20-årig dansker sigtet for databedrageri: Installerede malware på biblioteks computere

Man skal passe på, hvad man bruger offentlige computere til.

En 20-årig aarhusianer har fået 30 måneders fængsel for identitetstyveri af den groveste slags.

Den unge mand har ifølge stiften.dk installeret keyloggers på de lokale biblioteker. Dermed lykkedes det ham at lænse otte personers bankkonti for knap 1,8 millioner kroner.

Læs også: Beretning: To alvorlige cyberangreb mod Danmark i 2015 - det ene er hemmeligt

Keyloggers er forholdsvis simpel software, der registrerer alt, der indtastes på computeren. Efterfølgende har den unge mand kunnet forlade computeren og vente på, at en intetanende biblioteksbruger loggede på bibliotekets computer og brugte den til at logge ind på sin bankkonto, e-mail og så videre.

Læs også: Skilte keylogger kode ad og fandt frem til bagmands mail

På denne måde fik den unge mand adgang til både logins, kodeord og NemID-nøglekortoplysninger, som han kunne bruge til at hæve ofrenes penge.

Misbrugte identiteter

Derudover er den unge mand blevet dømt for at misbruge en af ofrenes identiteter, blandt andet til at optage lån for omkring 120.000 kroner. Han fik også udstedt et kreditkort i samme offers navn, som han nåede at hæve 55.000 kroner på.

Læs også: Sikkerhedseksperter kæder NSA-malware sammen med spiontrojaneren Regin

Det begyndte med identitetstyveri, hvorefter han tømte deres bankkonti, optog lån og i det hele taget havde fri adgang til at benyttes deres NemID, uden at de anede noget om det - før det var for sent.

Det er voldsomt groft, og der er også grunden til, at han får to et halvt års fængsel til direkte afsoning, siger anklager Rosa Pape.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (25)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Mette Nikander

Mangler der ikke lidt mere teknisk information. Den unge mand må have ladet banksessionerne som biblioteksbrugerne har etableret, stå åben, selv efter de har troet at de var lukket, for ellers har han jo manglet Nem ID koden, når han efterfølgende selv har skulle logge på?

  • 9
  • 0
René Nielsen

... Det tænker jeg slet ikke er nødvendigt.

Jeg gjorde mig de samme overvejelser ganske kort, men tænkte det var for omsonst.
Tiltrods for jeg slet ikke har erfaring i emnet, er jeg kommet frem til, at folk simpelthen opbevarer deres NemID på div. online platforme, f.eks. et billed i en gemt kladdemail på gmail?

Det desværre dumhed som dette, der gør det utrolig let for svindlere nu om dage.
Jeg kalder det 'dumhed', men synes egentlig det statens ansvar at sikre ordenlige løsninger til folket, hvor selv den dummeste forbruger ikke kan snyde sig selv.
En elektronisk kodehusker, som skifter hvert minut kunne afhjælpe sagerne meget.

Alternativet er der jo tale om, man disideret skal have hacket dem.
Set ud fra tallene givet og mængden der ramt samt sidste kommentar:" Fri adgang til deres NemID", er det usandsynligt der tale om andet end 8 x fejl-40.

  • 5
  • 1
René Nielsen

Hvorfor har biblioteket ikke IT-sikkerhedsmedarbejdere? Er det virkelig så umuligt at spore et tastetryk bliver logget? Jeg synes det en smule uhyggeligt, at når man sætter sig ved en offentlig tilgængelig PC, så der risiko for at "alle-forbipasserende" kan have fiflet med systemet.

Læsere der har kendskab til om div. gængse anti-vira burde have reageret og fanget loggeren samt om biblioteket overhovedet anvender den slags?

  • 1
  • 7
Mette Nikander

Det er muligt at overvåge, men det bør helst ikke være faciliteres, at der sker overvågning af hvert tastetryk en borger laver, så forsvinder deres privacy jo;-)

Det er som udgangspunkt ikke antivirusprogrammet, der skal stoppe det. Når installationen sker lokalt og ikke over nettet, er der snarere noget der tyder på at der har været lokale administratorrettigheder på enheden, hvilket er den første fejl. ....men som sagt, der mangler en del info i sagen, som jeg synes er vigtig for læseren at lære af....

