Newz.dk abonnement

Slip for reklamerne på newz.dk ved at oprette en bruger og tegne et abonnement.




PBS A/S

NemID ramt af "phishing"-forsøg

Via NemID - , redigeret af kasperfmn

På NemID's officielle hjemmeside kan man i dag læse en advarsel om et phishing-forsøg, der er foretaget ved at anvende domænerne nemld.dk og nemld.nu.

De domæner, hvor i'et er byttet ud med et l, indeholdte begge en kopi af den rigtige hjemmeside og tillod brugere at logge på med deres bruger-id og adgangskode. Begge hjemmesider kan ikke længere tilgås.

Skulle man af en eller anden årsag være havnet på en af de to falske sider, så opfordrer NemID til, at man omgående ændrer sin adgangskode. Det påpeges samtidig, at selv med et afluret bruger-ID og adgangskode, så har bagmændende ikke kunnet bruge informationerne til særlig meget.

Årsagen er papkortet med engangskoder, der sikrer, at selv med kendskab til de andre to oplysninger, så kan man ikke gennemføre kritiske handlinger.

Der er dog ingen grund til panik, idet siderne er oprettet af manden bag siden nejtilnemid.dk, der med aktionen har villet demonstrere, hvor dårligt DanID har sikret sig mod phishing ved ikke selv at have købt de to domæner.

Gå til bund
Gravatar

#1 Borgbjerg 15. dec. 2010 15:37

well... Hver sin mening, men... Tosse.
Gravatar

#2 apkat 15. dec. 2010 15:44

Beviser det ikke bare at sikkerheden ved papkort (som han er imod) faktisk virker?
Gravatar

#3 Athinira 15. dec. 2010 15:45

Borgbjerg (1) skrev:
well... Hver sin mening, men... Tosse.


Så du ville hellere have at en rigtig svindler gjorde det? :)

Man kan diskutere om han ikke direkte burde have gjort NemID opmærksom på problemet først, men det er stadigvæk skridtet over at holde sin kæft om emnet.

#2: Tænkte præcis det samme.
..hader folk der ikke kan finde ud af at bruge et fora-ratingsystem ordentligt
Gravatar

#4 apkat 15. dec. 2010 15:46

Man burde købe nejtilnemLd.dk også fucke alle op derfra.
Gravatar

#5 trylleklovn 15. dec. 2010 15:48

Så han prøver at phishe folk, som vil besøge nemid.dk? (hint: der ikke har noget med nemid at gøre)
ikke uden evner
Gravatar

#6 Lynge 15. dec. 2010 15:49

#2 Jo, det er nemlig lige det det gør.
Han er lidt en tosse. Det er fair nok at være imod det. Jeg synes selv at nogle af de tekniske aspekter er dybt debile, men selve ideen med pap-kort (eller de der små elektroniske "lommeregnere" hvis det var dem der blev brugt) er genial, netop fordi den beskytter mod fishing.

Han har faktisk formået at angribe NemId på deres bedste strong-point og et sted hvor systemet faktisk virker.
Der kan være nok så mange grunde til at hade det, men sårbarhed overfor fishing er ikke lige en af dem.

Måske er han ikke tosset, men lidt uskarp tror jeg godt man kan kalde ham.
Redigeret
Gravatar

#7 qwest 15. dec. 2010 15:55

ved ikke selv at have købt de to domæner.

Ja, mon ikke han nu kommer til at overdrage de to domæner i stedet for .. de sparer penge, og han har haft chancen for at komme med sin pointe, hvilket failede grumt.

If you ain't got the keys, you get nothing!

Lidt en mærkværdig måde at gøre det på, men ham om det :)
Gravatar

#8 Faergemeister 15. dec. 2010 15:55

Moot point. Sikken en idiot. Nu er det jo også muligt at bruge unicode tegn i domænenavne, så der er rigtigt rigtigt mange tegn der kunne ligne et i, ikke bare l.
Gravatar

#9 Saxov 15. dec. 2010 16:00

apkat (2) skrev:
Beviser det ikke bare at sikkerheden ved papkort (som han er imod) faktisk virker?
og andre...

