Okay, som gammel (okay, ‘tidligere’) it-journalist må jeg til tasterne 🙂 Nu har jeg fået nok at at høre/læse ordene ‘NemID’ og ‘hacket’:
Politiken: Netbankhackere bryder igennem NemId
Berlingske: Hackere bryder ind hos danske bankkunder
BT: http://www.bt.dk/krimi/hackere-bryder-nemid-hos-danske-bank-kunder
…og min egen arbejdsplads er også med: Hackere lænser konti med nem-ID-koder.
Selv IT-medierne ComON (Hackere overlister NemID-brugere: Stjæler 700.000 kr. i Danske Bank), Computerworld (NemId sprængt: Hackere bryder ind i Danske Bank) og Version2 (Nyt hacker-trick snød NemID: Sådan gjorde de) er med på den.
Problemet er bare: NemID er ikke blevet hacket.
Hvis NemID var blevet hacket, så havde de kriminelle fået adgang til selve NemID-systemet. Det er ikke sket. Det der i stedet er sket er, at nogle NemID-brugere er blevet franarret NemID-login-oplysninger til deres bank og er blevet frastjålet 700.000 kroner.
Det er ikke hacking, men kaldes ‘phishing’. Til Version2’s forsvar skal det siges, at de også har artiklen ‘Rådet for Større IT-sikkerhed: Umuligt at opdage NemID-phishing’.
Phishing (udtales fuldstændig ligesom ‘fishing’ og har været en ‘hot trend’ – eller hvad man nu skal kalde det – indenfor IT-kriminalitet siden cirka 2005, det er altså ikke noget nyt) går ud på netop at franarre folk personlige oplysninger, såsom brugernavne, adgangskoder og nu også NemID-koder. Version2 skriver i artiklen ‘Nyt hacker-trick snød NemID: Sådan gjorde de’:
Denne gang brugte tyvene angiveligt en kombination af malware og phishing til at lokke en ekstra kode ud af Danske Bank-kunder.
Og det er fuldstændig korrekt. Malwaren (på dansk kan det vel bedst kaldes ‘skadelig software’ eller noget ligende) var blevet sneget ind på NemID-brugernes computer – udenom NemID. Dette er formentlig gjort ved, at der er sendt falske e-mails ud, hvor afsenderen giver sig ud for at være et pengeinstitut. Det er en klassiker, og phishing lige efter bogen.
De IT-kriminelle har så brugt malwaren til at præsentere brugeren for et falsk NemID-login-vindue (nu er vi på side 2 i phishing-håndbogen) og brugeren er hoppet i med begge ben (side 3). Og så er pengene væk (side 3, nederst).
I dag var en NemID-mand i sit fineste jakkesæt så på besøg i TV-Avisen hvor han skulle besvare værtens spørgsmål: Er du tryg ved NemID? Og selvfølgelig er han det. For som han sagde: Det er jo ikke NemID, der er blevet angrebet og ‘hacket’.
Det kan virke pedantisk at gå op i den slags, men det er vigtigt for vores forståelse af IT-kriminalitet, som der med garanti ikke bliver mindre af. Som det ser ud nu, er NemID sikker – men folk vil være i fare så længe de klikker på links i mails, de tror kommer fra deres bank – skønt det igen og igen bliver understreget, at din bank aldrig sender dig en mail og beder dig logge ind.
Det er ligesom når man går ned ad Strøget i København og ser folk, der tror, de kan vinde penge fra manden med de tre kopper og kuglen. Det er snyd, lad nu være.
Men når historier som denne dukker op, er en ting sikker: Sikkerhedsfirmaerne står i kø for at komme med bud på forbedringer. Det er ligesom tilbage i skoleklassen, når læreren prøver at sætte videoen til og alle eleverne pludselig råber i mundene på hinanden og har masser af gode råd – men ikke nødvendigvis løsningen.
Fra Secunia lyder det ‘brug mobilen’:
“Ved at kunderne får en sms, når der sker en usædvanlig transaktion på netbanken, er der langt større mulighed for at tage sådan en svindelaktion i opløbet,” siger Thomas Kristensen til epn.dk (kilde)
Nordea har allerede implementeret dette. Men det må vel være bankens eget ansvar – og ikke en del af NemID som håndterer vores, ja, ID, og logon og ikke vores bankforretninger. Nu er jeg ikke helt inde i de oprindelige krav til NemID, så det er muligt jeg tager fejl. Men når Nordea kan implementere det (og gør det), så kan andre vel også.
Det næste skridt indenfor mobil-verifikation kunne være at sende brugeren en kode per SMS, som skal indtastes. Men hvis du kan franarre folk et kodeord, som står på et fysisk stykke papir, så kan du helt sikkert også snyde dem ved mobil-verificering.
Hvad er der så at gøre? Jo, uddannelse, uddannelse, uddannelse. Folk må forstå, at deres bank aldrig sender dem en e-mail og beder dem logge ind. Aldrig.
Er du i tvivl, så lad være. Kontakt din bankrådgiver.
Og så skal du selvfølgelig, som også Nets (der står for NemID) anbefaler, have et opdateret styresystem og antivirus. Dette gælder ikke kun NemID men din generelle digitale sikkerhed.
NemID er ikke blevet hacket. Men nogle stakkels NemID-brugere er blevet snydt på god gammeldags trick-manér. Og dét kan NemID altså ikke beskytte hverken dem eller os imod. Vi har hver især selv et ansvar for vores egen it-sikkerhed.