  • 4
  • 1
Jacob Pind

mon ikke han har sendt det over en proxy, så ville han kunne mitm nemid, login ind i banken, sende papkorts forspørslen vidre til og lavet transaktionen med det beløb og konto han ville.
Der havde en chip-TAN løsning stoppet, der kommer der efter man i homebanke eller ligene har anført konto m.m en optiskkode på skærmen man skal holde sin lille chiptan læser op til og på dens display vis igen hvilken mængte penge og konto det er omhandler, i den læser er ens chipkort indført i og man trykker sin kode på den enhed og får en kode man skal skrive ind.
Mere omstænligt end papkortet jo bestemt, men to faktoren tingen er seperet fra computere, mobil m.m og der kan ikke udføres mitm mod det.
https://de.wikipedia.org/wiki/Transaktionsnummer#chipTAN_manuell.2FSm.40...

  • 0
  • 2
Henning Wangerin

Jeg synes det en smule uhyggeligt, at når man sætter sig ved en offentlig tilgængelig PC, så der risiko for at "alle-forbipasserende" kan have fiflet med systemet.

Helt enig.

Men er det ikke et faktum at den eneske computer du kan stole på, er en som du selv har kontrol over? Du har jo over hovedet ingen styr på hvad der er blevet installeret på maskinen af andre brugere eller for den skyld af admin.

/Henning

  • 7
  • 0
Mette Nikander

Might be at det er et man in the middle angreb (derfor skrev jeg i min første kommentar netop også, at sessionen har måttet stå åben, efter at brugeren tror at han har logget af....men det ville være dejligt hvis Mads Lorenzen (journalisten) kunne uddybe lidt mere;-)

  • 1
  • 1
René Nielsen

Deres privacy er jo allerede væk i det man anvender en offentlig tilgængelig PC, det sagen her et konkret eksempel på. Jeg mener blot, man bør overveje at varsle brugerne om mangel på samme, fordi alternativet vil være at andre bruger kan overvåge dem - fremfor bibliotekets personale.

I min optik er det en langt bedre sikring af privacy, end hvad sagen her nu bringer.

Når det sagt har du ret, det burde ikke være muligt at installerer lokalt, uden administratorrettigheder, medmindre de er ikke-eksisterende... Ikke destomindre, er den slags oftest* lettere at omgå end et aktivt program som overvåger de processer der køres på maskinen.

At blive ved med at sige ting som: "Så forsvinder privacy jo alligevel" er i min optik ved at være noget der skal drøftes på en større klinge. Det kan ikke blive ved med at være sutteklud. Sådan som vores verden er konstrueret, er der ikke meget privacy tilbage - hverken på internettet eller gågaden.

  • 2
  • 0
René Nielsen

Læser man på den orginale artikel, opfordre poilitiet dog til at logge af alle sæssoner og ligeledes slette browser historik, hvilket godt kunne indikerer der tale om andet end Social Engineering. Desuden står der også han har været i kontakt med flere bagmænd, som politiet ikke har kunne identificerer. Med den bagtanke, kan der måske alligevel være tale om proxy.

  • 2
  • 0
Lasse Mølgaard

Når det sagt har du ret, det burde ikke være muligt at installerer lokalt, uden administratorrettigheder, medmindre de er ikke-eksisterende... Ikke destomindre, er den slags oftest* lettere at omgå end et aktivt program som overvåger de processer der køres på maskinen.

Helt enig.

Man kan låse computeren inde i et skab, så kun ledninger til tastatur, mus og skærm stikker ud af skabet. Det ville forhindre folk kan installere software fra en USB nøgle.

Dernæst kan man i Windows definere hvilke programmer har lov til at køre på computeren, samt blokere for alle andre programmer.

Så er vi vist godt på vej imod en computer, som jeg tør stille ud til offentlig brug.

  • 4
  • 0
Bjarne Nielsen

Det sætter jo undskyldningen, som oftest bruges ifm. den offentlige tvangsdigitalisering om at man ikke behøver eget udstyr, for man kan jo altid bare gå på biblioteket, noget i perspektiv.

Derfor vil det IMHO kun være rimeligt, at der tilbydes ikke-digitale alternativer til alle, som ikke har mulighed for at benytte sig af digitale løsninger på betryggende vis - og det kan tydeligvis ikke ske på betryggende vis på bibliotekerne.