Ikke andet end at han ved hans login faktisk har kunne lave et legalt login på din bank og overført penge til en random konto.

Så nej, idet i har indtastet brugernavn, password og én enkelt engangs kode på nemld så har han nok til han kunne tømme jeres bank...


I er dog beskyttet hvis i har mere end én bank.
Gravatar

#10 Lynge 15. dec. 2010 16:05

#9 Men han burde jo slet ikke have fået noget fra kortet da han jo ikke ved hvilken kode han skal spørge efter.
Nu skal de lige siges jeg ikke selv har NemId, men det skulle være magen til det papkort man får fra jyske bank, og der er koderne i 2 dele, så hvis ikke han selv har det elektroniske modstykke til dit papkort ved han ikke hvilken kode han skal bede om.

Skulle det ikke være tilfældet at NemId liger det jeg kender så vil jeg gerne trække tidligere udtalelser tilbage og stemple NemId som dybt idiotisk, men jeg kan ikke forestille mig de har lavet en brøler af den størrelse.
Gravatar

#11 Kous 15. dec. 2010 16:06

Saxov (9) skrev:
og andre...

Ikke andet end at han ved hans login faktisk har kunne lave et legalt login på din bank og overført penge til en random konto.

Så nej, idet i har indtastet brugernavn, password og én enkelt engangs kode på nemld så har han nok til han kunne tømme jeres bank...


I er dog beskyttet hvis i har mere end én bank.


Wrong...

Ja han kan måske logge ind, hvis han bliver spurgt om netop DEN nøgle som offeret har indtastet. Og hvor mange nøgler er der på et nøglekort? 100? Derudover kræver det netop en nøgle mere for at bekræfte en overførsel.
Gravatar

#12 myplacedk 15. dec. 2010 16:07

Saxov (9) skrev:
Så nej, idet i har indtastet brugernavn, password og én enkelt engangs kode på nemld så har han nok til han kunne tømme jeres bank...

Ingen har indtastet en kode på nemld, der var ikke noget felt til det. Forsøgte han at lave det, ville han se hvor svært det er. Hvilken nøgle skal man bede om? Han ved jo ikke hvilke nøgler der er på mit nøglekort. (Det er derfor de ikke er nummereret 1, 2, 3 osv.) Og skulle han få fat i en engangsnøgle, så er der ikke så meget sandsynlighed for at det er netop den nøgle der skal bruges når han forsøger at logge på offerets netbank. (Og er det den korrekte nøgle, så er det ikke sikkert det er den rigtige netbank han logger på.)

Det var næsten en fin demonstration af at man ikke bare lige phisher sig igennem NemID. Der skal noget mere til. Han skal nok nærmere fishe/lokke folk ind i et man-in-the-middle attack.

Men så er det nok nemmere at kidnappe folk, og true dem til at logge ind i sin netbank. ;-)
Gider du lige sætte navn på bagsiden af mit Möbius pandebånd?
Gravatar

#13 myplacedk 15. dec. 2010 16:07

Kous (11) skrev:
Derudover kræver det netop en nøgle mere for at bekræfte en overførsel.

...alt efter hvilken netbank man har.
Gider du lige sætte navn på bagsiden af mit Möbius pandebånd?
Gravatar

#14 Kous 15. dec. 2010 16:09

myplacedk (13) skrev:
...alt efter hvilken netbank man har.

Ok. Så kun i Nordea :o)
Gravatar

#15 apkat 15. dec. 2010 16:11

#12, jeg prøvede lige på jyskenetbank (av det var dyrt i nøgler). Man får en ny nøgle hver gang man forsøger at logge på. Så kan man bare prøve indtil man får den korrekte (den man har fished)

Men kræver jo som i andre skriver man også har fået den korrekte nøgle, som man jo i nogle tilfælde kan få. (hvis man gætter random på nøglenr, kan man stadig få en del ud af f.eks. 1.000.000 fishede.)
Gravatar

#16 Bermann 15. dec. 2010 16:11

#11 faktisk er det ikke alle banker der kører samme system. I nordea (som jeg benytter) skal man kun bruge papnøgle én gang, og det er ved login. Ved overførelser benytter man sit eget selvvalgte (og potentiel meget usikre, for hr & fru danmark) password :)

Jeg kan godt forstå din tankegang dog, for det ville da give mest mening at sige at alle banker skal bruge ét fælles system.
Efter min mening understreger det blot at en af de største fejl som folk bliver ved med at hive NemID ned på, er egentlig bankernes fejl.

