Banker sjusker med nøglekort: Åbner for »ultimativt ID-tyveri«
more_vert
close

Få de daglige nyheder fra Version2 og Ingeniøren. Læs mere om nyhedsbrevene her.

close
Ved at tilmelde dig accepterer du vores Brugerbetingelser, og du accepterer, at Teknologiens Mediehus og IDA-gruppen lejlighedsvis kan kontakte dig om arrangementer, analyser, nyheder, job og tilbud m.m. via telefon og e-mail. I nyhedsbreve, e-mails fra Teknologiens Mediehus kan der forefindes markedsføring fra samarbejdspartnere.

Banker sjusker med nøglekort: Åbner for »ultimativt ID-tyveri«

Illustration: Version2

Den 29-årige lærer Ronja Larsen blev for nylig svindlet for 270.000 kroner, fordi hendes bank, Arbejdernes Landsbank, ukritisk sendte et nyt NemID-nøglekort, da svindlere ringede og udgav sig for at være hende. Derefter fiskede svindlerne nøglekortet op af postkassen før hende selv og loggede ind på netbanken med Ronjas kode til NemID, som de havde stjålet ad andre veje.

Læs også: Bankerne er det svageste led i NemID: Blotter kunderne for svindlere

Læs også: Banken gav hendes nøglekort væk: Ronja blev hacket for 270.000 kroner

»Jeg er dybt skuffet over min bank, og jeg ønsker ikke for nogen som helst, at de oplever at vågne op til en tom konto og en postkasse fyldt med regninger for ting, man ikke selv har købt,« siger Ronja Larsen, som ikke anede, at der var en storm på vej mod hende.

Bankerne sender nemlig ingen form for notifikation, når der bestilles et nyt nøglekort i éns navn.

Og Ronja Larsens historie er ikke et enestående eksempel. Ifølge finanssektorens brancheorganisation, Finans Danmark, har mindst fem andre oplevet det samme i år, og sidste år var der ‘endnu flere’, skriver organisationen, der ikke ønsker at stille op til interview, i en e-mail til Ingeniøren og Version2.

Fire ud af seks fejler i stikprøve

Efterfølgende har Ingeniøren og Version2 med en række kunders vidende ringet til Arbejdernes Landsbank og fem andre danske banker for at bestille nye nøglekort.

Arbejdernes Landsbank sendte et nyt nøglekort, så snart vi opgav et CPR-nummer. Også Jutlander Bank sendte et nyt nøglekort, da den fik et CPR-nummer.

Hvis man vil bestille et nyt nøgle­kort gennem selve NemID eller Borgerservice, kræver det derimod enten pas eller kørekort, der er langt vanskeligere for svindlere at skaffe end CPR-nummeret.

Endnu værre ser det ud for kunder hos Sydbank og Merkur Sparekasse, der sendte nye nøglekort hjem til kunderne, uden at vi behøvede at opgive en adresse. Den oplyste bankerne selv i telefonen.

Dermed fik eventuelle svindlere at vide, hvor de skulle fiske det nye nøglekort op af postkassen.

Bankernes lemfældige omgang med kundernes NemID-nøglekort sætter – hvis den misbruges – den ekstra såkaldte tofaktor-identifikation ud af funktion. Det gør det enklere for it-kyndige svindlere at overtage identiteten fra deres ofre.

»Hvis man overtager NemID, har man begået det ultimative identitetstyveri i Danmark,« siger Jacob Herbst, medejer af sikkerhedsfirmaet Dubex, og opfordrer samtidig til at kigge sikkerheden i NemID efter i sømmene med henblik på en opdatering.

»En klar svækkelse«

Kriminolog Peter Kruize, der har udgivet en række rapporter om e-kriminalitet, kalder det en klar svækkelse af NemID, hvis nøgle­kortet kompromitteres. Han påpeger, at stadigt flere tjenester kobles til NemID.

»Jo mere NemID låser op for, des mere værdifuld bliver kontrollen over det,« siger han.

Et internt dokument, Ingeniøren og Version2 er i besiddelse af, viser, at banker, der sender nøglekort uden at tjekke ID, bryder anbefalingen fra Nets, som driver NemID.

Ifølge Nets bør bankerne sikre sig en »stærk identifikation« af kunden, før de fremsender nyt nøglekort. Det kræver mere end et CPR-nummer, f.eks. at banken spørger til nylige kontohandlinger.

De fire banker, som ukritisk sendte nøglekort, understreger alle over for Ingeniøren og Version2, at det strider imod deres retningslinjer. Arbejdernes Landsbank erkender »ikke at have udvist tilstrækkelig omhu og agtpågivenhed« i Ronja Larsens sag, og hun har fået erstattet sit tab.

