Sikkerhedshul i NemID: Kriminelle kan få adgang til din netbank

Softwareudvikler demonstrer svaghed ved NemID, der muliggør svindel.

Softwareudvikleren Søren Louv-Jansen har lavet en hjemmeside, der beder om dine NemID-oplysninger for at 'undgå svindel'. Men i virkeligheden bruges oplysningerne til at logge ind på din personlige borger.dk-side. (Foto: Emilie Marie Niebuhr Aagaard DR Viden)

Vi bruger ikke længere kun NemID, når vi skal i kontakt med det offentlige.

Ifølge digitaliseringsstyrelsen anvender omkring 400 private tjenester også dit brugernavn, din kode og de såkaldte to-faktor-oplysninger til at give dig adgang til deres web-services.

Det gælder fx banker, boligforeninger og spillesider.

Og det er baggrunden for, at softwareudvikleren Søren Louv-Jansen mener, at NemID har en svaghed, der kun bliver lettere og lettere for svindlere at udnytte:

- Vi er jo vant til at bruge NemID rigtig mange steder, så det at møde det endnu et sted vækker næppe vores mistro længere, forklarer han.

For at demonstrere, hvor let hackere kan komme ind til dine mest personlige oplysninger, har Søren Louv-Jansen selv lavet en hjemmeside, der snyder oplysninger ud af dig og logger på dine personlige sider på borger.dk, uden at du aner, det sker.

Det skriver webmediet version2.dk.

Det er let at snyde dig

Hvis en hacker har dine NemID-oplysninger, er der meget få grænser for, hvad han kan få adgang til.

Han kan fx læse om dit sidste besøg på sygehuset ved at logge på sundhed.dk eller overføre dine penge til sin egen konto ved at logge ind i din netbank.

På danskespil.dk bliver du også bedt om at logge ind med dit NemID når du skal oprette en konto. Men her er det helt lovligt. (Foto: Emilie Marie Niebuhr Aagaard DR Viden)

Og fordi der er personfølsomme oplysninger og muligheder for svindel, er NemID-systemet generelt tænkt godt og grundigt igennem.

Men ifølge Søren Louv-Jansen er det forholdsvist let at lave en såkaldt phishing-hjemmeside, som kan snyde selv de mest opmærksomme brugere til at gå i fælden:

- Det tog mig kun én arbejdsdag at bygge en side, som var troværdig nok til, at folk giver deres personlige NemID oplysninger. Og hjemmesiden bruger så oplysningerne til at logge ind på borger.dk og hente oplysninger om, hvor mange ulæste beskeder man har i sin e-boks, fortæller softwareudvikleren.

Hjemmesiden er endda bygget sådan, at det hele foregår automatisk. En svindler vil altså ikke være tvunget til at sidde ved skærmen og vente på bid.

Log lige ind før du får rabat

Hjemmesiden hedder medlems-klubben.dk.

Her bliver man lovet store rabatter på bl.a. kosmetik, hvis man altså lige giver sine NemID-oplysninger først.

Men de store rabatter udebliver, og i stedet ender man altså med at give Søren Louv-Jansen adgang til sin personlige side på borger.dk.

På testsiden er der tydelige advarsler om, at sidens virkelige intention er noget helt andet: Man bliver logget på sin personlige side på borger.dk, og får oplyst hvor mange ulæste beskeder, man har i sin eboks.

På medlems-klubben.dk er der flere tydelige advarsler om, at du er ved at give dine oplysninger til 'de forkerte'. Men den slags advarsler vil hackere med skumle bagtanker næppe give dig. (Foto: Emilie Marie Niebuhr Aagaard DR Viden)

Søren Louv-Jansens vil med siden vise, hvor let en hacker med de forkerte intentioner kunne få adgang til dine data.

- Det hele foregår bagved, og NemID-login-boksen er let at kopiere. Så du kan som bruger ikke se, at du er ved at blive snydt, forklarer han.

Meget få advarselstegn

Humlen er, at når du sætter dine oplysninger ind i den falske nemID-login boks, bruges de i baggrunden til at logge ind på den side som hackeren ønsker at logge på.

I tilfælde af medlems-klubben.dk er det borger.dk. Men det kunne principielt også være din netbank.

- Hvis du bruger nøglekort, vil der ikke være et eneste indicie på, at du er ved at logge på noget helt andet, fortæller Søren Louv-Jansen.

Hvis du derimod bruger den nye NemID-app, vil du blive spurgt, om du ønsker at logge på fx borger.dk, og det kan principielt få de røde lamper til at lyse:

- Men på testsiden kan jeg se, at rigtig mange ikke opfatter det som alarmerende, siger Søren Louv-Jansen.

Vær meget, meget skeptisk

Ifølge Søren Louv-Jansen er der i det hele taget meget lidt, der kan advare dig om, at du er ved at give dine oplysninger til svindlere:

- Nogen vil føle sig mere sikre, hvis fx man ser den grønne hængelås på adresselinjen. Men det kan svindlere også relativt let få, fortæller Søren Louv-Jansen.

Så det eneste, du kan gøre er at være meget, meget skeptisk, når du bliver bedt om at give dine NemID-oplysninger på en hjemmeside.

Facebook
Twitter

Mere fra dr.dk