Long live card board!
Gravatar

#17 demolition 15. dec. 2010 16:18

I basisbank kan jeg logge ind og se mine konto uden at skulle have papkortet frem. Dog skal man bruge en nøgle for at lave en overførsel. Jeg kan også komme fra netbanken videre over i min e-boks.. Egentligt ikke særligt fornuftigt at der er adgang til det fra hele verden, kun beskyttet af et selvvalgt kodeord som for manges vedkommende er ret ringe.
Gravatar

#18 apkat 15. dec. 2010 16:21

hihihihihi http://nejtilnemid.dk/teknisk/phishing-at-snyde hvis man læser kommentarene kan man se en pointerer fejlen i hans argumentation (nøglekortet) og han retter derefter sin kritik.
Gravatar

#19 Saxov 15. dec. 2010 16:23

Kous (11) skrev:
Ja han kan måske logge ind, hvis han bliver spurgt om netop DEN nøgle som offeret har indtastet. Og hvor mange nøgler er der på et nøglekort? 100?


Det eneste det kræver, er at hans nemid login, laver en forspørgelse videre mod din bank i baggrunden, så svare din bank tilbage "Jeg skal bruge nøgle nummer 256", og det skal han så skrive i hans form...

Ja det koster nok et sekunds delay, eller lign. Men er overhovedet ikke umuligt at lave.

Så får han en gyldig nøgle, og behøves slet ikke gå ud i det som #15 o.l. snakker om med at gætte.
Gravatar

#20 myplacedk 15. dec. 2010 16:25

#19
Men så er du også ovre i noget man-in-the-middle agtigt, og ikke bare phishing som nemld handlede om.
Gider du lige sætte navn på bagsiden af mit Möbius pandebånd?
Gravatar

#21 NiklasP 15. dec. 2010 16:26

Hvorfor de irrelevante ratings af #9, han har jo delvist ret?

Lad os sige jeg vil lave et "phishing" site, som skal narre NemID:

1) Offeret kommer ind på min hjemmeside, hvor der er en login boks magen til NemIDs login applet.
2) Offeret indtaster hans brugerid / adgangskode
3) Mit system modtager hans information, sender det videre til det site jeg rent faktisk gerne vil have adgang til (f.eks. en netbank), og finder ud af hvilken nøgle på papkortet der efterspørges.
4) Spørger offeret efter den kode, som jeg fik i trin 3 af offerets netbank
5) Fortæller offeret at der er sket en fejl og han skal prøve igen i morgen. Imens logger jeg ind på den side jeg gerne ville have adgang til, med den information offeret lige har indtastet.

Det kræver selvfølgelig at "phiseren" er online imens til at udnytte det tidsrum hvori engangskoden er gyldig, men det er nok det mindste problem af alle.

Nogle vil sikkert mene at overstående er et meget usandsynligt scenarie, men når resultatet er at man kan få adgang til andre folks netbanke f.eks., så skal "bad guys" nok bruge den tid det tager for at det lykkedes.

Og overstående eksempel er iøvrigt baseret på det som Blizzard/WOW blev udsat for med deres authenticator token: http://www.mmocrunch.com/2010/02/28/world-of-warcraft-authenticator-hacked/.
... hader folk der tror deres holdning deles af alle andre.
Gravatar

#22 NiklasP 15. dec. 2010 16:28

#20
http://en.wikipedia.org/wiki/Phishing skrev:
In the field of computer security, phishing is the criminally fraudulent process of attempting to acquire sensitive information such as usernames, passwords and credit card details by masquerading as a trustworthy entity in an electronic communication.


