nrk.no

Kunne kapre bankkonto med papirskjema

Kategori: Samfunn

SIKKERHETSHULL: Thorsheim fant ut at et papirskjema kunne misbrukes til å ta kontroll over noens bankkonto. Fotomontasje: Martin Gundersen


Per Thorsheim fant sikkerhetshull som kunne skaffet kriminelle adgang til DNB-kunders bankkonto. – Jeg kunne sendt penger rett ut av landet om jeg ville, sier han.

En kveld i august logget Per Thorsheim seg inn i nettbanken til DNB. Ved første øyekast virket alt helt normalt, men da han klikket seg inn i en lite besøkt undermeny kunne han se at noen hadde fått kontroll over bankkontoen hans.

I nettbanken sto det at en ny person hadde blitt disponent for lønnskontoen. Denne personen fikk tilgang til ti år med transaksjonshistorie, kunne opprette nye betalingsavtaler på vegne av kontoeieren, og tappe kontoen for penger.

– Da disponenten gjorde to betalingstransaksjoner fra min konto og det stod at det var jeg som hadde gjort det – da fikk jeg sjokk, sier Thorsheim, en profilert på digital sikkerhet.

Heldigvis var dette ikke en ekte svindel. Sammen med tre venner hadde Thorsheim vist at det var mulig å misbruke DNBs papirskjema for disposisjonsfullmakt. Hadde kriminelle stått bak transaksjonene kunne det kostet ham dyrt.

Norske medier har en rekke ganger omtalt hvordan svindelofre kan stå tomhendt igjen om kriminelle får kontroll over bankkontoen deres med utspekulerte metoder. Derfor mener Thorsheim det er viktig å vise at norske bankers systemer kan utnyttes. Han mener terskelen bør være veldig høy for at bankkundene selv stilles til ansvar ved digital svindel.

Enkelt å skaffe kontrollopplysninger

Sikkerhetstesten avslørte at det var mulig å få tak i alle de nødvendige kontrollopplysningene i papirskjemaet ved bruk av kreative metoder.

En søndag morgen ringte en kompis DNBs kundeservice og utga seg for å være Thorsheim. Kompisen ringte med skjult telefonnummer og oppga at han var bakfull. Han trengte kontonummeret «sitt», men kom ikke på det i farta. Kunne DNB være behjelpelige?

Ifølge Thorsheim svarte kompisen feil på alle kontrollspørsmålene, men fikk likevel kontonummeret av DNB.

Fødselsnummer, som egentlig ikke er hemmelig i Norge, klarte de å oppdrive på en annen måte. En populær norsk nettbutikk tillot brukere å gjette seg til en persons fulle fødselsnummer. Det holdt å vite når personen ble født samt litt tålmodighet.

– Det er enklere å få tak i kontonummer og fødselsnummer enn folk flest tror. Folk behandler personnummeret som det skulle være en hemmelighet, men det har aldri vært meningen at det skulle være en hemmelighet, sier Thorsheim.

ENGASJERT: Per Thorsheim har lenge vært opptatt av digital sikkerhet. Han arrangerer blant annet konferansen PasswordsCon. Foto: Øyvind Bye Skille

Et av de mest alvorlige funnene var at kontoeier ikke ble varslet om at noen hadde fått kontroll over bankkontoen. Thorsheim kontaktet DNB om funnene rett etter at testen var gjennomført.

– Jeg kunne sendt penger rett ut av landet om jeg ville, sier Thorsheim, som frykter fremgangsmåten kunne blitt brukt til å loppe bankkunder for millionbeløp.

Økt sikkerheten

De fleste av DNBs kunder oppretter disposisjonsfullmakt i selve nettbanken. Løsningen med papirskjema retter seg hovedsakelig mot eldre bankkunder og er mindre brukt.

– Den totale løsningen har blitt bedre i etterkant av disse funnene, sier Terje Fjeldvær, leder for bedrageriforebygging i DNB.

Fjeldvær forteller at DNB allerede hadde bestemt seg for å forbedre sikkerheten og rutinene knyttet til papirskjema for disposisjonsfullmakt, men at innspillene førte til konkrete forbedringer og økt tempo. DNB oppgir at de heller ikke har sett tegn på at løsningen slik den var har blitt utnyttet av kriminelle.

KREATIVE KRIMINELLE: – De kriminelle ser vi er veldig tidlig ute med å bruke alle de nye løsningene og appene som blir tilgjengelige, sier Terje Fjeldvær. Foto: Stig B. Fiksdal / DNB

– Hadde DNB god nok sikkerhet da denne testen ble utført?

– Vi jobber kontinuerlig med å styrke sikkerheten i alle våre kanaler. Basert på at den er enda bedre nå, så tenker jeg at det i seg selv er en erkjennelse av at den kanskje ikke var god nok på det tidspunktet, sier Fjeldvær.

