- Vi har da for helvede ikke købt en Audi!
Johan fra Aalborg har stadig bitre minder om den dag i foråret 2017, hvor han kom hjem fra arbejde. Her overhørte han, hvordan hans hustru med stigende desperation i stemmen forsøgte at forklare parrets bank, at parret ikke havde brugt flere hundrede tusinde kroner på et bilkøb.
De første antydninger af, at der kunne være noget galt, kom nogle timer inden samtalen med banken. Johan havde pludselig ikke længere noget signal på sin mobil.
- Det lagde jeg ikke rigtig noget i. Men da jeg hørte min hustru skændes med banken få timer senere samme dag, lagde jeg to og to sammen, fortæller Johan.
Senere stod det klart, at Johan og hans hustru havde været ofre for et svindelangreb. Ved hjælp af en falsk fuldmagt havde kriminelle overtaget kontrollen med Johans mobiltelefon.
Og i 2019 blev to dansk-somaliske brødre, der havde en terrordom på straffeattesten, dømt for at have skaffet sig adgang til Johans konti.
Trukket til max på kassekreditten
Af dommen fremgår det, at de to terrordømte brødre på ulovlig vis svindlede sig adgang til brugernavnet og adgangskoden til Johans NemID.
De fortrolige oplysninger fik brødrene gennem en keylogger, der var installeret på en computer på Haraldslund Bibliotek i Aalborg. En computer, Johan havde benyttet.
De terrordømte brødre brugte brugernavnet og adgangskoden til at dræne Aalborg-parrets konti. Johan fortæller, at både de personlige konti, firmakontoen, omprioriteringskontoen og opsparingskontoen blev tømt:
- Alle vores konti var trukket til max på kassekreditten. Der var blevet hævet beløb og skrevet ”ferie” eller ”fest” i tekstfeltet. Det var på den anden side af 400.000 kroner, der i alt var hævet. Vores aktier blev også solgt.
Biblioteker ramt flere gange
Johan er en af mange danskere, der har oplevet at få stjålet dybt personlige oplysninger efter at have anvendt computere på et bibliotek.
En kortlægning, som DR har foretaget, viser, at 46 biblioteker over hele landet de seneste fem år har været en del af sager om NemID-svindel med keyloggere.
Kortlægningen, der blandt andet er baseret på aktindsigter og domme, viser også, at biblioteker i de fem kommuner - Aalborg, Gladsaxe, Herlev, København og Odense - har været udsat for angreb it-flere med keyloggere flere gange med års mellemrum.
Haraldslund Bibliotek i Aalborg, som Johan benyttede, blev udsat for, at der ulovligt blev installeret keyloggere på bibliotekets computere i 2017. Det var som følge af det, at Johans fortrolige NemID-oplysninger blev hacket.
Efterfølgende har tre biblioteker i Aalborg Kommune ifølge DR’s oplysninger ulovligt fået installeret keyloggere af kriminelle. Det er sket i 2019 eller 2020 som en del af en ny sag om organiseret svindel med NemID. En sag, som Østjyllands Politi efterforsker.
11 mænd blev i juni anholdt i sagen og sigtet for databedrageri af særlig grov beskaffenhed. En af de 11 mænd er den yngste af de terrordømte brødre, der i 2019 blev dømt for at have skaffet sig adgang til Johans konto og tømt den for næsten 400.000 kroner.
Gruppens metode har ifølge DR’s oplysninger været stort set identisk med den metode, som de to terrordømte brødre benyttede i den svindelsag, de blev dømt for i 2019.
- Man skal da lære af sine fejl
To eksperter har sammen med DR set materiale i sagen igennem. På den baggrund retter de kritik mod de fem kommuner, som huser biblioteker med computere, der flere gange har fået installeret keyloggere.
- Man skal da lære af sine fejl. Det er menneskeligt at fejle, men det er tåbeligt at gentage det. Og det ser ud til at være gentagelsestilfælde her, siger Jan Pries-Heje, der er professor i Informatik og Datalogi på Roskilde Universitet
- Så svært er det ikke at konstatere, om der er sat en keylogger på af den ene eller den anden type, uddyber han.
Kommunerne har forsømt at beskytte borgerne, vurderer Frederik Waage, der er professor i forvaltningsret ved Juridisk Institut på Syddansk Universitet.
- Der er en handlepligt. En pligt til at gribe ind, hvis borgerne har risiko for tab. Den ansvarlige minister må være opmærksom på det her og må se at få samlet op, han.
Biblioteker har fået fem advarsler
DR kunne i går også fortælle, at Aalborg, Gladsaxe, København, Herlev og Odense og resten af landets 98 kommuner mindst fem gange siden 2016 er blevet advaret om svindel med keyloggere på bibliotekscomputere.
Men advarslerne har ifølge DR’s oplysninger ikke forhindret, at kriminelle fortsat installerer keyloggere på biblioteker.
Så sent som i år har der ifølge DR’s oplysninger været adskillige hackerangreb på biblioteker med keyloggere. Det er sket som en del af den sag om NemID-svindel, som de 11 mænd blev sigtet i tilbage i juni.
- Man kan da undre sig over, at hvis man er opmærksom på problemet, hvorfor har man så ikke stoppet det? Du kan jo godt placere en keylogger i dag på et bibliotek, siger Frederik Waage.
Han vurderer, at ofrene står til at kunne få erstatning af det offentlige for deres tab.