At der foregår noget teknisk i baggrunden ændrer vel ikke på der stadigvæk er tale om phishing.
... hader folk der tror deres holdning deles af alle andre.
Gravatar

#23 Hubert 15. dec. 2010 16:30

Jeg er bange for at det her ikke just hjælper i kampen for at få nedlagt sso løsningen der fejlagtigt bliver kaldt for digital signatur v2.
issues may or may not exist until they are found."… Shrödinger's Vulnerability
Gravatar

#24 aben 15. dec. 2010 16:33

hvorfor helvede er det de der fake websites ikke blevet lukket forlængst???? man kan sguda sige sig selv at de kun eksisterer for at fucke med folks lort...
jeg ville ønske jeg kunne hade dig ihjel
Gravatar

#25 Remmerboy 15. dec. 2010 16:34

hvis nemid var så sikkert, hvorfor sider danid at man skal skifte brugernavn og password...

ved godt at det er en god ide at gøre det, men alligevel
Gravatar

#26 OxxY 15. dec. 2010 16:42

Remmerboy (25) skrev:
hvis nemid var så sikkert, hvorfor sider danid at man skal skifte brugernavn og password...

ved godt at det er en god ide at gøre det, men alligevel


Hvis de siger man skal skifte brugernavn så vil jeg gerne have de giver mig et nyt cpr nummer :P
Gravatar

#27 cryo 15. dec. 2010 17:13

Saxov (19) skrev:
Det eneste det kræver, er at hans nemid login, laver en forspørgelse videre mod din bank i baggrunden, så svare din bank tilbage "Jeg skal bruge nøgle nummer 256", og det skal han så skrive i hans form...


Ikke at det er direkte relevant, men det er en ofte gentaget misforståelse at man laver forespørgsler mod sin bank. NemID-appletten kommunikerer kun password/keys med DanID og ikke med den part som benytter deres loginløsning.

Desuden er NemID en signed Java applet (som mange jo synes at hade er tilfældet), så et phishing site kan ikke umiddelbart fake logininterfacet. Det er dog ikke alle brugere der vil opdage dette.

Endelig, som andre også nævner, kræver de fleste banker en key pr. overførsel og andre transaktioner.
Gravatar

#28 cryo 15. dec. 2010 17:15

Faergemeister (8) skrev:
Moot point. Sikken en idiot. Nu er det jo også muligt at bruge unicode tegn i domænenavne, så der er rigtigt rigtigt mange tegn der kunne ligne et i, ikke bare l.


Flere browsere (ok, i hvert fald Safari; sikkert også flere andre) forhindrer dette ved ikke at vise IRIer for alfabeter som har tegn som ligner det systemet anvender. Jeg kender ikke lige detaljerne i forhold til hvordan de afgør det, men det forhindrer i hvert fald diverse angreb med kyrilliske bogstaver.
Gravatar

#29 sismofytter 15. dec. 2010 17:18

Det syge ved det her nemid halløj er da at det er et almindeligt dansk firma der har lavet disse systemer, vedligeholder dem og lagre en del af vores ret personlige oplysninger og der er ingen der har spurgt mig om lov.

Jeg ved godt de er sikkerheds godkendt i hoved og røv af staten (Håber jeg da).

Så er der det med miljøet. Det er da ikke særlig grønt at sende papkort ud og koster jo også en del penge både i sunheds væsnet og til post DK
Gravatar

#30 bnm 15. dec. 2010 17:31

Det er vel ikke voldsomt urealistisk at folk der phisher også kan finde ud af at lave et man-in-the-middle attack på applikationen så de spørger brugeren om den samme nøgle som de selv bliver spurgt om af den rigtige NemID applikation.

Desuden kunne de ligge inde med en stor bunke af indscannede nøglekort, som de ved hvor stammer fra, og i tilfælde af de får phished et login forsøg af en bruger som de har et indscannet kort af, så har de hvad de skal bruge.
Civilsamfund og oplysningsværdier.
Gravatar

#31 andy16 15. dec. 2010 18:17

#15

Der er heldigvis en grænse for, hvor mange gange man kan gætte forkert indenfor en tidsgrænse. Jeg mener, at det er 5 gange, men ved ikke på hvor lang tid. Således er det ufattelig usandssynligt at ramme plet. :-) Derudover kan man ikke logge på med den samme kode mere end én gang, idet den brugte kode "deaktiveres" og næste gang man vil logge ind, spørger den efter en ny.


