Gå til hovedindhold
Version2 it for professionelle
Forsiden

Hovedmenu

  • It-nyheder
  • Blogs
  • It-job
  • It-firmaer
  • Emner
  • Opret bruger
  • Log ind
Emner Phishing, Datakriminalitet

Sikkerheden i kvotehandel dumper: 'Dømt til at gå galt'

Det måtte gå galt, siger sikkerhedseksperter, efter at hackere ved et phishing-angreb har skaffet sig adgang til at handle med CO2-kvoter på andres vegne. Alle e-mail-adresser på de tilmeldte skal nemlig være offentligt tilgængelige.

Af Mandag, 8. februar 2010 - 8:16

Den europæiske handel med CO2-kvoter er et skoleeksempel på, hvordan sikkerheden ikke skal opbygges.

Sådan lyder det fra sikkerhedseksperten Peter Kruse, CSIS Security Group, efter at det register, som virksomhederne skal registreres i for at handle med CO2-kvoter, har været udsat for angreb.

Peter Kruses reaktion skyldes, at EU stiller som krav til registrene, at e-mail-adresserne på de registrerede skal være offentligt tilgængelige.

»Det har været meget nemt at udnytte til at spear-phishingangreb. Bagmændene har vidst, nøjagtig hvem de skulle gå efter, og de har ikke behøvet at udsende hundredtusindvis af spammails, som let bliver opdaget,« siger Peter Kruse.

»Hvis man blotlægger kunder på den måde, og der er tale om, at registreret kan misbruges til økonomisk kriminalitet, så vil det også blive det,« tilføjer han.

Startede på dansk fupside

Det var netop, hvad der skete i denne uge. Ifølge flere internationale medier blev registrerede klimahandlere snydt for i alt 21 millioner kroner af svindlerne.

Det hele startede med et phishing-angreb i Danmark i januar. Svindlerne oprettede hjemmesiden kvotehandel-ens.dk. Energistyrelsen, som driver det danske kvoteregister, forkorter sig ens, blandt andet i sin internetadresse.

Alle registrerede i det danske kvoteregister blev bedt om at gå ind på fup-siden, som forsøgte at få installeret en bagdør med en keylogger på deres pc. Senere har svindlerne trukket nøglefilen ud, så de har kunnet handle via registreret.

Ifølge kontorchef Anna-Grethe Hjortkjær, Energistyrelsen, blev handlen med CO2-kvoter dengang suspenderet. Hun kender ikke til, at nogle i det danske register blev snydt.

Men i forrige uge blev phishing-angrebet gentaget i en række andre europæiske lande, hvor svindlerne have mere held med sig. Selv om handlen igen blev suspenderet, lykkedes det ifølge medierne at narre penge fra intetanende købere af CO2-kvoter.

De offentligt tilgængelige e-mail-adresser er ifølge Anna-Grethe Hjortkjær et EU-lovkrav.

Hvor hensigtsmæssigt er det?

»Det tyder på, at det ikke er særligt hensigtsmæssigt, og det er noget, som der er fokus på nu,« siger hun.

Det udtrykker Peter Kruse noget stærkere.

»Det er brandærgerligt. Det er nødt til at blive lavet om. Man må bare sige, at vi er i 2010, og så må myndighederne finde ud af, hvordan de skal håndtere det,« siger han.

Ingen mulighed for at spore pengene

Ifølge Anna-Grethe Hjortkjær har kvoteregistrene ingen mulighed for at tilbageføre kvoterne til de sælgere, som måtte være lagt ned af svindlerne.

Det er heller ikke muligt at efterspore pengetransaktionerne. Selve pengeoverførslen sker nemlig ikke via registret. Den aftaler køber og sælger direkte, ligesom al kommunikation foregår direkte mellem parterne.

Derfor har det danske energiselskab Dong sikret sig mod at blive snydt ved at indgå rammeaftaler med handelspartnere, som er gennemgået af begge selskabers juridiske afdelinger, fortæller Frank Rasmussen, chef for kvotehandlen.

Netbank-hackere bliver sporet ved at følge pengene

Det er ifølge Peter Kruse den rigtige måde at gøre det på.

»Men mindre spillere ville ikke ane, hvordan de skal gøre det. Derfor er der en masse, som kommer til at betale nogle rigtigt dumme lærepenge,« siger han.

Ifølge Peter Kruse burde kontrollen med pengeoverførslen være en del af systemet.

»I mange af de sager, hvor danske netbanker er blevet hacket, har det kunnet spores, hvor pengene er forsvundet,« påpeger han.

»På kvotehandelsregistret kan man udgive sig for hvem som helst, og betalingen kan ske ved fuldstændig vilkårlig pengetransaktion. Derfor er det meget let at sløre,« fortsætter han.

»Derfor burde også kvotehandlen sikre, at parterne benytter fastkodede kontonumre og transaktioner,« vurderer Peter Kruse.

