Trojaner gik efter alle netbanker med NemID-login

Kræv IP nr låsning så hvis man er logget ind fra et ip nr kan et andet ip ikke logge ind samtidigt.

I ved lidt ligesom facebook der smidder en advarsel op hver gang du logger ind fra en ny ip og sender dig en mail om at en ny klient har logget ind på din facebook konto (bare med et fysisk brev isteded for en mail).

Hvis der så er et andet ip der forsøger bliver der udskrevet et brev som tilsendes kunden (hvor begge ip nr er påført) og alle transaktioner bliver sat escrow så de accepteres men gennemføres ikke før de godkendes af kunden. Når kunden så acceptere det gennemføres de med priotet, så betalingsdeadlines overholdes.

Desuden vil et krav om NemID ident ved ikke bare login men NemID ident ved handling og kort tidshorisont for at indtaste svarkoden (ie. send penge, søg lån, send besked, download pdf med fortrolig information). Så man skal være dum 2 gange i træk for at man faktisk bliver sårbar overfor konsekvenserne af man in the middle.

Nej det vil ikke gøre det umuligt men en hel del mere svært at gøre noget der er profitabelt.

Nu er det jo desværre ikke kun et bankproblem - hvis trojaneren ringer hjem til snydetampene hver gang Nem-ID bruges kan en bruger logge ind på skat.dk og medens han kigger på årsopgørelsen tømmer snydetampene hans bankkonto. Eller medens kunden er i netbanken bliver der oprettet et pantebrev i hans hus, hans personlige oplysninger/id stjålet eller noget som vi ikke lige har fantasi til at forudse endnu.

Jeg har ikke lært meget om statistik (synes det er ret langhåret), men min sunde fornuft undrer sig over at kun Danske Bank er blevet ramt hvis snydetampene har skudt med spredhagl. Godt nok er Danske Bank en af de store banker, men umiddelbart ville jeg tro at der også ville være en enkelt eller to andre banker med blandt de ramte.

Og tallet kan vel reelt være større end 8 ramte - når man ser hvor mange folk der ikke ønsker at få deres dankort kvitteringer fra butikkerne tænker jeg at det er meget få der afstemmer deres konto. Selv om snydetampene måske kun kan tage 500-1000 kroner fra en konto uden ejeren opdager det, bliver det også til en slags penge hvis man gør det ved 1000 kunder.

Og har alle med store beløb i banken mon opdaget at der har været snydetampe på spil i kongeriget, og efterfølgende tjekket deres konti?

I dette tilfælde havde angriberne jo en trojansk hest kørende på systemet, så de kunne helt trivielt have haft trojaneren til at agere proxy for dem og derved omgå en sådan kontrol.

Mon ikke vi kan regne med at de har kigget med på MANGE flere end de 8 konti og så har udvalgt de konti som der var penge på som kunne overføres.

Altså de har måske kigget med på 1000 konti og så har de valgt disse 8 fordi der var store pengebeløb som kunne flyttes og ladet alle "os andre" småfisk med begrænset kassekredit slippe fordi det ikke er døjet værd at flytte sølle 10.000 Kr.

Henrik Madsen

Det kunne jo være at det var danske bank hjemmesider der var inficeret og har givet det videre til brugerne.
Derfor kun Danske Bank kunder der er blevet rippet...

Tjah - det kunne da egentlig godt tænkes. Det er jo åbenbart en hemmelighed hvilken side der har haft hesten liggende, selv om det efter min mening ville være god fornuft i at melde ud hvor man kan være inficeret.

Hvis man låser IP, så opstår der et nyt problem. Så kan man målrettet gå after den enkelte.
Alle med fast IP bøvler lidt med det problem.
Min oplevelse, har i forbindelse med fast IÅ været, at jeg ikke selv har trafik over forbindelsen, for der er millioner der forsøger at sende et kodeord til adressen.
I realiteten er det et dos angreb, der skal bare ikke så meget til, for de enkelte vil opleve deres forbindelse / router, giver op ret hurtigt.
Er man uden fri trafik, skal man ligeledes slukke forbindelsen, hver gang man ikke er online. Og ja, jeg er f.eks. uden fri trafik.

Med de oplysninger der er kommet frem de sidste dage, må man satse på, at pengene der blev hugget i Danske Bank, kun var et statement.
Der blev simpelthen beskrevet at "vi er her".

Der er absolut intet, der garanterer, at man ikke fortsat er her, med flokke af andre trojanere.