  • 9
  • 0
Johnny Nielsen

Nu kender jeg ikke så meget til brug af offentlige computere, da det er længe siden at jeg har haft fornøjelsen.
For nogle måneder siden skulle et familiemedlem forbi det lokale bibliotek for at få skannet nogle papirer til en myndighed.
Det meste af tiden er bibliotekets computere uden opsyn. Det kan ske at der er frivillige som hjælper borgere, i nogle udvalgte timer, nogle gange om ugen.
Den pågældende dag vi var på biblioteket kunne jeg få øje på to bibliotekarer, i skranken ved indgangen.
Går vi længere tilbage i tiden til dengang internettet ikke var så udbredt, der besøgte jeg diverse datastuer/klubber. Der var det meget normalt at have admin adgang. 'Hjalp' endda den opsynshavende med at installere OpenOffice fordi den kommunale IT administrator ikke havde tid til at komme forbi og installerer Office, specifikt Word, med alle funktioner slået til.

Personligt så kører min computer med admin rettigheder, uden kodeord. Der er noget antivirus installeret, men den pipper aldrig om noget.
Logger jeg ind fra fremmede computere? Ja. Skænker jeg nogen tanker til om computeren kan være inficeret? Nej, jeg tager det som en selvfølge at den er sikker. Burde jeg det? Nej.

  • 0
  • 0
Kristian Sørensen

Re: Mangler der ikke lidt mere info

Jo, ellers er der nogen der må forklare hvordan en med en keylogger får adgang til folks NEMID nøglekort.

Der er flere velkendte måder at gøre det på. Et par af de hyppigt debatterede måder er:

  1. Hack kameraet i pc'en og tag et foto af nøglekortet på bordet

  2. Hvis brugeren har taget et foto af nøglekortet og bruger dette i stedet for papirnøglekortet, så tag en kopi af fotoet når brugeren tilgår det fra pc'en

  3. Lav et man-in-the-middle-angreb mod den webside offeret tilgår. Offeret indtaster url, den kriminelles kode henter websiden men udskifter nemid-login med noget der ligner og viser dette til offeret i browseren. Brug et gratis ssl certifikat til at få en "grøn hængelås". Når offeret indtaster brugernavn+kodeord+engangskode opsnappes dette. Offeret gives så et timeglas/venter/nets-er-nede-prøv-igen besked i sin browser. Den kriminelles software bruger straks det brugernavn+kodeord+engangskode offeret indtastede til at logge ind i offerets navn og overføre penge eller lignende. Giv offeret lov at tilgå den rigtige side efter engangskoden er timet-ud. Offeret taster så en ny engangskode, kommer ind og tænker ikke mere over det.

Modgift:

  1. Sæt tape over kameraet i din egen PC. Nægt kategorisk at bruge nemid på steder hvor der er kameraer i enten PC'en eller i lokalet

  2. Lad være. Lad være. Lad være med at tage fotos eller scanne nøglekortet. Bare lad være.

  3. Nægt at bruge nemid fra en pc du ikke selv har fuld kontrol med. Nægt at bruge nemid fra andres PC'er. Nægt at bruge nemid fra en OS installation der også bruges til almindelig websurfing. Glem enhver tanke om at bruge nemid fra en offentlig PC på f.eks. et bibliotek. Brug f.eks. kun nemid fra en virtual maskine der alene bruges til nemid og som kører på en maskine du har kontrol med. Vær meget omhyggelig med drift og vedligehold af det du bruger til nemid. Affind dig med at selv alt dette kun giver en nogenlunde sikkerhed, du vil stadig være sårbar i en vis grad.

Desværre fortæller artiklen ikke mere om hvad den pågældende kriminelle konkret gjorde. Så vi ved ikke om det er en af ovenstående tre velkendte fremgangsmåder, eller måske en fjerde måde. Det ville være godt at få at vide, så vi kan beskytte os selv fremover.

  • 4
  • 0
Christoffer Kjeldgaard

Det bliver ikke "convenient" - eller billigt -hvis vi skal have portabel sikkerhed, hvor vi ikke stoler på noget af udstyret i mellem dig, og den entitet du vil snakke med.

Først og fremmest skal vi kunne stole på klientenheden, der initierer kommunikationen. Det kan vi ikke nu, fordi klientenheder (PC'ere & smartphones) er komplekse multipurpose enheder, hvor adgang til hardware og kørsel af instruktioner er overladt til softwaren på enheden. Software, som foriøvrigt i langt de fleste enheder kan sende og modtage instruktioner fra internettet, og modificere sig selv under kørsel.

*Dermed; hvis softwarelaget i enhederne er kompromitteret - er hardwarelaget det også.

