DanID gav selv opskriften på NemID-hacking af Danske Bank

20. februar 2012 kl. 16:146
Nets DanID afviste i november 2011 Version2's demonstration af et phishing-angreb på NemID som 'rent teoretisk.' Som argumentation gav virksomheden en bedre opskrift på, hvordan hackere i praksis ville gøre. En opskrift, som hackerne nu har fulgt.
person
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person

Da otte kunder i Danske Bank tidligere på måneden fik franarret i alt 700.000 kroner via hacking af deres NemID-login, skete det med den automatiserede spionsoftware Banktexeasy, der overvågede brugernes handlinger og selv reagerede på dem.

Det viser en ny analyse af den brugte malware, som it-sikkerhedsfirmaet CSIS har lavet.

Men fremgangsmåden burde ikke komme bag på Nets DanID, der står bag NemID-løsningen. For virksomheden har selv fremhævet, at automatiseret software, der ikke kræver hacker-bagmændendes indgriben, er vejen frem, hvis nogen skal have succes med at omgå NemID.

Udsagnet kom, efter at Version2 i november 2011 demonstrerede, hvor let NemID-brugere kunne narres med et såkaldt real time phishing-angreb. Nets DanID imødegik kritikken med, at Version2's scenarie med en levende it-kriminel som man-in-the-middle var 'rent teoretisk'.

Artiklen fortsætter efter annoncen

»Det scenarie, Ingeniøren har konstrueret i videoen, er kendt som 'typosquatting', her kombineret med man-in-the-middle. Det er et teoretisk scenarie, der ikke er ført ud i livet i dag. Denne type angreb kan godt lade sig gøre, men spørgsmålet er, om det er noget, der vil få en reel udbredelse. Den typiske it-kriminelle går jo efter en model, hvor deres software laver arbejdet, og det, I viser her, kræver ægte menneskelig indsats på dansk, 7/24 overvågning, og dertil en stor portion held for at blive til penge,« skrev Nets DanID til Version2 dengang.

Angrebet på Danske Bank har nu vist, at Nets DanID har ret i antagelsen. Med automatiseret software er det lykkedes de it-kriminelle at omgå NemID-sikkerheden og franarre 700.000 kroner fra intetanende netbankkunder.

Lovede fokus på fraud detection – uden effekt

I Nets DanID's email fra november fremgår det, at de it-kriminelle hele tiden bliver dygtigere og dygtigere, og at man derfor anser overvågning og vurdering af trusselsbilledet for en vigtig opgave.

»Phishingsagen fra slutningen af september har skærpet fokus på fraud-detection yderligere, og vi har forskellige muligheder for at imødegå angreb,« skriver Nets DanID til Version2.

Artiklen fortsætter efter annoncen

Jobs

Dine job
Vis alle

Selvom bankerne altså angiveligt har skærpet deres fokus på at opdage forsøg på netbank-angreb, så har effekten været begrænset. For det var nemlig ikke Danske Banks interne fraud detection-systemer, der slog alarm i starten af februar - det var en af de ramte kunder.

»Det var en kundehenvendelse, der gjorde, at vi i første omgang blev opmærksom på det,« har koncernsikkerhedschef i Danske Bank Poul Otto Schousboe i den forbindelse fortalt til Version2.

Fokus
Emner
6 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
3
Jørgen L. Sørensen
21. februar 2012 kl. 11:59

Som jeg har opfattet tidligere artikel ( http://www.version2.dk/artikel/nyt-netbank-indbrud-trods-nemid-hvordan-gjorde-tyvene-det-43477) har snydetampene logget ind umiddelbart efter kunden har logget ind, og derefter bedt kunden om kodeordet til den nøgle snydetampen er blevet bedt om at indtaste.

Umiddelbart synes jeg det virker som om risikoen kunne minimeres ved:

1: Kortere timeout til indtastning af koden. Jeg ved ikke hvor lang tid man har, men jeg oplever at man har meget laaaaang tid - også længere tid end nødvendigt selv om man af forskellige årsager er længe om at finde rette kode og indtaste den.

2: Sikre at man kun kan være logget ind én gang med nem-id på samme tid? Det er lidt triggy, fordi man måske er logget ind i netbanken, og samtidig har man man måske også et igangværende login til skat for at se hvor meget man skal overføre til dem.

Med hensyn til pkt. 2 er det jo ikke nok at tjekke for flere sessions til banken, for i princippet kan brugeren logge ind på skat, hvorefter snydetampene får besked og så logger ind på netbank - eller ind og stjæler personlige oplysninger, identitet eller oprettet et pantebrev i huset ...

  • more_vert
    • insert_linkKopier link
1
Erik Jensen
20. februar 2012 kl. 17:23

Jeg forstår ikke, hvordan det kan konkluderes, at det aktuelle angreb skulle kunne være foregået i realtid uden menneskelig indgriben.

Når man bliver bedt om en nem-id kode til et givent kode id, har man kun en begrænset tid til at taste koden ind. Så man kan ikke bare logge koderne automatisk.

Man kunne selvfølgelig lavet et program, som automatisk overfører penge fra en netbank, når NemId koden er indtastet, men med de oplysninger der pt. er offentligt tilgængelige, er der intet der tyder på, at det har været tilfældet. Jeg tvivler stærkt på, at angriberen har gidet lavet det relativt store arbejde, det kræver at automatisere den del, når han bare har kunnet sidde og vente på at få koderne, og så lave overførslen manuelt.

  • more_vert
    • insert_linkKopier link
2
Malte Dan Baden Hansen
20. februar 2012 kl. 20:40

Mon ikke også det er det der omtales. Det er nok automatiseret på den måde at den giver besked hvis den får fat på nogen koder.

På den anden side, så ville en helt automatiseret løsning da godt kunne fungere?

  • more_vert
    • insert_linkKopier link
4
Simon Rigét
21. februar 2012 kl. 12:49

Det er vel lettest at udføre angrebet fra kundens ejen PC. Jeg kan ikke se hvad der skulle forhindre at det foregår automatisk. Banken har formegentligt sikret sig at en kunde ikke kan være logget ind to gang fra forskellige adresser - det ville jeg i hvertfald gøre. Det er derimod ikke almindeligt at sikre at man ikke kan have to samtidige sessioner fra samme PC, fordi det kan give problemer med afbrudte sessioner, hvis koden altså ikke laves så den løser dette problem. Det gør den så vidt jeg kan se sjældent.

Efter som det kan lade sig gøre med "man in the middel" og at nemID kræver at det foregår realtime, må man formode at banken ikke har sikret sig mod flere samtidige sessioner.

Det kunne være rigtigt interessant at få at vide:

  • hvilket site har inficeret kunderne?
  • Hvilken browser?
  • Hvilket plugin?
  • more_vert
    • insert_linkKopier link
6
Bjørn Damborg Froberg
22. februar 2012 kl. 00:48

Microsoft henviser, i en af de andre artikler, til at der blev brugt velkendte browser exploits.

Det tyder på at Internet Explorer er synderen, nu det er en MS udtalelse - og at det hele kunne være forhindret havde brugerne opdateret Windows og IE.

Lur mig om det har været XP brugere der ikke må få lov til at få den seneste version... dét kunne være interessant at vide!

  • more_vert
    • insert_linkKopier link
5
Simon Rigét
21. februar 2012 kl. 12:57

... Næste skridt vil selvfølgeligt være at hackeren overtager sessionen midlertidigt fra kunden. - det bliver ikke nemt at beskytte sig imod...

  • more_vert
    • insert_linkKopier link