Per Thorsheim fant sikkerhetshull som kunne skaffet kriminelle adgang til DNB-kunders bankkonto. – Jeg kunne sendt penger rett ut av landet om jeg ville, sier han.
En kveld i august logget Per Thorsheim seg inn i nettbanken til DNB. Ved første øyekast virket alt helt normalt, men da han klikket seg inn i en lite besøkt undermeny kunne han se at noen hadde fått kontroll over bankkontoen hans.
I nettbanken sto det at en ny person hadde blitt disponent for lønnskontoen. Denne personen fikk tilgang til ti år med transaksjonshistorie, kunne opprette nye betalingsavtaler på vegne av kontoeieren, og tappe kontoen for penger.
– Da disponenten gjorde to betalingstransaksjoner fra min konto og det stod at det var jeg som hadde gjort det – da fikk jeg sjokk, sier Thorsheim, en profilert på digital sikkerhet.
Heldigvis var dette ikke en ekte svindel. Sammen med tre venner hadde Thorsheim vist at det var mulig å misbruke DNBs papirskjema for disposisjonsfullmakt. Hadde kriminelle stått bak transaksjonene kunne det kostet ham dyrt.
Norske medier har en rekke ganger omtalt hvordan svindelofre kan stå tomhendt igjen om kriminelle får kontroll over bankkontoen deres med utspekulerte metoder. Derfor mener Thorsheim det er viktig å vise at norske bankers systemer kan utnyttes. Han mener terskelen bør være veldig høy for at bankkundene selv stilles til ansvar ved digital svindel.
Enkelt å skaffe kontrollopplysninger
Sikkerhetstesten avslørte at det var mulig å få tak i alle de nødvendige kontrollopplysningene i papirskjemaet ved bruk av kreative metoder.
En søndag morgen ringte en kompis DNBs kundeservice og utga seg for å være Thorsheim. Kompisen ringte med skjult telefonnummer og oppga at han var bakfull. Han trengte kontonummeret «sitt», men kom ikke på det i farta. Kunne DNB være behjelpelige?
Ifølge Thorsheim svarte kompisen feil på alle kontrollspørsmålene, men fikk likevel kontonummeret av DNB.
Fødselsnummer, som egentlig ikke er hemmelig i Norge, klarte de å oppdrive på en annen måte. En populær norsk nettbutikk tillot brukere å gjette seg til en persons fulle fødselsnummer. Det holdt å vite når personen ble født samt litt tålmodighet.
– Det er enklere å få tak i kontonummer og fødselsnummer enn folk flest tror. Folk behandler personnummeret som det skulle være en hemmelighet, men det har aldri vært meningen at det skulle være en hemmelighet, sier Thorsheim.
Et av de mest alvorlige funnene var at kontoeier ikke ble varslet om at noen hadde fått kontroll over bankkontoen. Thorsheim kontaktet DNB om funnene rett etter at testen var gjennomført.
– Jeg kunne sendt penger rett ut av landet om jeg ville, sier Thorsheim, som frykter fremgangsmåten kunne blitt brukt til å loppe bankkunder for millionbeløp.
Økt sikkerheten
De fleste av DNBs kunder oppretter disposisjonsfullmakt i selve nettbanken. Løsningen med papirskjema retter seg hovedsakelig mot eldre bankkunder og er mindre brukt.
– Den totale løsningen har blitt bedre i etterkant av disse funnene, sier Terje Fjeldvær, leder for bedrageriforebygging i DNB.
Fjeldvær forteller at DNB allerede hadde bestemt seg for å forbedre sikkerheten og rutinene knyttet til papirskjema for disposisjonsfullmakt, men at innspillene førte til konkrete forbedringer og økt tempo. DNB oppgir at de heller ikke har sett tegn på at løsningen slik den var har blitt utnyttet av kriminelle.
– Hadde DNB god nok sikkerhet da denne testen ble utført?
– Vi jobber kontinuerlig med å styrke sikkerheten i alle våre kanaler. Basert på at den er enda bedre nå, så tenker jeg at det i seg selv er en erkjennelse av at den kanskje ikke var god nok på det tidspunktet, sier Fjeldvær.