Og ham gutten der - tja, han er bare det man kalder en hater.
Gravatar

#32 skiderik1337 15. dec. 2010 18:41

Saxov (19) skrev:
Det eneste det kræver, er at hans nemid login, laver en forspørgelse videre mod din bank i baggrunden, så svare din bank tilbage "Jeg skal bruge nøgle nummer 256", og det skal han så skrive i hans form...

Ja det koster nok et sekunds delay, eller lign. Men er overhovedet ikke umuligt at lave.

Så får han en gyldig nøgle, og behøves slet ikke gå ud i det som #15 o.l. snakker om med at gætte.

Det kræver så bare lige at man ved hvilken bank ens offer har, samt at et enkelt login er nok til at man kan misbruge det.
Og som #31 er inde på er der begrænsninger på loginforsøg, så hvis én besøgende taster forkert X antal gange, bliver phishing-serverens ip banned, således at alle loginforsøg fejler de næste 24 timer eller hvor meget det nu er. :-)
newfags can't TRIFORCE
Gravatar

#33 p1x3l 15. dec. 2010 18:44

#3 man kan diskutere om det burde være nødvendigt til nogle der ska lave noget der sikkert ... hva ska vi ellers huske at fortælle dem ?
Gravatar

#34 Jaqen 15. dec. 2010 18:46

Hvis i kiggede efter første gang i loggede på (eller talte rækker og kolonner) så er der 148 koder på et kort.

selv hvis man laver et man in the middle angreb, så vil mange netbanker fange dig i det du forsøger at tømme kontoen. Min netbank sender en sms med en engangskode, jeg skal taste ind, når jeg første gang sender penge til en ny konto. Man skal være en dygtig phisher for at lokke mig til at taste en kode fra en sms med teksten "du er nu ved at lave en overførsel til paraguay, indtast kode 1324 for at fortsætte" ind, midt i at jeg sidder og betaler regninger.

"man in the middle" eller "man in the browser" er svære at fange, men man kan udlede meget af folks normale handlingsmønstre.

at passe mig om med et våben er nok den nemmeste og mest effektive måse, men man når næppe at gøre det ret mange gange før politiet banker på.

Det der er gjort i dag ligner jo reelt et phishing forsøg. så selv hvis ingen data blev misbrugt, så skulle det ikke undre mig at det er pisseulovligt.

argumentet med at nemid burde have reserveret disse domæner er også lidt langt ude. skulle man så reservere alle teoretiske lookalikes og typos? hvis du har google analytics eller lign på din hjemmeside vil du erfare hvor mange der finder dig på google efter at have tastet din url forkert, det vil satme være dyrt hvis man skulle købe alle de domæner
Følg dem der søger sandheden, undgå dem der mener at have fundet den
Gravatar

#35 myplacedk 15. dec. 2010 18:48

NiklasP (22) skrev:
At der foregår noget teknisk i baggrunden ændrer vel ikke på der stadigvæk er tale om phishing.

"noget teknisk i baggrunden"... :-D

Lad mig prøve en lille sammenligning, for at vise niveuforskellen.

En fyr forsøger et fysisk indbrud på datacentralen. Han parkerer på firmaets private parkeringsplads kl 7.55 om morgenen. Han går hen til en ung (uerfaren) person på vej på arbejde, og siger at han har glemt sit personalekort, og bliver lukket ind. Her burde den unge ansatte sørge for at fyren får et midlertidigt personalekort, hvilket han jo nok ikke kan. Men da han er ung og uerfaren stoler han på at fyren er ansat. Inden for lykkedes det ham at finde et tomt kontor, selv om han intet gyldigt kort har på sig. På det tomme kontor får hacket sig ind på en PC. Derfra får han adgang til ... Jeg stopper historien her, for han har langt endnu inden han får adgang til meget mere end hvis tur det er til at give kage.

Det Rasmus Porsager så viser her er: Se hvor nemt jeg kan komme ind i bygningen. Ja, det er søreme flot. Selv blomsterbudet kommer indenfor.

