Samfund

Ultimativt ID-tyveri: Banker har lemfældig omgang med kunders NemID

Flere banker har en lemfældig omgang med med kundernes NemID. Jonas Vandall Ørtvig / Scanpix Denmark

Flere banker ukritisk sender nye nøglekort uden at tjekke ID på den, der bestiller. Ung dansker måtte betale prisen: 270.000 kroner.

Den 29-årige lærer Ronja Larsen blev for nylig svindlet for 270.000 kroner, fordi hendes bank, Arbejdernes Landsbank, ukritisk havde sendt et nyt NemID-nøglekort, da svindlere ringede og udgav sig for at være hende, skriver Ingeniøren.

Derefter fiskede svindlerne nøglekortet op af postkassen før Ronja Larsen selv og loggede ind på netbanken med hendes kode til NemID, som de havde stjålet ad andre veje.

Og Ronja Larsens historie er ikke et enestående eksempel. Ifølge finanssektorens brancheorganisation, Finans Danmark, har mindst fem andre oplevet det samme i år, og sidste år var der ‘endnu flere’, skriver organisationen, der ikke ønsker at stille op til interview, i en e-mail til Ingeniøren.

Fire ud af seks fejler i stikprøve

Efterfølgende har Ingeniøren med en række kunders vidende ringet til Arbejdernes Landsbank og fem andre danske banker for at bestille nye nøglekort. Arbejdernes Landsbank sendte et nyt nøglekort, så snart Ingeniøren opgav et CPR-nummer. Også Jutlander Bank sender gerne nyt nøglekort, hvis den får et CPR-nummer.

Endnu værre ser det ud for kunder hos Sydbank og Merkur Sparekasse, der sendte nye nøglekort hjem til kunderne, uden at Ingeniøren behøvede at opgive en adresse. Den oplyste bankerne selv i telefonen. Dermed fik eventuelle svindlere at vide, hvor de skulle fiske det nye nøglekort op af postkassen.

Bankernes lemfældige omgang med kundernes NemID-nøglekort sætter – hvis den misbruges – den ekstra såkaldte tofaktor-identifikation ud af funktion. Det gør det enklere for it-kyndige svindlere at overtage deres ofres identitet.

- Hvis man overtager NemID, har man begået det ultimative identitetstyveri i Danmark, siger Jacob Herbst, medejer af sikkerhedsfirmaet Dubex.

Han opfordrer samtidig til at kigge sikkerheden i NemID efter i sømmene med henblik på en opdatering.

De fire banker, som ukritisk sendte nøglekort, understreger alle over for Ingeniøren, at det strider imod deres retningslinjer. Arbejdernes Landsbank erkender »ikke at have udvist tilstrækkelig omhu og agtpågivenhed« i Ronja Larsens sag, og hun har fået erstattet sit tab.