»Vi har indskærpet vores interne procedurer for at forhindre lignende sager fremover,« skriver bankens kommercielle direktør, Peter Froulund, i en e-mail.

Ligesom Finans Danmark afviser Digitaliseringsstyrelsen at stille op til interview, men de to parter skriver i en fælles mail, at de »ikke er bekendt med, at danske banker udleverer nye nøglekort uden at legitimere kunden overhovedet«.

sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først

Jeg bor ikke i Danmark, og jeg har probemer med at få nøgle kort, og ja de sendes uden at jeg ved noget om det.
Jeg fik et brev fra UPS at der var noget til mig - da jeg modtog brevet havde de allerde sendt mit nøglekort retur
Siden prøvede de med DHL, og det kom ikke - de vidste sig at man nu havde "min" underskrift på at jeg havde modtaget det, men de havde mødt en anden i opgangen der havde taget imod.
Der skulle flere forsøg til inden de prøve den offentlige post og så kom det frem.
Men det er bekymrende at der skulle så mange nøglekort til - til at starte med uden mit vidende

  • 7
  • 0

Ja rigtigt - jeg har venner, der klager over det samme. Det er utroligt at danske statsborgere skal generes så groft. Kunne heller ikke få et telefonabonnement uden personnummer osv. chikane på chikane.

I øvrigt er det uhyrligt ringe af banken. Jeg går ud fra, at de har dækket kundens tab med det samme. Man kan slet ikke stole på banker længere. Det er svært at forså, at på den ene side er der nu påstået mere end 4.200 compliance medarbejdere, og alligevel sker der så elementære grove fejl. [PS jeg går ud fra det ikke var Ronja Røverdatter! ironi]

  • 3
  • 2

Det er nu ikke kun i DK.. Her i Sverige kan du ikke noget før du har et person nummer hvilket tager 4-6 uger at få og som du først kan ansøge om når du har fast addresse. Så er der det med bank konto uden svensk person nummer... det er noget af en øvelse. Men den mest groteske var nu at jeg måtte køre 2 uger i min dansk indregistrede bil ( 2 uger fordi vi nu bor her og ikke er turister) At købe en svensk bil kræver forsikring fra det øjeblik du køber den og forsikring kræver person nummer som tidligst kommer 2-4 uger efter fristen for ens danske bil skal være på svenske plader.
Tilgengæld kan vi ikke så meget som sætte penge ind eller hæve i banken uden ID dvs. Pas ( kørekort dur ikke da der ikke står dit statsborgerskab) Så man er i hvert fald i vores bank ret krævende med ID og nyt kodekort som de også bruger her kræver at du logger ind med BankID( svare til Nemid) via deres app eller nøglegenerator.. eller går i banken med dit pas og de bestiller så et kor til dig, ikke noget med at ringe det får man intet ud af.

  • 1
  • 0

Hvorfor er denne artikel både på V2 og her, kun i let forskellige udgaver, så der dermed opstår to helt parallelle debatspor?

https://www.version2.dk/artikel/bankerne-s...

Bortset fra det, så er sikkerheden fuldstændig kummerlig hos Nets også.

Da jeg (fordi DKHostmaster tror de er konger) blev nødt til at anskaffe en NemID til mit firma (for at "verificere" at det mit firma som havde været kunde hos dem i omkring 20 år var det det gav sig ud for - suk!) var den eneste sikkerhed dybest set at jeg skulle bekræfte en SMS kode der blev sendt - så kunne jeg sende en scannet formular med en underskrift ind til Nets, og der blev tilsendt et nøglekort.

Så hvis nogen havde neglet min telefon (eller fået udlevet et SIM kort, host, host) så kunne de ret så nemt have stjålet mit firma - tillidsvækkende ikke sandt?

  • 4
  • 2

Desværre bygger NemID på fuld tillid til at når man sender noget som et almindeligt brev, havner det i de rette hænder. Det er ikke korrekt. Vejen til at have formaliteterne i orden hedder anbefalet brev, men den er stadig ikke helt sikker.

Alligevel har jeg hørt om domme, hvor et almindeligt brev har været sendt med PostDK og derfor har dommen antaget at det er nået frem.

I det hele taget er det torske dumt at bygge sikkerhed på at tusindvis af bankfolk altid husker at gøre det rigtigt. Selvom de er bedre uddannet og betalt end sælgere i telefonbutikker, er de mennesker der begår fejl. Efter min mening ligger fejlen i en usikker forsendelsesmetode.