– Thorsheim frykter at man kunne tappet bankkontoer for millionbeløp om man hadde kjent til og utnyttet sårbarheten. Hva sier du om det?

– Hvis man får disposisjonsrett på en konto, har man mulighet til å gjennomføre betalinger fra den kontoen. Det er selvfølgelig begrenset av hva som er tilgjengelig på den kontoen, men man har full mulighet til å gjennomføre betalinger som disponent.

Hvordan fungerer «koordinert publisering»?
For å sikre at ondsinnede aktører ikke kan utnytte metodene som er omtalt i artikkelen har NRK ventet med å publisere. Vurderingen er gjort i samråd DNB og Thorsheim.

Jobber du selv som sikkerhetsforsker, har blitt utsatt for spesielle svindler eller har kommet over sårbarheter i digitale tjenester er vi interessert i å snakke med deg. Nå journalisten på telefon eller Signal (47 75 65 15) og epost ([email protected]).

Forbrukerspørsmål

Etter hvert som banktjenester har flyttet seg over på nett, har også svindelforsøkene det. En av de mest omtalte variantene kalles «Olga-svindelen». Der har svindlere over telefon lurt eldre kvinner til å oppgi innloggingsinformasjon til nettbanken. Slik har kvinnenes bankkontoer blitt tømt.

En av dem er Lillian Jensen (74) som ble svindlet for 340.000 kroner. I desember saksøkte hun Sparebank 1 Østlandet som nekter å erstatte beløpet.

Selv om Stortinget i fjor vedtok en lovendring som gjør det lettere for bankkunder å få erstatning i svindelsaker er Thorsheim likevel bekymret for svindelsofres situasjon. DNB har motsetning til Sparebank 1 valgt å dekke tapet for sine kunder som ble lurt ved Olga-svindel.

– Det er en David mot Goliat. Vi har en samlet bankbransje som har penger og advokater. Når kundene, forbrukerne, har blitt vurdert til å være grovt uaktsomme er det vanskelig for dem å få den nødvendige advokathjelpen og den tekniske ekspertisen for å bevise sin uskyld, sier Thorsheim.

Vil du lære mer om internett og teknologi?

Få en epost når vi publiserer det fyldige nyhetsbrevet vårt. Vi kommer aldri til å misbruke adressen din.

Ny test, ny glipp

I vår lanserte DNB et nytt og forbedret papirskjema for disposisjonsfullmakt. Da Thorsheim gjennomførte testen i august holdt det at to tilfeldige vitner skrev inn navn, fødselsnummer, adresse, og signatur. Nå stiller DNB strengere krav til hvem som kan være vitner og disse må også legge ved en kopi av gyldig legitimasjon.

Tidligere fikk verken disponent eller kontoeier varsel om at det var opprettet en disposisjonsfullmakt. Nå varsler DNB begge parter på sms. Om kundene ikke kan nås digitalt sendes varselet på brev.

Thorsheim valgte i vår å gjøre en ny sikkerhetstest for å sjekke hvor godt de nye rutinene fungerte. Det gjorde han ved å sende inn det gamle papirskjemaet. På ny fikk en disponent kontroll over bankkontoen hans.

Til sin forskrekkelse så Thorsheim at disponenten hadde fått tilgang før varselet ble sendt ut på sms.

– Denne tilbakemeldingen var verdifull, sier Kate Blichfeldt Andresen som er seksjonsleder i personmarked.

Andresen forteller at DNB hele tiden gjør en avveining mellom sikkerhet og å gjøre det enkelt for kundene. Basert på innspill fra Thorsheim har DNB gjort endringer som sikrer at kontoeier får varsel flere dager før disponent får tilgang til bankkontoen.

DNB vil også behandle det gamle skjemaet en stund fremover, men understreker overfor NRK at de snart vil fase det helt ut.

For ordens skyld: Torsheim ble nylig ansatt i Vipps. Selskapet eies av ti norske banker og har DNB som største eier.

16 kommentarer

  1. Håkon Klausen

    Mangel på meldinger når noe skjer er uforståelig, og et av de store slående sikkerhetshull i banksystemet. Facebook sender meg mail bare fordi jeg logger på fra en ny enhet, hvorfor gjør ikke bankene det samme? Om noen bruker falsk legitimasjon på Elkjøp for å opprette et forbrukslån, så får jeg ikke vite det før jeg får et papirbrev i posten fra kredittopplysningsforetaket. Her bør bankene skjerpe seg.

    Svar på denne kommentaren

    • Carl-Erik Kopseng (svar til Håkon Klausen)

      @Tom: les en gang til. Han sa aldri han brukte e-post som den andre faktoren (det er heller ikke noe som tilbys). Det han sa var at han fikk beskjed om at noen hadde logget på fra en ny enhet i etterkant av at det hadde skjedd. Det må naturligvis sendes på en eller annen måte og da er e-post helt fint, ettersom det ikke er sensitiv informasjon.