Han mener, at det samlede setup gør kvotehandlen til et åbenlyst mål for svindlere, og næsten dømt til at blive udnyttet, så snart nogen har fået øje på svaghederne.

Der bliver hvert år handlet CO2-kvoter for milliarder af kroner. Kvoterne udgør tilladelser til at udlede CO2, som nogle virksomheder, herunder kraftværker, hvis udslip er reguleret, har behov for. Kvoterne stammer enten fra selskaber, der ikke selv har benyttet deres kvoter, eller fra CO2-reducerende projekter i ulande eller Østeuropa.

Send Tweet
Udskriv

IT-job & karriere

  • Se alle it-job
  • Importer din kompetenceprofil fra LinkedIn
SAP BusinessObjects Business Intelligence Specialist/Arkitekt
Udgivet 26. okt 2011 15.53
Systemudvikler
Udgivet 6. feb 16.40
Management Consultant
Udgivet 14. okt 2011 12.49
SharePoint 2007/2010 udviklere
Udgivet 16. jun 2011 14.28

Tilføj kommentar

Opret en konto eller log ind for at følge indhold på Version2 - og bliv opdateret via e-mail eller rss

Følg kommentarer
Log ind herunder eller opret en bruger for at skrive kommentarer
Du kan logge ind med din e-mail-adresse
Der er forskel på store og små bogstaver i adgangskoden.
Glemt adgangskode?

Seneste nyt

Domæne-forening: Lov om .aarhus og .cph var for tynd

Udgivet 8. feb 16.16Opdateret 8. feb 16.16

Sygeplejerskers dobbeltindtastning af data bliver til 12,5 mio. timer ved pc'en årligt

Udgivet 8. feb 15.45Opdateret 8. feb 15.45

Dansk spil-indmad i LG's nye tv-apparater

Udgivet 8. feb 15.06Opdateret 8. feb 15.06

TDC fyrer CSC

Udgivet 8. feb 14.26Opdateret 8. feb 15.10

Version2's læsere forudså Polsag-kollaps

Udgivet 8. feb 13.48Opdateret 8. feb 13.48
Flere it-nyheder »
Få it-nyheder og blogs hver dag med Version2's nyhedsbrev.

Seneste debat

  1. XBMC på fit-PC3

    18 comments.
    Last update 1 time 22 minutter
    Skrevet af Peter Toft
  2. Anonyme kilder tæt på Polsag: Derfor gik det helt galt

    23 comments.
    Last update 2 timer 10 minutter
    Skrevet af Nikolaj Brinch Jørgensen
  3. Stop SOPA, PIPA, ACTA, TPP og alle dem der kommer efter

    34 comments.
    Last update 2 timer 46 minutter
    Skrevet af Nikolaj Brinch Jørgensen
  4. Nyt værktøj knækker diskkryptering på Mac og Windows på under én time

    6 comments.
    Last update 2 timer 59 minutter
    Skrevet af Thomas Bundgaard
  5. 500.000.000.000 kr. for Facebook er ikke dyrt

    10 comments.
    Last update 3 timer 2 minutter
    Skrevet af Nikolaj Brinch Jørgensen
  6. SF'er til ACTA-kritikere: Jeg har vundet kampen for jer

    23 comments.
    Last update 3 timer 48 minutter
    Skrevet af Peter Makholm
  7. Sygeplejerskers dobbeltindtastning af data bliver til 12,5 mio. timer ved pc'en årligt

    3 comments.
    Last update 3 timer 56 minutter
    Skrevet af Thomas Hansen
  8. It-advokat: Nu går grænsebommene ned over internettet

    2 comments.
    Last update 4 timer 32 minutter
    Skrevet af Peter Mogensen
Mere debat »

Information

  • Kontakt redaktionen
  • Job- og annoncesalg
  • Teknisk support
  • Om Version2
  • Brugerbetingelser
  • Privatlivspolitik

Aktuelle emner

  • Agil udvikling
  • Android
  • Bruttolønsordning
  • Business Intelligence
  • Cloud computing
  • Digitaliseringsstyrelsen
  • HTML5
  • Harddisk-priser
  • IE9
  • Intranet
  • It-sikkerhed
  • Kindle Fire
  • Multimedieskat
  • NemID
  • OS X Lion
  • Open source CMS
  • Projektledelse
  • Scrum
  • Sharepoint intranet
  • Storage
  • Ubuntu 11.10
  • Virtualisering
  • Windows 8
  • Windows Phone 7
  • iOS 5
  • iPhone 4S

Tjenester

  • Android-app
  • iPhone-app
  • RSS-feeds
Følg @version2dk
Få it-nyheder og blogs hver dag med Version2's nyhedsbrev.

Version2 udgives af

  • Mediehuset Ingeniøren A/S work Skelbækgade 4 1717 København V
  • Tlf. work 33265300