Flere banker sender ukritisk nye nøglekort uden at tjekke ID på den, der bestiller. Foto: Jonas Vandall Ørtvig/Ritzau Scanpix

Banker sjusker med nøglekort: Åbner for "ultimativt ID-tyveri"

29. nov 2019
Ingeniøren-rundringning dokumenterer, at flere banker ukritisk sender nye nøglekort uden at tjekke ID på den, der bestiller. Ung dansker måtte betale prisen: 270.000 kroner.

Den 29-årige lærer Ronja Larsen blev for nylig svindlet for 270.000 kroner, fordi hendes bank, Arbejdernes Landsbank, ukritisk havde sendt et nyt NemID-nøglekort, da svindlere ringede og udgav sig for at være hende, skriver Ingeniøren.

Derefter fiskede svindlerne nøglekortet op af postkassen før Ronja Larsen selv og loggede ind på netbanken med hendes kode til NemID, som de havde stjålet ad andre veje.

Og Ronja Larsens historie er ikke et enestående eksempel. Ifølge finanssektorens brancheorganisation, Finans Danmark, har mindst fem andre oplevet det samme i år, og sidste år var der ‘endnu flere’, skriver organisationen, der ikke ønsker at stille op til interview, i en e-mail til Ingeniøren.

Efterfølgende har Ingeniøren med en række kunders vidende ringet til Arbejdernes Landsbank og fem andre danske banker for at bestille nye nøglekort. Arbejdernes Landsbank sendte et nyt nøglekort, så snart Ingeniøren opgav et CPR-nummer. Også Jutlander Bank sender gerne nyt nøglekort, hvis den får et CPR-nummer.

Tilmeld dig nyhedsbrevet fra A4 Nu her

Endnu værre ser det ud for kunder hos Sydbank og Merkur Sparekasse, der sendte nye nøglekort hjem til kunderne, uden at Ingeniøren behøvede at opgive en adresse. Den oplyste bankerne selv i telefonen. Dermed fik eventuelle svindlere at vide, hvor de skulle fiske det nye nøglekort op af postkassen.

Bankernes lemfældige omgang med kundernes NemID-nøglekort sætter – hvis den misbruges – den ekstra såkaldte tofaktor-identifikation ud af funktion. Det gør det enklere for it-kyndige svindlere at overtage deres ofres identitet.

- Hvis man overtager NemID, har man begået det ultimative identitetstyveri i Danmark, siger Jacob Herbst, medejer af sikkerhedsfirmaet Dubex, og opfordrer samtidig til at kigge sikkerheden i NemID efter i sømmene med henblik på en opdatering.

De fire banker, som ukritisk sendte nøglekort, understreger alle over for Ingeniøren, at det strider imod deres retningslinjer. Arbejdernes Landsbank erkender "ikke at have udvist tilstrækkelig omhu og agtpågivenhed" i Ronja Larsens sag, og hun har fået erstattet sit tab.