Indland

Svindel afslører ukendt sikkerhedshul i NemID: Sygeplejerske lænset for over 100.000 kroner

Svindlere var i stand til at overføre penge fra sygeplejerskes konto med oplysninger fra Nets om tilbageværende nøgler.

- Jeg synes, det er så ubehageligt og uoverskueligt, siger den 38-årige sygeplejerske Sigrid, der har været udsat for identitetstyveri.
Af
Mere end 30 dage gammel

Sigrid forstod det ikke. Hun havde netop forsøgt at logge på skolens forældreintranet for at se, om der var beskeder fra hendes børns skole, men hendes NemID virkede ikke.

Nogle dage forinden i marts i år bestilte hun et nyt nøglekort, men det var ikke kommet endnu.

Kort tid efter at Sigrid havde bestilt det nye nøglekort, opdagede hun, at der var blevet hævet 12.000 kroner fra hendes lønkonto.

- Jeg undrer mig, for jeg ved, at jeg ikke har hævet så mange penge, fortæller 38-årige Sigrid i dag. Hun er sygeplejerske og bor i Odder syd for Aarhus med sin mand og deres to børn.

Da Sigrid opdagede, at der var blevet hævet 12.000 kroner på hendes lønkonto, kontaktede hun sin bank, der bad hende tjekke hendes andre konti.

- Og så kigger min mand på budgetkontoen og kan se, at der er blevet hævet 30.000 kroner.

Det stod nu klart for Sigrid, at hendes NemID var blevet misbrugt.

Organiseret kriminalitet

Politiets efterforskning af sagen peger ifølge sagens efterforsker i retning af organiseret og udspekuleret kriminalitet.

Og gerningsmændene har ifølge en it-ekspert, der har gennemgået sagen for DR, fundet en helt ny og udspekuleret vej igennem sikkerheden i NemID, hvor de kriminelle systematisk følger ofrenes brug af NemID i månedsvis, før gerningsmændene slår til.

Metoden går ifølge it-eksperten ud på først at få fingre i offerets bruger-id og NemID-kode og derefter systematisk overvåge offerets brug af NemID-nøgler for til sidst at opsnappe offerets nye nøglekort, når det bliver sendt med posten. Det forklarer Christian Heinel, der er teknisk chef for Nordeuropa i Cisco, som er en af verdens største virksomheder indenfor it-netværk og it-sikkerhed.

Christian Heinel kalder det et sikkerhedsmæssigt hul, at man kan få oplyst antallet af resterende NemID-nøgler på et nøglekort, som man ikke er i besiddelse af.

- Det er en stor udfordring, for det er faktisk det, der gør, at gerningsmændene gider det her, har tid til det, og får en gevinst ud af det, siger Christian Heinel.

Her kan du se, hvad det sikkerhedsmæssige hul går ud på.

  • Sådan ser trin 1 ud, når man logger på NemID.
  • I trin 2 udfylder man bruger-id og adgangskode. Bruger-id er ofte cpr-nummer.
  • Hvis man har indtastet det korrekte bruger-id og adgangskode, kommer man automatisk videre til trin 3, hvor man skal bruge nøglekortet. Før man bruger nøglekortet, får man oplyst, hvor mange nøgler der er tilbage - og svindlere kan derigennem følge med i, hvornår et nyt NemID bliver tilsendt.
1 / 3

Svindel for over en kvart million

Da Sigrid den 2. april i år opdagede, at der var forsvundet 42.000 kroner fra hendes konti, fik hun med det samme sin bank til at spærre alle konti. Også hendes NemID blev spærret.

Derefter ringede hun til politiet og anmeldte sagen. Hun skyndte sig også at få lavet en ny kode til NemID samt bestille et nyt nøglekort.

Men skaden var sket.

Det har senere vist sig, at gerningsmændene ifølge nærpolitiet i Odder har forsøgt at svindle for en kvart million kroner i Sigrids navn. Alt sammen i løbet af ganske få timer, hvor de har overført penge fra Sigrids netbank samt købt og optaget lån ved hjælp af hendes NemID.

I dagene efter id-tyveriet er det uklart, hvordan tyvene har kunnet vide, at der var et nøglekort på vej. Sigrid har nemlig ikke delt den viden med nogen.

Politiet arbejder med en teori om, at det må være fisket op af postkassen, men hvordan tyvene har kunnet vide, at det skulle komme netop den dag, er uvist.

Digitale spioner på biblioteker

Mens politiet gik igang med at sikre overvågningsbilleder af de gerningsmænd, der i ugen efter tyveriet henter mobiltelefoner, computere og ipads købt i Sigrids navn, beder DR Christian Heinel om at se på Sigrids sag.

Efter aftale med Sigrid skal it-eksperten hjælpe med at opklare, hvordan gerningsmændene har båret sig ad med at få fingre i Sigrids cpr-nummer, som hun har brugt som bruger-id, hendes NemID-kode og hendes nøglekort.

