*Nettavisen* Nyheter.

Finner alt for å svindle deg på 6 minutter

FINNER INFORMASJON: Flere nettsider gir informasjon som kan brukes til å svindle deg. En av dem, genererer mulige fødselsnumre. Posten Norge sier de vil fjerne funksjoner etter at Nettavisen ba om kommentar på denne saken.

FINNER INFORMASJON: Flere nettsider gir informasjon som kan brukes til å svindle deg. En av dem, genererer mulige fødselsnumre. Posten Norge sier de vil fjerne funksjoner etter at Nettavisen ba om kommentar på denne saken. Foto: Jørgen Berge (Nettavisen)

På seks minutter, og med bruk av åpne kilder på nett, samlet sikkerhetseksperten nok informasjon til å svindle nordmenn.

11.06.19 12:59

- Det er skremmende lett å skaffe seg personinformasjon på nett. Tidligere måtte man stjele post eller skaffe seg ulovlig digital tilgang for å få tilgang til informasjon, slik som fødselsnummer, sier juridisk seniorrådgiver Thomas Iversen i Forbrukerrådet, etter å ha lest oppskriften omtalt i denne artikkelen.

- Når det er mulig å hente ut all informasjon om personer med noen tastetrykk på nett, så skaper det en helt annen problematikk, sier Ole Anders Ulsrud i NorSIS (Norsk senter for informasjonssikring).

6 minutter

Tidligere i år ble han og andre deltakere på NorSIS sitt forum «Stopp nettsvindel» presentert for en oppskrift for hvordan man kan finne «all» nødvendig informasjon for å svindle nordmenn. Med oppskriften tok det 6 minutter å koble fødselsnummer til en person. Dette ble gjort ved hjelp av åpne kilder på internett.

Informasjonen kan blant annet brukes til å ta opp kredittlån og kjøpe varer og tjenester i andres navn.

- Fødselsnummer brukes ennå som autentisering i noen nettbutikker og banker. Man kan blant annet printe ut et lånedokument, skrive under og sende det i posten tilbake til banken. Dermed unngår man elektronisk signatur, sier Ulsrud.

Nettavisen har fått tilgang til oppskriften på hvordan man finner fødselsnummeret og annen informasjon om privatpersoner.

Søke på fødselsnummer

Sentralt i oppskriften er generatorer på nett som regner ut ekte fødselsnummer.

- Vi fikk en liste med gyldige fødselsnummer (SSN) fra den kalkulatoren. Den lager bare gyldige SSN, men sier ingen ting om numrene er i bruk eller ikke. For å vaske fødselsnumrene, testet vi i nettbutikken for å se om vi fant noen personer. Vi brukte en stor og kjent norsk nettbutikk for å ha størst sjanse for å finne noen. Vi fikk treff etter cirka 30 forsøk, sier sikkerhetsansvarlig i bedriften som lagde den aktuelle oppskriften.

- Her er første problem. Det var ingen grense på antall forsøk å taste inn SSN. Vi kunne holde på i det uendelige. Vi gjorde det manuelt, men det tar maksimalt 30 minutter å lage et lite program som konstant mater inn SSN i det skjermbildet og tar vare på den maskerte informasjon. Da kan vi vaske flere SSN i sekundet, sier han.


Søke med maskert informasjon

Klikk på bildet for å forstørre.

MASKERT INFORMASJON: Vi matet maskert informasjon inn i Postens avanserte adressesøk. Som eksempel brukte undertegnede sin egen adresse. Husnummeret er fjernet av Nettavisen.

Når de traff riktig med fødselsnummeret, fikk de opp en profil med maskert informasjon, der navn, adresse, e-post og telefonnummer knyttes til fødselsnummeret. Denne informasjonen er altså maskert. Denne journalistens navn vil skrives som K*** M*** i maskert form.

Noen søkesider lar deg søke med maskert informasjon. De søkte med adresse, postnummer og sted, og begrenset for alternative eiere av fødselsnummeret. Avansert adressesøk på Posten Norge var blant søkestedene som tillot maskert informasjon. Posten vil nå fjerne denne muligheten. Les mer lenger nede i saken.

Deretter begrenset de antallet enda mer, ved å søke opp aktuelle adresser fra adressesøket, og sammenlignet telefonnumre med det maskerte nummeret i profilen.

Klikk på bildet for å forstørre.

