– Sikkerheten ved bruk av Bank-ID er så dårlig at jeg som forsker har en plikt til å varsle, sier kryptolog og sikkerhetsekspert Kristian Gjøsteen ved NTNU til NRK.no.
27. november ble det åpnet opp for at Bank-ID kan brukes som innlogging til 270 offentlige tjenester. Det gjelder også nettsteder som krever høyeste sikkerhetsnivå, som eksempelvis inneholder helseopplysninger.
Det var en tabbe av myndighetene, mener Gjøsteen. Han mener at sikkerheten ved bruk av Bank-ID er så dårlig at teknologien aldri burde vært godkjent som innlogging til offentlige tjenester som krever høyeste grad av sikkerhet.
Problemet er at sikkerheten blir langt dårligere når Bank-ID etter hvert blir brukt overalt. Den tekniske løsningen er ikke egnet til å brukes mange steder, mener han.
– Som bruker er det forholdsvis enkelt å beskytte seg mot svindel når du kun bruker Bank-ID i nettbanken. Du er sikker dersom du alltid logger deg inn via et bokmerke, og aldri svarer på e-post fra banken, sier Gjøsteen.
Dette endres helt når du kan bruke Bank-ID fra alt til å sjekke helseopplysninger, selvangivelsen og omadressere posten, mener sikkerhetseksperten.
– Kan ikke vite om du gir informasjon til banditter
Kompetente svindlere kan enkelt sette opp nettsider som stjeler din innloggingsinformasjon når du bruker bankbrikken din.
Foto: Solfrid Leirgul Øverbø / NRKI en demonstrasjonsvideo NRK har fått tilgang til setter Gjøsteen opp et dataangrep for å stjele Bank-ID-brukerinformasjon fra Postens hjemmeside.
Angrepet settes opp i løpet av få minutter. Eksempelet med Posten er tilfeldig valgt.
– Jeg regner meg selv som amatør, og brukte omtrent en dag på å lage dette angrepet mot Bank-ID. Kompetente kriminelle kunne gjort dette langt raskere enn meg, sier han.
LES OGSÅ:
Eksempeldemoen er ikke helt fiks ferdig, blant annet er adressen som vises ut i videoen hans egen. Men det er enkelt å lage adressen som ligner svært mye på den virkelige, sier han.
Innloggingsinformasjonen han får fra svindelsiden, kan brukes til å bryte seg inn på offentlige nettsider med sensitive personopplysninger, som eksempelvis resepter.
LES OGSÅ:
– Blir lurt til å tro at man omadresserer juleposten
Utgangspunktet i svindelen er å sende ut en e-post som tilsynelatende kommer fra Posten, som minner mottakeren på å omadressere posten i forbindelse med at man reiser bort i julen.
I denne videoen viser NTNU-forskeren hvordan kriminelle kan skaffe seg tilgang til sensitive opplysninger ved å stjele innloggingsinformasjon til Bank-ID.
Men dersom man klikker på lenken i e-posten, er det et svindelnettsted som Gjøsteen har laget som dukker opp. Han får et varsel via SMS eller e-post når noen forsøker å logge seg inn med egen Bank-ID.
Men denne informasjonen kan Gjøsteen eller bandittene bruke til å logge seg inn til sensitive helseopplysninger via mineresepter.no eller minjournal.no i løpet av minutter.
– Kjenner godt til at Bank-ID er sårbart
– Gjøsteens eksempel er en sårbarhet vi kjenner godt til, sier daglig leder Odd Einar Håberget i Bank-ID, som har sett videoen.
Han sier at det er stor kreativitet og innsats blant de kriminelle, og at de regner med at nye former for angrep vil komme.
– Vi er positive til at ulike forskningsmiljøer ser på utfordringene og er takknemlige for innspill som gjør at vi kan fortsette å forbedre sikkerheten og takle utfordringer fremover, sier Håberget.
Han sier at banknæringen utvikler nye forsvarstiltak for å være et hestehode foran identifiserte angrepsmetoder.
– Det er derfor flere lag med sikkerhet rundt BankID, og noen må vi holde for oss selv slik at vi ikke viser alle kortene, sier direktøren for Bank-ID.
Han gir følgende tips til privatpersoner:
- Holde PC-en oppdatert med siste versjon av nettleser og programvare
- Unngå å klikke på lenker i e-poster fra folk du ikke kjenner
- Sjekk at adresselinjen er grønn når du logger deg på med BankID
– Finnes ingen garanti mot svindel
I svindelvideoen som NTNU-kryptologen har laget er det Postens nettsted som brukes som eksempel på hvordan svindel kan foregå.
– Vi vurderer sikkerheten for våre tjeneste fortløpende, sier pressesjef Hilde Ebeltoft-Skaugrud i Posten.
Foto: Nils Midtbøen / PostenPressesjef Hilde Ebeltoft-Skaugrud i Posten sier til NRK at det nettopp med tanke på sikkerheten at sikkerhetsløsninger som BankID er innført for omadresseringstjenesten.
– Dessverre finnes det ingen metode for å beskytte seg helt og holdent mot svindel. Vi er oppmerksomme på dette og vurderer derfor sikkerheten ved tjenestene våre kontinuerlig, sier Ebeltoft-Skaugrud.
Posten anbefaler følgende huskeregler for å motvirke svindel:
- Send aldri personlig eller finansiell informasjon via e-post
- Klikk ikke på lenker i e-post, men kopier heller adressen manuelt
- Vurder avsender og nettsider nøye, før du oppgir informasjon.
- Sjekk om adressen er feilstavet eller slutter på .com istedenfor .no, etc.
- Forsikre deg om at sidene er kryptert
- Bruk e-postfilter, brannmur og antivirus