- Hvis borgere har oplevet, at deres NemID er blevet misbrugt, fordi de har været på biblioteket, og oplysningerne er blevet afluret ved hjælp af en keylocker, vil de kunne anlægge et erstatningssøgsmål mod det offentlige.
- De vil kunne gøre gældende, at de burde være blevet advaret mod det her, siger Frederik Waage.
Løber hjem for at tjekke netbanken
For Johan i Aalborg har svindelsagen sat sig dybe spor. Banken har erstattet hans og hustruens store tab, men Johan frygter, at han igen får lænset sine bankkonti:
- Det er noget af det værste, jeg har oplevet i mit liv, og der sidder stadig en rest paranoia i mig.
- Hvis jeg løber en tur og opdager, at jeg et kort øjeblik ikke har nogen dækning på mobilen, tænker jeg straks: ‘Nu er min bankkonto i fare igen’. Flere gange er jeg løbet hjem for at tjekke netbanken.
Johan finder det bekymrende, at biblioteker i Aalborg har været udsat for angreb med keyloggere igen, efter det keyloggerangreb i 2017 han selv var indblandet i.
- Jeg kommer aldrig til at bruge en computer på et bibliotek igen.
Aalborg: Vi har lukket for adgang til USB-porte
DR har været i kontakt med de fem kommuner, der har biblioteker, der gentagne gange har været en del af sager om NemID-svindel med keyloggere.
I Aalborg Kommune oplyser bibliotekschef Kirsten Boelt, at kommunen har arbejdet intensivt på at højne sikkerheden. Hun betegner det som ’frygteligt ærgerligt’, at kommunen alligevel har oplevet et sikkerhedsbrud i den nye sag.
- I den sag, der verserer nu, og som stadig efterforskes, har gerningsmændene brugt en anden metode end den tidligere. Da vi blev gjort opmærksomme på sagen, satte vi yderligere initiativer i gang. Vi har lukket helt for adgang til USB-porte. Vi har implementeret metoder til at afsløre, om vores keyboards har været skilt ad. Og flere initiativer, som vi ikke vil afsløre offentligt, siger hun.
København har lukket for computeradgang
Københavns Kommune bekræfter, at flere af kommunens biblioteker har været ramt over to omgange.
- I den seneste sag har de kriminelle tilsyneladende anvendt en ny fremgangsmåde og har udskiftet bibliotekets tastaturer med identiske tastaturer med indbyggede keyloggere, oplyser kommunen i et skriftligt svar til DR.
Som konsekvens af fundet af tastaturer med indbyggede keyloggere har kommunen valgt at lukke for adgangen til computere på alle Københavns biblioteker og arbejder på mere sikre løsninger.
Også Herlev Kommune har ifølge DR’s oplysninger valgt at lukke for, at biblioteksgæster kan benytte bibliotekets computere, men kommunen har ikke ønsket at stille op til et interview.
- Indbygget risiko for it-kriminalitet
Gladsaxe Kommune erkender, at biblioteks-computerne ’desværre har en indbygget risiko for, at vores borgere kan blive udsat for it-kriminalitet’, og har derfor reduceret antallet af computerne, som biblioteksbrugere kan benytte.
- Det er en vigtig service til de borgere, der ikke nødvendigvis har mulighed for at bruge en PC andre steder. Der er ikke mange andre steder at gå hen, så det vil vi som bibliotek gerne give dem mulighed for, skriver bibliotekschef Jakob Guillois Lærkes i et skriftligt svar.
Chef for Biblioteker og Borgerservice i Odense Kommune, Kent Skov Andreasen, har sendt DR et skriftligt svar. Her skriver han, at han har ”lidt svært ved at svare på”, hvor biblioteker i Odense er en del af flere sager om svindel med keyloggere.
Han oplyser, at kommunen har vanskeligt ved at forberede sig på nye metoder på kriminelle, og at kommunen ikke har haft ”fokus på indtrængen ad ’fordøren'”.
- Ikke mindst fordi vi netop ikke vil overvåge enkeltpersoner i det åbne miljø, som biblioteket er. Sikkerhedsspørgsmålet er selvfølgelig af højeste betydning, og jeg tænker, at alle skal sætte en procedure op i kommunalt regi, hvor der er den fornødne ekspertise til at tjekke udstyret løbende, siger Kent Skov Andreasen.
Trods de advarsler der er blevet sendt til bibliotekerne, mener Kent Skov Andreasen ikke, at bibliotekerne er blevet klædt godt nok på til at beskytte borgere mod it-svindel på biblioteket.
- I det hele taget har der været meget lidt hjælp eller information til os fra myndigheder eller eksterne eksperter om, at vi i det hele taget var i søgelyset. Heller ikke efter de seneste angreb har vi fået nogen information om, hvad tiltag vi kunne benytte.
Gode råd
I guiden her kan du se, hvordan du kan beskytte dig mod NemID-svindel.
Hvis du er bekymret, fordi du har brugt dit NemID på et bibliotek, har it-ekspert Christian Heinel fra virksomheden Cisco de her råd:
- Du skal som det første tjekke, om der er forsøg på login med dit NemID, som du ikke selv har foretaget via www.nemid.nu.
- Dernæst kan du ændre dit brugernavn til noget andet end dit CPR nummer, hvis det ikke er det i forvejen. Og som det vigtigste skrifte din adgangskode til NemID. Disse tiltag bør altid foretages fra en PC eller mobilenhed, som er din egen, eller som tilhører en, du stoler på.