FIKK FÅ ALTERNATIVER: Den maskerte informasjonen ga noen få alternativer. Igjen, har Nettavisen fjernet husnummeret.

Ville sjekke sikkerhet

Sikkerhetssjefen forteller Nettavisen at de lagde oppskriften for å undersøke hvor balansen mellom sikkerhet og brukervennlighet skulle gå i deres egne tjenester.

- Vi gjorde dette fordi vi hadde en diskusjon internt om maskering (av personinformasjon), med referanse til hva en av våre konkurrenter gjorde. Vi ville se hva andre i markedet gjorde for å få en pekepinn på «hvor landet ligger», sier den sikkerhetsansvarlige.

Han forteller at de ble overrasket over at man fikk treff på profiler med tilfeldig genererte fødselsnumre.

- Vi ble overrasket over å få treff etter 30 forsøk, var det virkelig så lett? Så brukte vi samme verktøy, NN og YY (anonymiserte søkesteder som f.eks Postens adressesøk) og etter 6 min visste vi hvem som var maskert, sier han.

Posten fjerner muligheten

Posten har fjernet muligheten for denne typen søk, og Nettavisen kan derfor navngi et av søkestedene som ble brukt. Vi gjør dette for å vise at svært mye brukte søkesteder også kan brukes av svindlere.

Klikk på bildet for å forstørre.

POSTEN : Elisabeth Gjølme er konserndirektør i Konsernkommunikasjon i Posten Norge. Foto: Birger Morken (Posten Norge)

- Vårt adressesøk er bygget for å bedre adressekvaliteten i både Postens egne systemer og ikke minst hos våre kunder. Avansert søk er en viktig del av adressesøket. Vi ser allikevel, som Nettavisen påpeker, at når man kan utføre så avanserte søk så kan dette også benyttes i andre og ikke hederlige hensikter, sier kommunikasjonsdirektør Elisabeth H. Gjølme til Nettavisen.

- Posten ønsker ikke å bidra til dette og vil derfor inntil videre ta bort mulighet for avansert adressesøk for å gjøre nødvendige tilpasninger i dette søket, sier hun.

Problemet med fødselsnummeret

Norske fødselsnumre er utregnet ved hjelp av en algoritme. Nettavisen har forsøkt å komme i kontakt med driverne av en slik, uten å lykkes. «Ditt fødselsnummer er egentlig ikke en hemmelighet» står det blant annet på hjemmesiden.

Klikk på bildet for å forstørre.

SKATTEETATEN: Svein Mobakken er sikkerhetssjef i Skatteetaten. Foto: (Skatteetaten)

- Vi er klar over at algoritmen for å bygge opp et lovlig fødselsnummer er kjent og tilgjengelig på nett. Vi er også kjent med at det finnes fødselsnummergeneratorer som programmere dette, sier Skatteetatens sikkerhetssjef Svein Mobakken.

- Det er viktig at tjenester settes opp til å være motstandsdyktige mot dette, sier Mobakken.

Han påpeker at tjenester ikke må bruke fødselsnummer alene som nøkkel ved pålogging til tjenester eller ved automatisk uthenting av informasjon fra tjenester, men at det må være krav til tilleggsinformasjon eller flerfasepålogging.

Mobakken understreker også viktigheten av at tjenester ikke gir feilmelding hvis et mulig fødselsnummer ikke er i bruk, slik at man ikke hjelper potensielle svindlere å skille brukte fra ubrukte fødselsnumre.

Diskutert tilfeldig fødselsnummer

Ulsrud i NorSIS sier at dette ikke hadde vært et stort problem hvis fødselsnummeret bare var ditt navn i tall. Problemet er at fødselsnummeret ikke bare brukes til identifisering men også til autentisering.

- Enda flere virksomheter må bruke pålogging eller signeringsløsning med flere trinn, altså hvor man både identifiserer seg og autentiserer seg slik du må gjøre et hvert sted hvor du eksempelvis logger deg inn med BankID, sier han.

Ulsrud sier at ulike offentlige instanser også har diskutert en helt ny fødselsnummer-rekke som ikke er knyttet til person på samme måte som i dag (i dag kan fødselsdato, kjønn og fødested leses i nummeret), men at hver person ville fått utdelt et helt vilkårlig nummer.

Nettavisen ønsker en åpen og levende debatt.

Her kan du enkelt bidra med din mening.