- Jeg tror, at der er sket det, at Sigrid har brugt sit cpr-nummer og kode på en vilkårlig tjeneste, hvor der har været brug for det, og så er det blevet opsnappet der, siger Christian Heinel.

Sigrid forklarer, hvordan it-tyveriet har føltes.

Sigrid bruger normalt kun NemID fra sin egen computer eller telefon, men en gang imellem har hun også brugt det lokale biblioteks computer, når familiens printer har været i stykker.

Og det er både det lokale politi og Christian Heinels bedste bud på en forklaring, at gerningsmændene har fået fat i cpr-nummeret og koden på biblioteket.

Svindel med keyloggere

Inden for de seneste år har der været en række eksempler på sager, hvor der er blevet installeret keyloggere på computere på biblioteker rundt om i landet.

Sidste år blev to brødre dømt for databedrageri for i alt otte millioner kroner. De havde installeret keylogger på computere på 15 forskellige biblioteker rundt om i landet. På den måde havde de fået adgang til 16 personers brugernavne og kodeord til forskellige konti.

I Sigrids sag har politiet kontaktet det lokale bibliotek, som nu har sendt alle computere til it-tjek for at forsøge at finde ud af, om der har været installeret keylogger på nogen af dem.

Overvåget siden sidste efterår

Ved at gennemgå brugen af Sigrids NemID har Christian Heinel fundet ud af, at gerningsmændene tilsyneladende allerede fik fat i Sigrids cpr-nummer og NemID-kode sidste efterår.

I hvert fald er Sigrids NemID indtil da kun blevet brugt fra ganske få enheder som familiens computer og hendes telefon.

Men den 8. oktober 2019 skete der noget, der fangede Christian Heinels blik. Der er et mislykket forsøg på at logge på NemID fra en ukendt enhed. Det samme sker igen to gange i december 2019, en gang i januar og en gang i februar i år.

Både Sigrids cpr-nummer og adgangskode er brugt, men nøglerne fra nøglekortet har de formodede gerningsmænd ikke haft på det tidspunkt.

Christian Heinel vurderer, at gerningsmændene med jævnlige login systematisk har overvåget Sigrids brug af NemID-nøgler for at finde ud af, hvornår hun ville få tilsendt et nyt nøglekort.

Når man taster sit cpr-nummer og kode ind under login med NemID, får man oplyst, hvor mange nøgler der er tilbage på det eksisterende nøglekort, og dermed kan man få info om, hvornår et nyt nøglekort bliver sendt.

Nøglekort dukkede aldrig op

I marts i år var Sigrid ved at løbe tør for nøgler. Og det opdagede gerningsmændene ifølge Christian Heinel også. I hvert fald var der hele seks login-forsøg fra ukendte enheder i marts.

Den 30. marts blev Sigrids nye nøglekort printet og sendt af sted til Sigrids postkasse på villavejen i Odder.

Men Sigrid fik aldrig kortet. I stedet er både it-ekspertens og det lokale politis teori, at det havnede i hænderne på gerningsmændene, som to dage efter gik i gang med at misbruge Sigrids identitetsoplysninger.

- Min analyse siger mig, at gerningsmændene har forsøgt siden oktober 2019 at afdække løbende, hvor mange nøgler der er tilbage på Sigrids eksisterende kort for dermed at kunne fastslå, hvornår et nyt kort er blevet sendt til Sigrid, og så stjæle det og begynde at misbruge det, siger Christian Heinel fra Cisco.

35 login på otte timer

Christian Heinel kan se i Sigrids logfiler, at hendes tidligere nøglekort blev spærret klokken 16.43 den 1. april i år.

Straks derefter blev det nye nøglekort, som blev sendt til Sigrid med posten, aktiveret. Begge dele skete fra en ip-adresse, som ikke tilhører Sigrid eller hendes familie.

Gerningsmændene gik nu i gang med at misbruge Sigrids NemID, siger Christian Heinel.

- Det står klart, at det er noget, de nok har prøvet før, for de er meget effektive på meget kort tid. De når enormt meget på ganske få timer, forklarer Christian Heinel.

Gerningsmændene går blandt andet i Sigrids netbank. Her bliver der overført i alt 42.000 kroner til syv forskellige konti i andre banker.

I de følgende otte timer blev Sigrids NemID og det nyaktiverede nøglekort brugt i alt 35 gange.

Alt dette anede Sigrid intet om, da hun næste morgen vil logge på forældreintranet med det, der skulle vise sig at være et deaktiveret nøglekort, der ikke længere virkede.

Nets har ingen kommentarer

NemID bliver drevet af Nets. Virksomheden har tidligere forsøgt at dæmme op for problemet med, at cpr-numre, bruger-id og koder bliver afluret og misbrugt til at få fingre i folks nøglekort.