Det samme gælder SMS, som af mange årsager er uklog at stole på.

  • 6
  • 0

Sikkerhed skal slet ikke sendes med posten, dertil er det for vigtigt.

Personligt fremmøde, og fremvisning af legitimation - hvis det så betyder at det er i modstrid med tidens "Nem" svøbe er bare ærgerligt, ens digitale sikkerhed er for vigtig til der skal spilles hazard med den.

De fungerer så ikke for os der bor i udlandet - så skal de sendes på en eller anden måde, og man har så tillid til forskellige kurer-firmaer, som alle fejlede helt, sågar gav til det en "tilfældig" der blot skrev under.
Den almindelige post kunne finde ud af det, hvor jeg skulle på postkontoret vise ID og undersrive.

  • 3
  • 0

De fungerer så ikke for os der bor i udlandet - så skal de sendes på en eller anden måde, og man har så tillid til forskellige kurer-firmaer, som alle fejlede helt, sågar gav til det en "tilfældig" der blot skrev under.
Den almindelige post kunne finde ud af det, hvor jeg skulle på postkontoret vise ID og undersrive.

Man kunne jo en model med en trusted partner - det kunne så være ambassade, konsulat, eller udvalgte postcentre med større krav.

Det dur i hvert fald ikke med GLS som nærmest sætter en ære i falske underskrifter eller smide pakken et vilkårligt sted.

Og så selvfølgelig, hvis man i stedet havde lavet en ægte digital signatur, med mulighed for flere nøgler, så ville det også være muligt at have en nødnøgle et sikkert sted.

  • 6
  • 0

Hvordan kan det være at en parallel debat til denne pludselig er blevet henlagt til plus afdelingen?

Så hele debatten om den manglende sikkerhed i det fælles SSO system samtlige landets borgere er tvunget til at bruge har ikke "en samfundsmæssig væsentlighed, vi ønsker, at også folk uden for vores sædvanlige målgruppe kan få indblik i. "

Det er en ommer!

  • 8
  • 1

Det generelt et underligt system, hvor man kan møde NemID logins på alle mulige forskellige sider, uden at man jo reelt kan vide hvor man sender sine data hen, og så kan man åbenbart også bestille nye nøglekort hos en masse forskellige udbydere. Hvem har designet det?

Man burde kun kunne logge på ET sted - een side - altid den samme, og selvfølgelig det samme når man skal have nyt nøglekort.

  • 4
  • 0

Christian Nobel.
Hvordan kunne du have et firma uden NemID?
Da jeg for 3 år siden oprettede et lille firma, kunne jeg ikke afregne noget moms uden særlig bankkonto og egen NemID for mit firma.

  • 0
  • 0

Hvordan kunne du have et firma uden NemID?

Du overså vist den lille detalje at det er væsentligt længere siden jeg oprettede det - hvilket også gør det endnu mere grotesk at DK Hostmaster pludselig skal have et firma som har stået i CVR i årtier "verificeret".

Da jeg for 3 år siden oprettede et lille firma, kunne jeg ikke afregne noget moms uden særlig bankkonto og egen NemID for mit firma.

Moms har ind til nu kunnet klares med Tast-Selv koden (men det er så åbenbart slut fra første januar, sikkert efter Nets har haft en kammaratlig samtale om at det virkelig ikke går at der er 400.000 skatteydere de ikke har krammet på), og en separat bankkonto er ikke noget problem (ud over den selvfølgelig er dyrere i gebyrer end en privat).

  • 1
  • 0

Med andre ord, et service så ringe at den ikke kan bruges

Og her var det så at en ægte digital signatur, med flere nøgler, kunne være en rigtig god ide, da man kunne gemme en "sikkerhedsnøgle" under lås og slå, f.eks. yderligere indkapslet i egen kryptering.

Det var den gamle IT- og Telestyrrelse klar over allerede i 2002 , fra deres beskrivelse af digital signatur skrev de bla:

For at gøre brugen af digital signatur endnu sikrere, anbefales det ofte, at en bruger råder over flere nøglepar med tilhørende certifikater. Så kan et af disse nøglepar reserveres til at underskrive meddelelser eller til, når kommunikationen skal gøres uafviselig, dvs. sikring af, at afsenderen ikke senere kan benægte at have afsendt en meddelelse. Certifikatets anvendelse fremgår af certifikatet.