Kort sagt: Hoveddøren/fishing er kun det første tynde lag af sikkerhed. Der er mange flere lag, og de er langt sværere at komme igennem.
Gider du lige sætte navn på bagsiden af mit Möbius pandebånd?
Gravatar

#36 NiklasP 15. dec. 2010 19:30

#35

Hvad er det lige social engineering har at gøre med phishing? Og hvis vi skulle prøve at tage dit eksempel seriøst, hvorfor stopper du historien midt i det hele? Det er da uden tvivl muligt at liste sig indenfor i et firma ved at være overtalende nok, det har Mitnick samt andre så flot bevist. Og så skal du være velkommen til at pointere at det er enormt svært, måske tæt på umuligt, men det ER muligt. At påstå andet er at lukke sine øjne.

Rasmus Porsager opstiller et simpelt eksempel på phising. Prøv engang at gå ind på nemld.dk i jeres browser, vis jeres mor/far/kæreste/onkel/whoever adresse baren, og spørg hvad der står. Jeg har lige taget eksempelt med min kæreste, og hun svarede flot 'nemid.dk'.

Pointen er at det er pisse nemt at gøre og det er lykkedes Morten at demonstere det fint. At han ikke laver en teknisk løsning der tillader ham at tilgå andre folks bankkonto, kan man vel ikke klandre ham for?

Bare fordi en phishing side benytter sig af andet end en formmail til at viderformidle de opsnappede informationer, så er det stadigvæk en phishing side.
... hader folk der tror deres holdning deles af alle andre.
Gravatar

#37 TheAvatar 15. dec. 2010 19:33

Danskere er et meget dumt folkefærd, så den nemmeste løsning var da at bede folk logge på med deres brugernavn og adgangskode, for derefter at skrive "Grundet en fejl i vores system, er vi nødt til at kontrollere dine engangskoder. Indtast venligst alle tallene, som fremgår af dit nøglekort"

Problem solved - det er da nemt :)
Gravatar

#38 myplacedk 15. dec. 2010 19:52

NiklasP (36) skrev:
Hvad er det lige social engineering har at gøre med phishing?

http://da.wikipedia.org/wiki/Analogi

NiklasP (36) skrev:
Og hvis vi skulle prøve at tage dit eksempel seriøst, hvorfor stopper du historien midt i det hele?

For at historien ikke skulle blive langtrukken, fordi det ikke ville gøre analogien bedre, fordi jeg ikke har lyst til at fortælle om hvilke sikkerheder der er osv.

NiklasP (36) skrev:
Og så skal du være velkommen til at pointere at det er enormt svært, måske tæt på umuligt, men det ER muligt.

Jeg har aldrig påstået andet, jeg er ikke IT-analfabet.

NiklasP (36) skrev:
At han ikke laver en teknisk løsning der tillader ham at tilgå andre folks bankkonto, kan man vel ikke klandre ham for?

Ikke hvis han vil demonstrere at phishing er muligt, hvilket ikke er særligt interessant.
Hvis han vil demonstrere at man via phishing kan bryde ind i folks netbank og stjæle penge, så har han ikke opnået noget særligt.

NiklasP (36) skrev:
Bare fordi [...], så er det stadigvæk en phishing side.

Jeg siger ikke at det ikke er phishing. Jeg at der er langt fra phishing til et successfuldt angreb.

Men han har en pointe med at DanID kunne have registreret disse to mest åbenlyse domæner. Om man er enig i at de skulle have gjort det er så en anden ting.
Personligt kan jeg ikke tage stilling til det, for jeg ved ikke hvor mange domæner de reelt skal registrere for at gøre en væsentlig forskel. Hvis der er tusindvis af muligheder kan et par stykker fra eller til vel være ligegyldigt. Desuden kan man sagtens phishe uden at have et domæne der ligner.
Gider du lige sætte navn på bagsiden af mit Möbius pandebånd?
Gravatar

#39 exetico 15. dec. 2010 21:17

Jeg har læst de fleste af kommentarerne.
Jeg vil sige at jeg er enig med de fleste - Det er umuligt at kunne få det store ud af det, da han skal have fat i den 4-cifrede kode, og dog.

