Ny svindel: Ukendt sikkerhedshul i NemID
Politiets teori er, at kriminelle kan holde øje med nøglekort i månedsvis.
Et smuthul i sikkerheden i NemID betyder, at kriminelle kan få adgang til dine bankoplysninger, hvis de er systematiske og tålmodige nok.
Det er kommet frem i forbindelse med efterforskningen af en aktuel svindelsag fra Østjylland, hvor en 38-årig sygeplejerske er blevet forsøgt svindlet for 265.000 kroner.
Det fortæller DR.
I sagen er det lykkedes gerningsmændene at få fingre i både kvindens cpr-nummer, NemID-kode og nøglekort, uden at hun har skrevet oplysninger ned eller vist dem til nogen.
Både sagens politiefterforsker og en it-sikkerhedsekspert, som har gennemgået sagen for DR, mener, at svindlerne har brugt såkaldte keyloggere til at få fat i cpr-nummeret og NemID-koden.
Med de oplysninger kan gerningsmænd få oplyst hvor mange nøgler der er tilbage og dermed, hvornår de skal ligge på lur ved postkassen for at opsnappe et nyt nøglekort.
Ligner USB-nøgle
En keylogger ligner en USB-nøgle. Den kan gemme alle tastetryk på den computer, hvor den er installeret.
I flere sager om databedrageri i de sidste par år har svindlerne installeret keyloggere på computere på biblioteker for på den måde at få fingre i for eksempel cpr-numre, bruger-id og koder fra de borgere, der bruger computerne.
DR har fået en it-sikkerhedsekspert til at gennemgå offerets brug af NemID. Hans analyse viser, at svindlerne har brugt ofrets cpr-nummer og NemID-kode til at følge med i, hvornår hun ville få tilsendt et nyt nøglekort og har derefter opsnappet det nye nøglekort.
Når man taster sit cpr-nummer og kode ind under login med NemID, får man oplyst, hvor mange nøgler der er tilbage på det eksisterende nøglekort, og dermed kan løbende holde øje med, hvornår et nyt nøglekort vil blive sendt.
Tog NemID i postkassen
I sagen fra Østjylland har gerningsmændene ifølge politiets efterforsker hevet et nytilsendt NemID op fra postkassen, inden sygeplejersken fik tjekket posten.
Og netop den metode er ifølge politiet og den it-ekspert, som har gennemgået ofrets brug af NemID for DR, en helt ny form for svindel.
It-sikkerhedseksperten hedder Christian Heinel og er teknisk chef for Nordeuropa i Cisco, som er en af verdens største virksomheder indenfor it-netværk og it-sikkerhed.
Christian Heinel kalder det en sikkerhedsmæssigt hul, at man kan få oplyst antallet af resterende NemID-nøgler på et nøglekort, som man ikke er i besiddelse af.
– Det er en stor udfordring, for det er faktisk det, der gør, at gerningsmændene gider det her, har tid til det, og får en gevinst ud af det, siger Christian Heinel.
35 gange på otte timer
Da svindlerne fik fat på kvindens nye nøglekort, nåede de at bruge hendes NemID 35 gange på otte timer. Samlet set blev der ifølge politiet forsøgt svindlet for godt 265.000 kroner i Sigrids navn, blandt andet på køb af computere og iPhones samt optagelse af lån i hendes navn.
Gerningsmændene er sluppet af sted med at svindle for omkring 124.000 kroner, mens den resterende svindel for omkring 141.000 kroner blev bremset, før gerningsmændene fik fat i pengene.
Sagen er stadig under efterforskning, men politiet har flere mistænkte i søgelyset.
– Vi har fundet frem til en personkreds af mistænkte i sagen. De er spredt rundt i landet og spredt med hensyn til alder, og den videre efterforskning vil vise, om der kommer flere på, siger Jimmy Andreasen, der er politiassistent i nærpolitiet i Odder under Østjyllands Politi, til DR.
Nets er tavs
NemID bliver drevet af Nets. DR har gennem mere end to uger forsøgt at få Nets i tale om den aktuelle sag, hvor ID-tyvene tilsyneladende har fundet en ny vej igennem sikkerheden i NemID.
Men Nets ønsker ikke at svare og henviser i stedet til Digitaliseringsstyrelsen, som er den myndighed, der sammen med bankerne køber NemID-løsningen af Nets.
Hos Digitaliseringsstyrelsen vil vicedirektør Adam Lebech ikke kommentere på den konkrete sag.
I stedet siger han, at der generelt er mange risici forbundet med digitale løsninger.
– Men heldigvis er det meget få, der bliver udsat for den her kriminalitet. Når man bliver det, så er det forfærdeligt for den enkelte. Der er ingen tvivl om det, siger han.
DR har spurgt Adam Lebech, om Digitaliseringsstyrelsen vil ændre på, at man kan få oplyst, hvor mange nøgler der er tilbage i et nøglekort, hvis man er udstyret med cpr-nummer og kode til NemID.
– Vi arbejder konstant på at kigge på alle de risici, der er ved NemID og adressere dem, siger Adam Lebech.
På baggrund af denne sag har Digitaliseringsstyrelsen bedt Nets om en sikkerhedsvurdering af den form for misbrug af NemID, som sygeplejersken har været udsat for.
LSIK, der er den enhed i politiet, der har til opgave at monitorere IT-kriminalitet på nettet ønsker ikke for nærværende at kommentere på den konkrete sag.