Tidligere kunne man - hvis man var i besiddelse af en persons cpr-nummer og adgangskode – bestille et nyt nøglekort, som derefter blev tilsendt med posten, hvor gerningsmændene fik det opsnappet.

Den metode har været brugt i tidligere sager om identitetstyveri, hvor gerningsmænd har fået fat på cpr-numre og adgangskoder ved hjælp af keylogger på for eksempel biblioteks-computere.

Derfor strammede Nets op på mulighederne for at få tilsendt nyt nøglekort i utide, så man nu skal identificere sig med pas eller kørekort.

DR har gennem mere end to uger forsøgt at få Nets i tale om den aktuelle sag, hvor id-tyvene tilsyneladende har fundet en ny vej igennem sikkerheden i NemID.

Men Nets ønsker ikke at svare og henviser i stedet til Digitaliseringsstyrelsen, som er den myndighed, der sammen med bankerne køber NemID-løsningen af Nets.

Nets skal levere sikkerhedsvurdering

I Digitaliseringsstyrelsen vil vicedirektør Adam Lebech ikke kommentere på den konkrete sag. I stedet siger han, at der generelt er mange risici forbundet med digitale løsninger.

- Men heldigvis er det meget få, der bliver udsat for den her kriminalitet. Når man bliver det, så er det forfærdeligt for det enkelte. Der er ingen tvivl om det, siger han.

DR har spurgt Digitaliseringsstyrelsen, om styrelsen vil bede Nets ændre deres system, så antallet af nøgler ikke længere bliver oplyst og på den måde dæmme op for det sikkerhedsmæssige hul, som Christian Heinel peger på. Til det svarer Adam Lebech:

- Vi arbejder konstant på at kigge på alle de risici, der er ved NemID, og adressere dem.

På baggrund af denne sag har Digitaliseringsstyrelsen bedt Nets om en sikkerhedsvurdering af den form for misbrug af NemID, som Sigrid har været udsat for.

Politiet har syv mistænkte

Sigrid meldte i første omgang sin sag til nærpolitiet i Odder under Østjyllands Politi. Politiassistent Jimmy Andreasen, der modtog anmeldelsen, gik allerede få dage efter i gang med at sikre beviser i form af overvågningsbilleder.

- Vi har fundet frem til en personkreds af mistænkte i sagen. De er spredt rundt i landet og spredt med hensyn til alder, og den videre efterforskning vil vise, om der kommer flere på, siger Jimmy Andreasen.

I alt har politiet syv mistænkte i sagen, som fremover vil blive efterforsket af afdelingen for økonomisk kriminalitet i Randers, oplyser han.

Det var Jimmy Andreasen, politiassistent i Østjyllands politis lokalafdeling i Odder, der modtog og behandlede Sigrids anmeldelse af tyveriet.

Politiet har optagelser af en af de mistænkte. Der er tale om en ung mand, der går ind på en tankstation og afhenter en pakke med elektronik, som er bestilt i Sigrids navn.

Han præsenterer sig som søn af Sigrid og fremviser en falsk fuldmagt for at kunne få udleveret pakken, forklarer Jimmy Andreasen.

Både han og Christian Heinel er overbeviste om, at der er tale om organiseret kriminalitet.

- Jeg tænker, at det er nogen, der har gjort det før. Hvor der kan sidde en og trække i nogle tråde. Og så er der en ring af folk, som får et beløb for at trække de her penge ud. Det kan jo være folk, der skal finansiere et forbrug af narko eller spillemisbrug, og så er der måske nogen, der lokker dem til at være med til det her, siger Jimmy Andreasen.

LSIK, der er den enhed i politiet, der har til opgave at overvåge it-kriminalitet på nettet, ønsker ikke for nærværende at kommentere på den konkrete sag.

Oprydning stadig i gang

Samlet set har gerningsmændene ifølge politiet svindlet for 265.000 kroner i Sigrids navn. Heraf er gerningsmændene sluppet af sted med omkring 124.000 kroner, mens den resterende svindel for omkring 141.000 kroner blev bremset, før gerningsmændene fik fat i pengene.

Sigrid frygter stadig, at der skal dukke flere uventede regninger op for ting, som gerningsmændene har købt i hendes navn.

- Jeg synes, det er så ubehageligt og uoverskueligt, siger Sigrid.

Samtidig er der lang vej endnu, før der er ryddet op efter de køb og lån, som Sigrid har opdaget, at gerningsmændene har gennemført.

Flere af de virksomheder, der har leveret lån eller produkter, har endnu ikke bekræftet, om Sigrids tab vil blive dækket. Det bekymrer den 38-årige sygeplejerske.

- Tænk, hvis de tørrer regningen af på mig. Det kan få store konsekvenser for min og min mands økonomi. Altså bare de renter, der løber på de der lån. Det er jo fuldstændig håbløst.

Facebook
Twitter