Det er nemlig langt fra al kommunikation, som det er nødvendigt at signere. Ofte vil brugeren blot have brug for at identificere sig, holde sin meddelelse hemmelig eller sikre dens integritet. For at adskille disse behov, kan det være fornuftigt med to eller flere forskellige nøglepar, f.eks. et par til signering samt et par til kryptering og dekryptering.
Den private nøgle, der bruges til den kommunikation, som kræver særlig høj sikkerhed, anvendes herved i mindre omfang og risikoen for kompromittering reduceres.

Det kan være ønskeligt eller nødvendigt for brugeren at opbevare en ekstra kopi af den private nøgle, der skal anvendes til at dekryptere meddelelser, som er krypteret med den tilsvarende offentlige nøgle. Også dette aspekt taler for anvendelsen af flere nøglepar, idet det i så tilfælde alene vil være den private nøgle til dekryptering af meddelelser og ikke den private nøgle til signering, der skal opbevares en kopi af.

Sidenhen har det kun gået ned ad bakke, og Digitaliseringsforstyrrelsen har gjort inkompetance til deres varemærke.

Bemærk også at IT- og Telestyrelsen allerede dengang mente det ville være en rigtig begavet ide ikke at benytte samme nøgle til haveskuret som man bruger til bankboksen.

  • 2
  • 0

Sikkerheden skal aldrig bero på forsendelse til fysiske adresser, eller logiske adresser som Email, eller telefonnummer/SMS.
Alle Single Sign On skal foregå på samme URL.
Hver person skal have to nøgler, en arbejdes nøgle, og en backup nøgle.
En ny nøgle (Papkort, UBIKEY, egengenerede X509 etc.) skal aktivers af en gyldig nøgle.
Hvis en person midster begge nøgler skal han identificeres på borgerservice, eller ambassade ud fra interview , og evt. pas/kørekort billeder.
Når en person bliver myndig skal forældrene/værge aktivere den første nøgle.

Dette sikrere sporbarhed, og at man kan straffe dem der uberettiget aktivere en nøgle på en person.
Og at turen til borger service for at få ny nøgle er en sjælden begivenhed.

  • 0
  • 0

Eksemplet her dokumenterer blot, at det politiske ønske om "Danmark som førende IT-nation" er vejen til stadig mere og større økonomisk kriminalitet. Britta Nielsen-sagen blot et andet eksempel, og de står i kø.
Sikkerhed i øknomiske transaktioner er størst ved "ansigt til ansigt-transaktioner" og ethvert skridt bort fra det forringer sikkerheden.
Det burde være logik for perlehøns, men netop derfor forstås det ikke af politikere der angler efter at lyde moderne, og det forties naturligvis af IT-udviklerne og af deres smarte sælgere.

  • 2
  • 1

begge faktorer i en to-faktor idenditet, er man på den.

Kortnummeret, bør heller ikke stå på kortet, men tilsendes en forud registret modtageradresse viua mail/SMS. Posten kan i princippet opsnappes og så har vi balladen, hvis tyven i forvejen har stjålet brugernavn og kodeord - hvem sagde forhastet digitalisering?

Jeg har brugt nettet siden 1983 i mit tidligere arbejde (første IPv4-adresse 1990), hvor jeg også var udstationeret i Frankrig ('87-92). Min idenditet (sygesikrings og kørekort) blev stjålet i '86, men den gang var et fremmøde, der hvor den var blevet misbrugt nok til, at fastslå, at jeg ikke var indvolveret.

Men det sjov jeg har set på - i nu 27 år - siden min hjemkomst til mit hjemland som IT-U-land har alt undtagen knækket mig; i min tid var DK trods alt kun et C-land.
Tag jer nu lidt sammen, ellers ender det med blogs på ing og Version2 ;-)

  • 2
  • 0

Tja.. før i tiden gik man ned på kommunen når man fik løn og betalte sin skat, fik et stempel og underskrift for indbetalingen så det er ikke så svært og kræver ikke en masse mennesker. Kan da se på de skattebilletter jeg har fra familiemedlemmer at samme kontordame sad på posten i over 20 år og er da sikker på hun kunne kende de fleste når de kom.

  • 1
  • 0

det lyder rigtigt.

Jeg var lige på NemId hjemmesiden og læste om forskellige muligheder.
Det lød IKKE godt og sikkert; jeg tror ikke engang begrebet sikkerhedsvurdering og sandsynlighed kan finde anvendelse.

Måske skal der laves en mere restriktiv løsning, NemId Guld, som udelukker en række af de nemme løsninger, OG sætter personligt fremmøde med diverse ID i fokus.
Jeg er IKKE mere rolig nu.

  • 1
  • 0
Bidrag med din viden – log ind og deltag i debatten