Af Redaktionen Kilde: DR Nyheder
I følge politiet er en lang række danskere de seneste år blevet udsat NemID-svindel efter stort set samme metode.
Svindlerne har installeret overvågningsudstyr på offentlige bibliotekscomputere og har på den måde fået fat på ofrenes bruger-id og adgangskode til NemID, og når ofrene har fået nyt nøglekort, har svindlerne stjålet nøglekortet fra postkassen.
Nu viser aktindsigter, at den ansvarlige myndighed, Digitaliseringsstyrelsen, har lavet to mindre systemændringer i NemID som reaktion på svindlen, vel vidende at ændringerne ikke fjernede muligheden for svindel, og selvom der også var mere sikre løsninger.
– Det ligner et tilbagevendende omfattende svigt i styrelsens systemer, siger Frederik Waage, der er professor i forvaltningsret på Syddansk Universitet.
Digitaliseringsstyrelsen vil ikke stille op til interview om sagen, men skriver til DR:
– Ved de to sager fra henholdsvis 2017 og 2020 har Digitaliseringsstyrelsen ageret på de kendte risici og svindelscenarier, skriver Digitaliseringsstyrelsen til DR.
Men sådan ser forvaltningsretsprofessoren ikke på det.
– De oplysninger, som I har fremlagt her, de gør, at man må stille spørgsmål ved, om NemID er sikkert, og om styrelsen har handlet, som den skulle, siger Frederik Waage fra Syddansk Universitet.
Digitaliseringsstyrelsen har også fået voldsom kritik for sin manglende reaktion på den årelange svindel med NemKonto, hvor svindlere ændrer en persons NemKonto til en anden bankkonto, der ikke tilhører offeret.
Digitaliseringsstyrelsen er blevet gjort opmærksom på svindelen mere end 30 gange siden 2016, men har alligevel ikke ændret NemKonto systemet, så svindelen kan forhindres.
Nu får Digitaliseringsstyrelsen altså også kritik for sin håndtering af svindel med NemID.
Digitaliseringsstyrelsen blev advaret om, at der blev svindlet med NemID ved brug af såkaldte keyloggere på offentlige bibliotekscomputere.
Digitaliseringsstyrelsen endte med at ændre systemet ”en smule”, som styrelsen selv formulerer det i en mail til DR.
Men styrelsen vidste godt, at ændringen fortsat efterlod risiko for samme type svindel, fremgår det af aktindsigterne.
– Der er dog stadig mulighed for misbrug fra offentlige computere, skrev Digitaliseringsstyrelsen således til Kommunernes Landsforening i forbindelse med ændringen i 2017.
Dokumenterne, som DR har fået aktindsigt i, viser at man overvejede at droppe ideen med at sende nye nøglekort med posten, og istedet kun udlevere det ved personlig henvendelse på eksempelvis borgerservice. Istedet valgte Digitaliseringsstyrelsen en mindre omfattende ændring, så nøglekortet stadig sendes med posten, men det kræver pas- eller kørekortnummer at bestille et nyt.
I dag er Digitaliseringsstyrelsen tilfreds med ændringen, fremgår det af styrelsens skriftlige svar til DR.
– Digitaliseringsstyrelsen fik effektivt lukket for den fremgangsmåde, der blev anvendt til svindel i 2017, skriver Digitaliseringsstyrelsen til DR.
Det har dog efterfølgende vist sig, at svindlerne bare finder andre veje gennem sikkerheden, og stadig stjæler nøglekort fra postkasserne.
I forsommeren 2020 går det op for Digitaliseringsstyrelsen, at der igen er blevet svindlet med en lang række danskeres NemID ved brug af keyloggere på bibliotekscomputere.
Det sker ved hjælp af en metode, som DR afdækkede i midten af juni.
Igen foregår det ved, at svindlerne har fået fat på ofrenes bruger-id og adgangskode ved at installere keyloggere på offentlige bibliotekscomputere.
Denne gang kan svindlerne ikke uden videre bestille nye nøglekort til ofrene med deres bruger-id og adgangskode.
Til gengæld udnytter svindlerne, at de løbende kan følge med i, hvor mange nøgler der er tilbage på offerets nøglekort. Det får man som bruger nemlig oplyst ved at forsøge at logge på NemID med bruger-id og adgangskode.
