Af Lars Bennetzen, Alt om Data
Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.
NemID har været offer for megen debat i medierne. Der har været både for og imod og nok mest af sidste. Men da medierne her i slutningen af september skrev, at NemID var blevet hacket, var det virkelig noget, der rykkede.
Folk, herunder undertegnede, krummede tæer, og selvom jeg personligt aldrig har betragtet NemID som en teknologisk gave til bankkunderne, så har der heller ikke været den store tvivl om, at det er et rimelig sikkert system.
Men det viste sig lynhurtigt at være en and eller rettere en ikke-historie. NemID var nemlig ikke blevet hacket (eller cracket, som der rettelig burde være skrevet). Næ – der var blevet sendt phishing-mails ud til masser af mennesker i Danmark. Mailens indhold er en meget dårlig spoof på en Nordea-mail (du kan se den her på siden), hvor du blev bedt om at klikke ind på en bestemt side for at bekræfte din konto.
Manden i midten
Linket sendte så brugeren videre til en side, der til forveksling lignede Nordeas login-site, og bad folk om at indtaste brugernavn og password. Her var der så en virkelig person, der sad og overvågede, hvad der skete.
Det brugernavn og password, han fik opgivet, tas-tede han ind på en rigtig Nordea-side, og når han så blev bedt om en given NemID-nøgle, så lod han den falske Nordea-side bede brugeren om den samme nøgle. Den nøgle, han på den måde fik, kunne han så bruge til at logge sig ind på brugerens konto og stille og roligt stjæle penge fra ham.
Denne type angreb hedder i sikkerhedskredse ”man in the middle” og er en type angreb, som du bare ikke kan gardere dig imod. Hvordan skal systemet dog vide, om det virkelig er den rigtige, der forsøger at logge sig ind på systemet? Brugeren har jo selv forsynet crackeren med den rigtige nøgle.
På flere hjemmesider, blandt andet Nordeas og DanID’s, står der da også advarsler mod den slags mails, hvor de også skriver, at de aldrig vil sende mails ud med links til folk.
Phishing-mails er ikke noget nyt, og det, vi kalder for social engineering, er heller ikke noget nyt. Her forsøger de cyberkriminelle at lokke dig til at trykke på links, som så viser sig at være ondsindede.
I begge typer angreb er det i sidste ende brugeren, der har ansvaret for, hvad der sker. Nok er der nogen, der forsøger at snyde ham, men der er ingen, der tvinger hans hånd til at klikke på de farlige links. Det svarer lidt til, at en person dukker op ved din hoveddør, siger, at han er vinduespudser, og at han skal bruge dine nøgler, så han kan pudse vinduer både indendørs og udendørs, når du ikke er hjemme.
Hvis du giver ham nøglerne uden at tjekke, om det nu også kan passe – ja, så er du i samme situation som de otte kunder hos Nordea, der har mistet penge ved at være naive.
Faren lurer derude
Der er mange muligheder for at komme galt af sted på internettet. Virus, spyware, malware, trojanske heste og meget mere florerer, og der findes masser af sikkerhedssoftware til at hjælpe dig sikkert igennem nettets mange faldgruber. Men – der findes ingen software, der kan hjælpe mod naivitet. Der findes ingen lås, der kan sikre dig mod at blive bestjålet, hvis du selv giver tyven nøglen til dit hus.
Lige siden de tidlige dage på internettet har det lydt fra sikkerhedsfolk, at du skal tænke dig om. Du skal ikke kaste om dig med kodeord eller anden hemmelig information.
Det samme gælder altså også medierne. De skal tænke sig om, inden de smider benzin på et bål, hvor der ikke er ild, ja, knapt nok gløder.
NemID blev ikke hacket, men der var otte uopmærksomme kunder, der valgte at give nøglen væk til deres hoveddør, og derved blev de bestjålet.
Det kan aldrig blive NemID’s fejl, det kan aldrig betyde, at NemID blev hacket, og det ændrer intet ved sikkerheden ved NemID.