  2. Det er himmelropende ulogisk at vi må bekrefte bittesmå betalinger med bankID, men at å endre disponent på kontoen kan gjøres som dette.

    Hvorfor ikke bare legge inn krav om at denne typen endringer må godkjennes med bankID i nettbanken før de får virkning? Ikke bare får kontoeieren beskjed, men han må selv godkjenne endringen.

    Svar på denne kommentaren

    • Carl-Erik Kopseng (svar til Eivind M.)

      Svaret på dette står i artikkelen. Det å legge til en disponent gjøres som ofte i nettbanken, men så var det denne kundegruppen som ikke behersker nettbank da. Da får du en Catch-22 – om man da ikke tilbyr et fysisk alternativ, som nettopp et papirskjema, for å legge til disponenten. Husk at man ikke har lov til å gi fra seg kodegenerator eller passord, selv til gode hjelpere som et engangstilfelle.

    • Carl-Erik Kopseng (svar til Frode Fredriksen)

      Det har absolutt ingenting med saken å gjøre. Utviklerne i Tata har fint lite med DNBs papirskjema eller rutiner å gjøre.

  3. Eivind Fivelsdal

    Dersom banken vurderer brukervennlighet mot sikkerhet, tar de en kalkulert risiko på sine kunders vegne. Det betyr i sin tur at de også må ta ansvaret dersom noe går galt.

    Svar på denne kommentaren

    • Cecilie Wian (svar til Eivind Fivelsdal)

      Det er mye som er forkledd som brukervennlighet.

      Det er ikke spesielt brukervennlig å ha rutiner som kan ruinere deg uten at du vet hvorfor. Det er et absolutt minimum at eier får melding nå om at disponent er lagt til. Det er garantert mer som kan gjøres med prosessen.

  4. Bankenes sikkerhetsprosedyrer på noen områder er totalt absurde.

    For eksempel når man bestiller et nytt Visa eller Mastercard kort. Først kommer kortet i posten, og noen dager senere kommer koden. Får noen tak i begge ved å stjele fra postkassen, som er lett å stjele fra, så er det kjørt. Hva med å la kortet være sperret inntil kunden bekrefter å ha mottatt både kort og kode, ved å bruke bank-id?

    Så er det bank-id brikken i seg selv. Forrige bank-id brikke var utstyrt med kodelås. Man trengte en kode for å låse opp kodebrikken, og da først kom den vilkårlige koden opp i displayet. Nå trykker man bare på den, og koden vises for hvem som helst. Man har da kun passordet som beskyttelse, da personnummeret lett kan skaffes. Og passordet kan lett hentes ved å f.eks. installere en key-logger på hvem som helst sin pc. Hvorfor tok man dette steget over til MINDRE sikkerhet?

    Og så var det Frivillig Kredittsperre. Noe banken ikke informerer deg om. Har du dette, kan ingen oppta gjeld i ditt navn. Men bankene vil nok ikke at dette skal være utbredt, for da går trolig forbruket, og bankenes profitt, nedover.

    Sikkerhet ja. Nei, ikke så veldig.

    Svar på denne kommentaren

    • Cecilie Wian (svar til Knut)

      Hos mange banker må du nå hente pinkode inne i nettbanken, den kommer aldri i posten.

  5. Rattus norvegicus

    Løsningen til dette problemet har fantes siden 2009 – Bitcoin. Bitcoin er desentralisert, eliminerer en «sårbar» tredjepart, og gir kontrollen overegen økonomi tilbake til «mannen i gata».

    Svar på denne kommentaren

  6. Mohammed H Albassam

    The solution to this problem has existed since 2009 – Bitcoin. Bitcoin is decentralized, eliminating a «vulnerable» third party, and giving control of its own finances back to «the man in the street.

    Svar på denne kommentaren

  7. Birger Rieb

    Det er EN stor svakhet med id-brikken, spesielt med hensyn til eldre og mennesker med sviktende helse. Ved å opprette en disponent i bankforbindelsen, kan de få hjelp til å utføre de fleste transaksjoner. Id-brikken skal imidlertid også brukes til å legitimere bruker på mange andre områder, skatt, helse, strøm etc. Når bruk av id-brikke blir vanskelig har man ikke annet valg enn å tillate at andre personer hjelper til. Da må man røpe sitt passord. Det finnes i dag ikke noe sikkerhetssystem som er 100 % tett. Bankene må nekte kundene sine bruken av bank-id hvis de vil sikre seg 100 %.

    Svar på denne kommentaren

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *. Les vår personvernserklæring for informasjon om hvilke data vi lagrer om deg som kommenterer.