På f.eks. min netbank kan man logge på uden at skulle have fat i nøglekortet. Selvfølgelig er det ikke muligt at overføre penge - Men hvem ville have det godt med at folk havde adgang til ens kontoer, budget informationer med mere.

Nogle er jo også dygtige, og har før været god til at udnytte konto nummer og reg. nr... Det ville vel senere kunne udvikle sig, hvis personen f.eks. også spurgte efter mail. Så ville han kunne tage kontakt med brugeren, og måske være heldig at få mere ud af det.

Jeg er godt klar over at sandsyneligheden ikke er fandens stor - Men mulighederne er der jo. Folk har faldet i den før, så hvorfor skulle de ikke kunne gøre det igen (Folk med mindre erfaring på nettet mm.).

At nejtilnemid.dk vælger at gøre dette, synes jeg blot er godt :-)

Vi har jo alle vores mening, men jeg mener det må være på sin plads. For, noget for han da alligevel ud af det...

Også selvom han ikke kan overføre f.eks. mine julepenge til en konto i frankrig etc.

Nogle folk benytter også et personligt brugernavn, som kan forbindes til andre online aktiviteter. På den måde ville du måske kunne benytte den oplyste kode til andre sider hvor brugeren var aktiv. I værste fald, ville han måske kunne få adgang til ens mailsystem. Der er stadig nogle muligeder der ude, når man tænker over det.
Redigeret
Gravatar

#40 doctorx 15. dec. 2010 21:58

cryo (27) skrev:
Desuden er NemID en signed Java applet (som mange jo synes at hade er tilfældet), så et phishing site kan ikke umiddelbart fake logininterfacet. Det er dog ikke alle brugere der vil opdage dette.


Du kan da sagtens lave noget der ligner på en prik i javascript, med "do you want to run this applet" og hele molevitten. Eneste forskel er vel, at der ikke dukker en kaffekop op i systray.

Konklusionen er, at det godt kan lade sig gøre at lave et phishing-angreb vha. man in the middle, hvor hackeren kun spørger om den rigtige kode. Hvis hackeren distribuerer linket ud til mange mennesker, så vil der måske være 10% som bruger Nordeas netbank. Til den skal man kun bruge én kode for at logge ind og lave et ubegrænset antal overførsler. Hvis det beløb han overfører er tilstrækkeligt lavt, vil folk ikke få en sms fra banken.

Man må konkludere, at phishing er blevet nemmere nu end med den gamle digitale signatur.
Gravatar

#41 Hubert 15. dec. 2010 22:05

sismofytter (29) skrev:
Det syge ved det her nemid halløj er da at det er et almindeligt dansk firma der har lavet disse systemer, vedligeholder dem og lagre en del af vores ret personlige oplysninger og der er ingen der har spurgt mig om lov.

Jeg ved godt de er sikkerheds godkendt i hoved og røv af staten (Håber jeg da).

Så er der det med miljøet. Det er da ikke særlig grønt at sende papkort ud og koster jo også en del penge både i sunheds væsnet og til post DK


Det eneste de gemmer er vel strengt taget en log over hvor du har brugt din private nøgle og så din private nøgle. Der er tale om person følsomme data iogmed at det er person herførbar men lad os nu ikke gøre det værre end det er.
issues may or may not exist until they are found."… Shrödinger's Vulnerability
Gravatar

#42 Saxov 15. dec. 2010 22:06

kupje (32) skrev:
Det kræver så bare lige at man ved hvilken bank ens offer har, samt at et enkelt login er nok til at man kan misbruge det.
Hvis det jeg har læst fra folk er korrekt (Har ikke selv forsøgt, da jeg ikke har aktiveret min nemID endnu) så hvis du forsøger at logge ind på en netbank hvor du ikke er kunde, får du afvide du ikke er kunde der, og kommer derfor ikke videre til "indtast pin kode 256 fra papkort", og det tæller heller ikke som et fejlet login mod dine 5 fejlet logins i træk per dag.
Gravatar

#43 Justin 15. dec. 2010 22:37

apkat (15) skrev:
#12, jeg prøvede lige på jyskenetbank (av det var dyrt i nøgler). Man får en ny nøgle hver gang man forsøger at logge på. Så kan man bare prøve indtil man får den korrekte (den man har fished)