Sikre enheder er derfor reelt set et sæt af "dumme" periferi-enheder, der ikke kan snakke med hinanden uden en portabel & personlig enhed. Forestil dig en PC, hvor PC'en i sig selv ikke kan andet end at modtage og levere data til en enhed, den ikke selv har kontrol over, eller kender i forvejen.

Den centrale enhed er en portabel, personlig enhed med et lager af eksekverbare filer, der ikke kan skrives til. I lageret ligger et sæt af krypto-nøgler, ikke ulig den måde vi tænker certifikater på i dag. Disse nøgler kan kun verificeres, hvis den eksterne entitet kan producere et gyldigt certifikat, som passer til den private nøgle på enheden.

Det øvrige skribare lager til dokumenter, midlertidigt data mv. kan ikke indeholde eksekverbar kode by-design.

Når enheden skal udskiftes pga en ny softwarerevision, skal det gøres af en personlig entitet du stoler på offline, og de lokale nøgler på enheder er invalide fra det sekund den eksterne entitet kræver det. F. eks. hvis der identificeres sikkerhedshuller i den portable, personlige enhed.

  • Der kan ikke installeres, og eksekveres ny kode.
  • Software-opdatering sker ved en fysisk tilstedeværelse hos en entitet du stoler på - software opdatering er måske et forkert ord; den gamle enhed destrueres, og der produceres en ny.
  • Private nøgler er ikke gyldige, så snart en "softwareopdatering" er tilgængelig.

Den slags enheder vil vi ikke kunne bruge til andet end kommunikation og lagring af data. Vi ville ikke kunne udvikle software på den, eller ændre på konfigurationen af den - eksekveringsmæssigt er den statisk.

Men vi er ikke færdige endnu; derudover skal al kommunikation være 3-faktor autoriseret; certifikat fra den statiske enhed + password + en offline autogeneret nøgle (f. eks. papkortet) fra den entitet du vil kommunikere med. Da den personlige portable enhed ikke har periferere enheder skal du fysisk befinde dig et sted hvor enheden kan tilsluttes en sådan - og så videre.

Sikkerhedsrisikoen ved anvendelse af en sådan enhed er lav, men dyr. Det er derfor altid et kompromis med sikkerhedstiltagenes påvirkning af komfort og pris ved brug, der definerer hvor sikre enhederne reelt er - og kan være.

  • 1
  • 0
Mette Nikander

Personligt så kører min computer med admin rettigheder, uden kodeord. Der er noget antivirus installeret, men den pipper aldrig om noget.


De rettigheder du har på din maskine kan malware, eller hackere anvende....det er der mange kendte sager omkring. Så ha aldrig lokale administrator rettigheder på enheden slået permanent til.
Noget af det eneste malware der gør væsen af sig, når det er aktivt, er ransomware og det kan iøvrigt godt ligge tålmodigt og vente. Antimalwareprogrammer detekterer iøvrigt ofte ikke ransomware, fordi hele malwaret ikke ankommer samlet, men "kalder på sig selv", når første fase er ankommet til enheden. Den første del kan ankomme i en session man selv har initieret til et website og derved sættes antimalwaret ud af spillet, fordi det primært leder efter ikke autoriseret adfærd og signaturer. Man kan dæmme op for den slags kald ved i tillæg, at anvende løsninger der holder øje med at man kun laver sikre DNS opslag.

  • 1
  • 0
Kjeld Flarup Christensen

Tiltrods for jeg slet ikke har erfaring i emnet, er jeg kommet frem til, at folk simpelthen opbevarer deres NemID på div. online platforme, f.eks. et billed i en gemt kladdemail på gmail?

1,8 mio fra 8 personers konti.
Altså i snit 225.000 Kr.

Folk med så mange penge burde ikke sidde og bruge bibliotekscomputere til at gå på banken.
Det har de så muligvis ikke gjort, men netop tilgået en service på nettet, hvor deres nemid lå.

  • 2
  • 2
Morten Schulze

Af retsagen fremgik det, at den 20-årige og hans medsammensvorne brugte de nævnte keyloggers til at aflure folks login og kode til NemID, som man herefter brugte til at bestille et nyt nøglekort, som man så simpelthen stod ude ved folks postkasser og fiskede op, når postbudet havde afleveret det. Man bestilte også nye simkort, som man på samme måde fiskede op, da man jo ofte får tilsendt en kontrolkode på sms, når man vil overføre større beløb.

  • 8
  • 0
Log ind eller Opret konto for at kommentere