Programmør: Nemt at misbruge Nem-ID

Nem-ID
Forbrugerne skal være opmærksomme, når de tjekker ind med Nem-ID.
Pressefoto.

Selvom Nem-ID skulle være så sikkert, er det forholdsvis simpelt at narre folk til at afgive deres kode og dermed få adgang til deres netbank. Det forklarer den danske programmør Rasmus Porsager. Hackeren kan dog få svært ved at narre Nem-ID-brugeren, hvis han ikke selv er dansk.

– Det, der ofte er hackernes problem, er, at de er jo ikke danskere, men de her sider er jo danske. Hvis det er en dansker, der kan gøre det, ser det helt anderledes ud, for så er det nemt at sætte sig ind i tingene. En dansk hacker ville sagtens kunne bruge et par dage på det og så prøve sig frem.

Svært at gennemskue falske sider

For at skabe opmærksomhed omkring den manglende sikkerhed, har Rasmus Porsager tidligere selv opstillet et konkret forsøg, hvor 20 ud af 30 personer ved en fejl oplyste deres kode til en falsk side, som Rasmus havde lavet til formålet. Og det var faktisk slet ikke svært at lave en side, der lignede Nem-ID’s egen side på en prik.

– Det tog faktisk kun en halv time at lave. Jeg gik ind på Nem-ID’s hjemmeside – nemid.nu, hvor man logger ind. Her tog jeg et billede af min skærm, og så havde jeg købt domænet nemld.nu, hvor l’et kan ligne et i. Så satte jeg billedet ind på siden og lavede to tekstfelter – et for brugernavn og et for koden og så en knap, der hed login, forklarer han.

Problemet er, at folk er alt for godtroende, mener den danske programmør, der lokkede folk til den falske side ved hjælp af Facebook.

– Det kan være, at en bruger på Facebook læser ”nu er der kommet en ny mulighed for at logge ind på Nem-ID, tjek det her!”, og så skriver man ”nemld.nu”, hvor man så lavet d’et stort, mens l’et bare er småt, så det ligner, at der står nemID. Så klikker folk jo gladeligt på det, fortæller Rasmus Porsager om sit eksperiment.

Brugere må være på vagt

Hos Dan-ID, der står bag Nem-ID-løsningen, er man bekendt med fænomenet. Der fra lyder det, at man kan komme omkring problemet, hvis brugerne selv bliver mere opmærksomme.

– Vi må lære danskerne at finde ud af, hvornår der er tale om en reel henvendelse fra deres bank eller en offentlig instans, og hvornår det er noget, som de skal være opmærksomme på, fortæller Søren Winge, der er pressechef i DanID.

Han forklarer i øvrigt, at man aldrig skal benytte sig af links, der hævder at sende én videre til en side, hvor man skal logge ind.

– Bankerne eller det offentlige sender ikke links, hvor vi beder folk om at logge ind og indtaste deres kode. Udgangspunktet er, at man selv skal ind og finde hjemmesiden, så man starter det rigtige sted hver gang.

2 Responses to "Programmør: Nemt at misbruge Nem-ID"

  1. katharina   22. april 2012 at 11:19

    Der mangler lige at stå at man skal fralokke brugeren hele TRE koder og at nem-ID koden kun ville virke en gang.

    http://www.skunk-froe.dk

  2. ergrav   22. april 2012 at 19:01

    Tak for din kommentar.

    Problemet er, at brugeren ikke vil kunne se, at hackeren "fralokker" ham/hende sine koder. Hackeren laver nemlig en side, der er fuldstændig identisk med fx Danske Banks hjemmeside – og altså virker troværdig.

    Fænomenet kaldes "man in the middle", fordi den falske side fungerer som en usynlig mellemmand mellem bruger og bank – uden at hverken banken eller brugeren ved det. Men ja, det er klart at koden kun gælder til et enkelt "besøg", men det kan jo også være rigeligt.

    Det kan selvfølgelig kun ske, hvis man lader sig dirigere til betalingssider via links. Hvis man går på sin netbank ved fx at taste danskebank.dk, er man sikker på, at man er på den rigtige side, og så er der som sådan ingen problemer.