Men kræver jo som i andre skriver man også har fået den korrekte nøgle, som man jo i nogle tilfælde kan få. (hvis man gætter random på nøglenr, kan man stadig få en del ud af f.eks. 1.000.000 fishede.)


også kan man se en konto oversigt ...
hvis man vil overføre penge så skal man gætte en ny nøgle
og hvis der er flere konti skal gætte en nøgle til hver konto



-- > har du husket af lave en ubrugelig bil analogi i dag ?? <--
Gravatar

#44 cryo 15. dec. 2010 23:48

doctorx (40) skrev:
Du kan da sagtens lave noget der ligner på en prik i javascript, med "do you want to run this applet" og hele molevitten. Eneste forskel er vel, at der ikke dukker en kaffekop op i systray.


Ja, og hvis Rasmus et al. får deres vilje og vi kommer af med NemID og får RasmusPorsagers-yndlings-ID istedet, så vil man igen kunne gøre præcis de samme ting, eller værre. Med en signed applet har man i det mindste en mulighed for at verificere signaturen ved at kilikke på java-ikonen.
Gravatar

#45 koehler 16. dec. 2010 08:45

Hvad har det med phishing at gøre? Hvilke DNS-servere har han fået til at pege på hans 2 sider?

Eller er det den farlige "typo"-phishing hvor han kun rammer de få som får tastet L i stedet for I ?
When I get sad, I stop being sad and be awesome instead. True story!
Gravatar

#46 doctorx 16. dec. 2010 09:03

cryo (44) skrev:
... og får RasmusPorsagers-yndlings-ID istedet, så vil man igen kunne gøre præcis de samme ting.


Jeg tror faktisk den gamle digitale signatur var mere sikker hvad phishing angår, fordi selve krypteringen blev foretaget af browseren eller OS'et. Jeg tror ikke at java-appletten kunne få adgang til at uploade den private nøgle til hackeren. Jeg kan ikke lige få øje på nogen anden måde, at en hacker ville kunne lokke folk til at logge ind på én side og i virkeligheden give adgang til en anden.

Den gamle signatur var så meget sårbar hvad rootkits angår, men det er en anden sag.

koehler (45) skrev:
Hvad har det med phishing at gøre?


Det han har lavet er ikke phishing, det er bare DanID der overreagerer. Han har lavet et eksempel på et delelement af rigtig phishing, som i praksis også ville inkludere mailudsending eller lignende.
Gravatar

#47 luuuuu 16. dec. 2010 09:04

#

koehler (45) skrev:
Hvad har det med phishing at gøre? Hvilke DNS-servere har han fået til at pege på hans 2 sider?

Eller er det den farlige "typo"-phishing hvor han kun rammer de få som får tastet L i stedet for I ?



Hej <%email%>. Det er grundet uforudsete komplikationer nødvendigt at bede alle brugere af NemID at logge ind og registrere nogle ekstra oplysninger på deres konto.

Vi håber derfor at du snarest får mulighed for at logge på www.NemlD.nu og indtaste disse oplysninger.

Tak, og fortsat god dag.



Og den fyrer man bare af på diverse spam lister.
Gravatar

#48 myplacedk 16. dec. 2010 09:21

Gider du lige sætte navn på bagsiden af mit Möbius pandebånd?
Gravatar

#49 Hubert 16. dec. 2010 11:01

Nemid overvejer juridiske konsekvenser af det her nummer
issues may or may not exist until they are found."… Shrödinger's Vulnerability
Gravatar

#50 Viftrup 16. dec. 2010 11:39

Forstår slet ikke hvorfor vi har brugt så mange penge, og tid på at lave NemID? Det viser sig jo bare til at være noget totalt usikkert crap, som de endda tvinger den danske befolkning til at bruge?


Hvorfor så nærmest ikke bare bruge OpenID i stedet? Man kan faktisk ændre det efter hvilket behov man har, og kan ændre en hel del andre ting, dermed også checke om man er på en sikker hjemmeside, ergo vi undgår flere phishing forsøg?
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login