NemID er kompromitteret, sandsynligvis gennem længere tid.
Derfor er det vigtigste stjålet for længe siden, altså oplysninger om alle.
Der er ikke kun tale om mulige kontosaldo. Det er alles identitet, der muligvis er stjålet. Hvilket fjerner grundlaget under den løsning, der pt. udgør fundamentet under det Digitale Samfund.

Der er som sådan kun en eneste løsning på problemet, og det er at trække stikket til NemID.

At sige til alle at de skal formatterer deres HD, er ikke en løsning, for selve NemID er kompromitteret, så det er hos NemID problemet ligger, og det er KUN hos NemID man kan fjerne det.

Det hjælper ikke et klap, at en bruger formatterer sin HD, når selve systemet omkring NemID fortsat er det svage led.
Man kan give en given bruger et nyt nøglekort, men man kan ikke vide om alle andre 3 millioner brugere er kompromitteret, evt. gennem andre ukendte trojanere som ikke hugger penge og derfor ikke bliver detekteret, så derfor er man nød til at slukke for NemID.

Dette scenarie, er DanID/Netz, og alle ansvarshavende politikere og embedsmænd gjort opmærksom på, for meget meget længe siden.

Man har negligeret dette scenarie med, at det var "teoretisk". Men det er det ikke mere, nu er det realiteterne.

Der ligger også noget i, at man har afvist enhver advarsel, fra alle ledende sikkerheds-virksomheder og specialister, i stor set hele verden.
Man har ikke på nogen måde lyttet, men henholdt sig til sin egen bedrevidende holdning.
Dette reducerer mulighederne for at finde hjælp, for ingen vil angribes på deres integritet, for efterfølgende at stille op på, at hjælpe de samme som lige har kaldt en selv for idiot.

DanID/Netz, de ansvarshavende embedsmænd og politikere, har i realiteten kun en meget lille kreds, hvor de kan søge efter og forlange løsning på NemID's udfordringer.
En væsentlig aktør i denne lille kreds, har selv været ude med et forsøg på at dæmme op for problemet. Der er fremstillet et lille program, som kan detekterer om man er angrebet, af en enkelt trojaner.
Der er dog kun tale om en enkelt trojaner, hvilket ikke udgør den samlede udfordring omkring NemID.
Der er heller ikke tale om, at man kan fjerne denne trojaner, kun at man kan detekterer at den eksisterer.

Jeg er også klar over, at der er store investeringer der er tabt, hvis man trækker stikket over for NemID løsningen.
Men det ER den eneste løsning.
Ellers er der fortsat tale om, at alle er udsat for de sårbarheder der ligger i NemID.

@Jakob Damkjær

IP låsning, jeg fár da bare trojanen til at fortage en proxy funktion - dvs det er din egen pc jeg bruger til at hacke dig med.

Ikke for at fornærme dig, men det er sådanne løsninger der har smidt os i den fadese der hedder NemID, nemlig "security by obscurity", og "tæt nok er godt nok"..

Men når designet er fudamentalt usikkert, kan man ikke lappe det.

vedr. skødesløse.

Jeg vil udfordre en hver, giv mig adgang til din maskine for nogle timer (som man har via en trojan), og jeg garantere for jeg kan sende dig via en hvilken-som-helst maskine i verden, uden at du aner det sker..

Nej det her er ikke et socialt problem, men et fundamentalt sikkerheds problem. Det er så nemt at omdirigere traffik på en maskine - MS har lavet nogle hacks der advarere når man ændre i en host-fil, men det virker ikke alle steder..

Vi skal holde op med at sige det var brugerens problem, fordi det er ikke brugerne der har fejlen, det er systemet, kunderne - uagtet hvor ansvarligt de opføre sig, kan ikke gardere sig over for denne slags angreb, pga fundamentale problemer i NemID's design.. Disse fundamentale problemer gør hele løsningen så ufattelig sårbar, at man næsten lige så godt kunne droppe passwords, og bruger navne.. (ja ja det er en overdrivelse), men faktisk giver systemet ikke væsentlig mere sikkerhed end en almindelig brugernavn/password, det er bare en smule mere besværligt, som det her forløb viser...

Bare en skam så mange gerne vil smide skylden på menneskerne, fordi man ikke vil anerkende at Danmark har vist sin inkompetence i denne sag. og man vil ikke anerkende at man godkendte et system, hvor man i forvejen var advaret at det var enormt dårligt strikket sammen.