Biblioteker over hele landet har været udsat kriminalitet, hvor gerningsmænd ulovligt har installeret overvågningsudstyr på computere, som bibliotekernes gæster kan benytte.
I løbet af de sidste fem år har mindst 46 biblioteker indgået i sager om NemID-svindel med overvågningsudstyret keylogger. Det viser en kortlægning, som DR har gennemført.
- Det er et overraskende stort tal, og det er foregået over mange år. Der har tydeligvis været en mangel på erkendelse af problemet ude i kommunerne, og der er tale om et meget stort svigt, siger Jan Pries-Heje, der er professor i Informatik og Datalogi på Roskilde Universitet.
Gemte tastetryk fra en keylogger kan misbruges til at opsnappe CPR-numre og fortrolige koder til NemID. Og med de oplysninger har gerningsmænd i flere sager været i stand til at lænse uskyldige ofres bankkonti eller optage lån i ofrenes navne.
DR har fået aktindsigt i dokumenter og domme fra flere sager om databedrageri. Materialet fastslår, at der er blevet installeret keyloggere på 23 biblioteker i årene fra 2015 til 2018.
Derudover er yderligere 23 biblioteker en del af aktuelle sager om svindel med keyloggere og NemID. Sager, som Østjyllands Politi i øjeblikket kigger på. Det viser DR’s oplysninger og DR’s rundringning til en række af de involverede biblioteker.
Professor Jan Pries-Heje er skuffet over kommunerne, som har ansvaret for bibliotekerne.
- Altså, så svært er det ikke at konstatere, om der er sat en keylocker på af den ene eller den anden type, siger han.
Det er lovpligtigt for biblioteker at stille computere til rådighed til bibliotekets brugere. Derfor skal kommunerne ifølge Jan Pries-Heje sikre, at sikkerheden er i orden.
- Borgerne skal trygt kunne gå på biblioteket og lave deres pengesager, hvis ikke de har en computer selv, siger han.
Samme vurdering har Frederik Waage, der er professor i forvaltningsret på Syddansk Universitet.
- Når man tvinger folk til at bruge NemID, må man også sørge for, at de kan gøre det sikkert, siger han.
Brødre dømt for hacking med keyloggere
DR afslørede i søndags, hvordan to dansk-somaliske brødre med en terrordom har spillet centrale roller i en omfattende sag om svindel med NemID. Her har de netop benyttet keyloggere som redskab til at udføre svindlen.
De to brødre blev i 2019 dømt for at have installeret keyloggere på 11 forskellige biblioteker i årene 2016 og 2017.
Brødrene fik henholdsvis 3,5 og 5 års fængsel for ”databedrageri af særlig grov beskaffenhed” og blev dømt for at have svindlet eller for at have forsøgt at svindle ofre for otte millioner kroner.
Det fremgår af dommen fra 2019, at brødrene havde fået adgang til ofres konti ved, at de via keyloggere installeret på biblioteker havde fået fingere i brugernavne og adgangskoder til ofres NemID.
I overvågningsvideoen her fra Horsens Bibliotek ses den yngste bror igang med at installere end keylogger på en bibliotekscomputer i 2016.
Keylogger fundet på Middelfart Bibliotek
Middelfart Bibliotek på Fyn er et af de biblioteker, der har været ramt af de terrordømte brødres svindel.
I foråret 2017 installerede den yngste af brødrene ulovligt keyloggere på biblioteket. Det fremgår af videoovervågning fra biblioteket.
På Middelfart Bibliotek opdagede en it-medarbejder keyloggerne. Det fortæller Charlotte Pedersen, der er kultur- og biblioteksleder i Middelfart Kommune.
It-medarbejderens fund betød, at keyloggerne blev fjernet, inden den yngste bror vendte tilbage for at hente keyloggerne. Og så vidt biblioteket ved, var der derfor ikke nogen biblioteksgæster, der nåede at få misbrugt oplysninger, de havde tastet ind på computerne.
I retten forklarede den yngste bror i 2019, at det var hans storebror, der bad ham om at installere keyloggerne. Det erkendte den ældste bror, og begge brødre blev derfor dømt for at installere keyloggerne på Middelfart Bibliotek.