– Thorsheim frykter at man kunne tappet bankkontoer for millionbeløp om man hadde kjent til og utnyttet sårbarheten. Hva sier du om det?
– Hvis man får disposisjonsrett på en konto, har man mulighet til å gjennomføre betalinger fra den kontoen. Det er selvfølgelig begrenset av hva som er tilgjengelig på den kontoen, men man har full mulighet til å gjennomføre betalinger som disponent.
For å sikre at ondsinnede aktører ikke kan utnytte metodene som er omtalt i artikkelen har NRK ventet med å publisere. Vurderingen er gjort i samråd DNB og Thorsheim.
Jobber du selv som sikkerhetsforsker, har blitt utsatt for spesielle svindler eller har kommet over sårbarheter i digitale tjenester er vi interessert i å snakke med deg. Nå journalisten på telefon eller Signal (47 75 65 15) og epost (martin.gundersen@nrk.no).
Forbrukerspørsmål
Etter hvert som banktjenester har flyttet seg over på nett, har også svindelforsøkene det. En av de mest omtalte variantene kalles «Olga-svindelen». Der har svindlere over telefon lurt eldre kvinner til å oppgi innloggingsinformasjon til nettbanken. Slik har kvinnenes bankkontoer blitt tømt.
En av dem er Lillian Jensen (74) som ble svindlet for 340.000 kroner. I desember saksøkte hun Sparebank 1 Østlandet som nekter å erstatte beløpet.
Selv om Stortinget i fjor vedtok en lovendring som gjør det lettere for bankkunder å få erstatning i svindelsaker er Thorsheim likevel bekymret for svindelsofres situasjon. DNB har motsetning til Sparebank 1 valgt å dekke tapet for sine kunder som ble lurt ved Olga-svindel.
– Det er en David mot Goliat. Vi har en samlet bankbransje som har penger og advokater. Når kundene, forbrukerne, har blitt vurdert til å være grovt uaktsomme er det vanskelig for dem å få den nødvendige advokathjelpen og den tekniske ekspertisen for å bevise sin uskyld, sier Thorsheim.
Vil du lære mer om internett og teknologi?
Få en epost når vi publiserer det fyldige nyhetsbrevet vårt. Vi kommer aldri til å misbruke adressen din.
Ny test, ny glipp
I vår lanserte DNB et nytt og forbedret papirskjema for disposisjonsfullmakt. Da Thorsheim gjennomførte testen i august holdt det at to tilfeldige vitner skrev inn navn, fødselsnummer, adresse, og signatur. Nå stiller DNB strengere krav til hvem som kan være vitner og disse må også legge ved en kopi av gyldig legitimasjon.
Tidligere fikk verken disponent eller kontoeier varsel om at det var opprettet en disposisjonsfullmakt. Nå varsler DNB begge parter på sms. Om kundene ikke kan nås digitalt sendes varselet på brev.
Thorsheim valgte i vår å gjøre en ny sikkerhetstest for å sjekke hvor godt de nye rutinene fungerte. Det gjorde han ved å sende inn det gamle papirskjemaet. På ny fikk en disponent kontroll over bankkontoen hans.
Til sin forskrekkelse så Thorsheim at disponenten hadde fått tilgang før varselet ble sendt ut på sms.
– Denne tilbakemeldingen var verdifull, sier Kate Blichfeldt Andresen som er seksjonsleder i personmarked.
Andresen forteller at DNB hele tiden gjør en avveining mellom sikkerhet og å gjøre det enkelt for kundene. Basert på innspill fra Thorsheim har DNB gjort endringer som sikrer at kontoeier får varsel flere dager før disponent får tilgang til bankkontoen.
DNB vil også behandle det gamle skjemaet en stund fremover, men understreker overfor NRK at de snart vil fase det helt ut.
For ordens skyld: Torsheim ble nylig ansatt i Vipps. Selskapet eies av ti norske banker og har DNB som største eier.