ingen enhed. Kun en handling.

»Nyt nøglekort bestilt. Arbejdernes Landsbank«

Og det var denne lille handling, der ledte os på sporet af den svaghed i NemID, der pryder ugens forside.

Gennem loggen og informationer fra Ronja Larsen har vi rekonstrueret angrebet, der på en og samme tid er kompliceret og professionelt udført – og såre simpelt. For at hæve den betragtelige sum fra Ronjas konti skulle tyven bruge to hårnåle, et dansk ordforråd og en mobil­telefon. Derudover – sandsynligvis – omkring 50 kroner.

En offentlig computer

Det er usikkert, hvor og hvornår kuppet starter. På en eller anden måde har hackerne opsnappet Ronjas kodeord og brugernavn til NemID. Brugernavnet var nemt at få, for det var hendes CPR-nummer, og det kan være blevet kompromitteret på mange måder.

Men det har været mere mere kringlet at få koden. Ronja Larsen fastholder nemlig, at hun kun brugte pågældende kodeord til NemID. Og at ingen andre kendte det.

Ronja er til gengæld en af de få, der ikke har egen computer. Derfor har hun ad flere omgange logget på offentlige computere, blandt andet på et nærliggende bibliotek. Og det skal man ikke gøre, hvis man vil have sin digitale ryg fri:

»Der er en kæmpe risiko for, at nogen på en eller anden måde følger med i, hvad man laver på offentlige computere og netværk,« siger sikkerhedskonsulent hos sikkerhedsfirmaet Dubex Keld Norman.

Helt anderledes lyder det fra Digitaliseringsstyrelsen, der er medejer af NemID. I en mail til Ingeniøren henviser styrelsen netop til, at »borgere kan opsøge hjælp på biblioteket«.

Keld Norman fortæller, at der findes et væld af såkaldte keyloggere, der på forskellig vis opsnapper, hvad der tastes på et tastatur. Keyloggers kan være en lille fysisk brik på ned til en halv centimeter, men det kan også dreje sig om software. Funktionen er simpel: Optag alt, der indtastes, og gem det i en tekstfil. De dyrere af slagsen kan selv sende filerne til angriberen.

Med Ronjas brugernavn og kodeord begynder hackerne systematisk at udnytte svaghederne i NemID. Først og fremmest vil de finde ud af, hvilken bank Ronja Larsen har. Netbankerne er opbygget sådan, at man kan logge på kun med brugernavn og adgangskode, og så får man at vide, om man er kunde eller ej, før nøglekortet skal tages frem.

Så det gør hackerne klokken to natten til 20. maj fra en ip-adresse, der er registreret til at holde til uden for Aarhus. De rammer forkert første gang, men anden gang rammer de Arbejdernes Landsbank.

Nu kan hackerne udnytte næste sårbarhed. Nemlig at bankerne i flere tilfælde ikke identificerer dem, der ringer ind til dem. Selvom bankerne burde stille kontrolspørgsmål eller kræve pas eller kørekort, som nemid.nu eller Borgerservice gør.

Klokken 17.45 24. september beder Arbejdernes Landsbank Nets om at sende et nyt nøglekort til Ronja Larsen. Svindlerne har ringet og sandsynligvis oplyst Ronjas CPR-nummer, og banken tager det for gode varer – som Ingeniørens stikprøve i dag viser, at det sker i flere banker.

»Jeg er totalt intetanende og opdager intet,« siger Ronja Larsen frustreret. Ronja bliver holdt i mørket, fordi NemID-systemet ikke sender notifikationer til borgerne, når der for eksempel bestilles nye nøglekort. Det er endnu en sikkerhedsbrist.

Venter på posten

Nu venter hackerne bare på, at nøgle­kortet kommer med posten. Set i bakspejlet sker der da også nogle mærkelige ting omkring Ronjas postkasse. Folk i kollektivet bider mærke i, at døren til opgangen holdes åben af cigaretskodder, så der er adgang til postkassen.

Undervejs ringer hackerne under dæknavnet ‘Peter’ til Ronja og udgiver sig for at være fra Post Nord. De vil vide, om hun fatter mistanke - det gør hun ikke.

Nu har hackerne alt, de skal bruge, og 4. oktober slår de til. De lænser hendes konto og kollektivets konto, optager tre kviklån, køber en iPhone og forsøger at få kredit i en møbelforretning.

Ronja har nu fået erstatning efter en lang sag, hvor Ingeniørens granskning er eneste årsag til, at Ronja har den mindste anelse om, hvad der er sket.

»Jeg har været rigtig vred. Jeg har været vred på dem, der har gjort det, men også på min bank, der har ladet det her ske, og som aldrig over for mig har erkendt, at de har begået en fejl. Det har hele tiden været mig, der skulle bevise min uskyld,« siger Ronja Larsen, der har meldt det hele til politiet for længst.

»Jeg handlede relativt hurtigt, men jeg har en fornemmelse af, at hvis jeg ikke havde gjort det, var det gået endnu værre,« siger Ronja Larsen.

Over for Ingeniøren og Version2 erkender Arbejdernes Landsbank, at der er sket fejl hos dem:

»I den konkrete sag må vi erkende, at vi desværre ikke har udvist tilstrækkelig omhu og agtpågivenhed ift. at forhindre angrebet,« siger Peter Froulund, der er kommerciel direktør i Arbejdernes Landsbank. Banken ønsker ikke at stille op til interview.

Denne artikel stammer fra den trykte udgave af Ingeniøren.