Lillebror sigtet for ny svindel med NemID
Den yngste af de terrordømte brødre er nu sigtet for at have ”en fremtrædende rolle” i en ny sag fra i år om svindel med keyloggere og NemID.
Han blev anholdt i juni måned sammen med en gruppering på 10 andre mænd. De blev alle sigtet for groft databedrageri.
Den type svindel, som gruppen er sigtet for, er ifølge DR’s oplysninger foregået ud fra stort set samme metode, som de terrordømte brødre brugte til at udføre NemID-svindel i 2016 og 2017. Igen har bibliotekscomputere været det sted, hvor grupperingen gennem keyloggere har fået fat i ofrenes NemID-oplysninger.
Gruppen har ifølge DR’s oplysninger svindlet danskere for et tocifret millionbeløb, og over hundrede ofre fra hele landet indgår i sagen.
"Kæmpestor kreativitet"
Charlotte Pedersen, kultur- og bibliotekschef i Middelfart Kommune, fortæller, at kommunen er i gang med at øge sikkerheden på Middelfarts biblioteker. Men hun siger samtidig, at de kriminelle kan være svære modstandere at være oppe imod:
- Der er en kæmpestor kreativitet hos dem, der vil snyde, der rækker ud over, hvad vi kan opdage.
Samme budskab har Kommunernes Landsforening (KL), der er interesseorganisation for landets 98 kommuner.
Her siger direktør Christian Harsløf, at det er "rigtig skidt" og "superuheldigt", at danskere er blevet svindlet efter at have fået hacket personlige NemID-oplysninger på bibliotekscomputere.
- Det svækker tilliden til de her pc’er og til, at man kan bruge dem trygt. Det vidner den her historie jo om. Vi ville ønske, at det aldrig var sket, men vi er ofre for kriminelle handlinger, og det er udspekulerede bagmænd, som er teknisk dygtige til at lave de her indbrud. Det er der så nogle danskere, der lider under, og det er rigtig ærgerligt, siger han.
Uanset hvor udspekulerede de kriminelle er, er det vel jeres ansvar at sikre bibliotekerne alligevel?
- Ja. Og vi gør alt, vi overhovedet kan for at sikre, at de huller, vi oplever, bliver lukket. Vi arbejder sammen med Rigspolitiet og nogle af de dygtigste folk i landet på at få lukket de her huller, sådan at man kan bruge de pc’er med tryghed til systemet.
Eksperter siger, at kommunerne har svigtet opgaven med at gøre det her forsvarligt. Hvad siger du til det?
- Jeg ved ikke, hvem de eksperter er, så det må stå for deres regning. Jeg kan bare sige, at det her er en opgave, man fra kommunal side tager meget alvorligt, fordi der er så mange ting i den offentlige sektor, som tilgås digitalt i dag.
- Det vil sige, at hvis der er borgere, der ikke har en pc derhjemme, skal de kunne få adgang til den på borgerservice eller biblioteket. Det er vigtigt for os, og derfor skal vi selvfølgelig arbejde med sikkerheden.
Hvornår får I styr på det?
- Det går aldrig over det her arbejde. Vi kommer hele tiden til at skulle forfine vores it-sikkerhed i kommunerne. Det er jo, fordi de it-kriminelle bliver dygtigere og dygtigere. Så der vil hele tiden være behov for, at vi bliver dygtigere og dygtigere og arbejder mere og mere med sikkerheden på det her område, siger Christian Harsløf.
Gode råd
I guiden her kan du se, hvordan du kan beskytte dig mod NemID-svindel.
Hvis du er bekymret, fordi du har brugt dit NemID på et bibliotek, har it-ekspert Christian Heinel fra virksomheden Cisco de her råd:
- Du skal som det første tjekke, om der er forsøg på login med dit NemID, som du ikke selv har foretaget via www.nemid.nu.
- Dernæst kan du ændre dit brugernavn til noget andet end dit CPR nummer, hvis det ikke er det i forvejen. Og som det vigtigste skrifte din adgangskode til NemID. Disse tiltag bør altid foretages fra en PC eller mobilenhed, som er din egen, eller som tilhører en, du stoler på.