DanID gav selv opskriften på NemID-hacking af Danske Bank

Nets DanID afviste i november 2011 Version2's demonstration af et phishing-angreb på NemID som 'rent teoretisk.' Som argumentation gav virksomheden en bedre opskrift på, hvordan hackere i praksis ville gøre. En opskrift, som hackerne nu har fulgt.

Da otte kunder i Danske Bank tidligere på måneden fik franarret i alt 700.000 kroner via hacking af deres NemID-login, skete det med den automatiserede spionsoftware Banktexeasy, der overvågede brugernes handlinger og selv reagerede på dem.

Det viser en ny analyse af den brugte malware, som it-sikkerhedsfirmaet CSIS har lavet.

Læs også: Se om du har fået NemID-trojaneren: Usynlig for antivirus

Men fremgangsmåden burde ikke komme bag på Nets DanID, der står bag NemID-løsningen. For virksomheden har selv fremhævet, at automatiseret software, der ikke kræver hacker-bagmændendes indgriben, er vejen frem, hvis nogen skal have succes med at omgå NemID.

Læs også: Video: Så let kan kriminelle franarre dig dit NemID

Udsagnet kom, efter at Version2 i november 2011 demonstrerede, hvor let NemID-brugere kunne narres med et såkaldt real time phishing-angreb. Nets DanID imødegik kritikken med, at Version2's scenarie med en levende it-kriminel som man-in-the-middle var 'rent teoretisk'.

Læs også: DanID afviser kritikken: »Et teoretisk scenarie«

»Det scenarie, Ingeniøren har konstrueret i videoen, er kendt som 'typosquatting', her kombineret med man-in-the-middle. Det er et teoretisk scenarie, der ikke er ført ud i livet i dag. Denne type angreb kan godt lade sig gøre, men spørgsmålet er, om det er noget, der vil få en reel udbredelse. Den typiske it-kriminelle går jo efter en model, hvor deres software laver arbejdet, og det, I viser her, kræver ægte menneskelig indsats på dansk, 7/24 overvågning, og dertil en stor portion held for at blive til penge,« skrev Nets DanID til Version2 dengang.

Angrebet på Danske Bank har nu vist, at Nets DanID har ret i antagelsen. Med automatiseret software er det lykkedes de it-kriminelle at omgå NemID-sikkerheden og franarre 700.000 kroner fra intetanende netbankkunder.

Lovede fokus på fraud detection – uden effekt

I Nets DanID's email fra november fremgår det, at de it-kriminelle hele tiden bliver dygtigere og dygtigere, og at man derfor anser overvågning og vurdering af trusselsbilledet for en vigtig opgave.

»Phishingsagen fra slutningen af september har skærpet fokus på fraud-detection yderligere, og vi har forskellige muligheder for at imødegå angreb,« skriver Nets DanID til Version2.

Selvom bankerne altså angiveligt har skærpet deres fokus på at opdage forsøg på netbank-angreb, så har effekten været begrænset. For det var nemlig ikke Danske Banks interne fraud detection-systemer, der slog alarm i starten af februar - det var en af de ramte kunder.

»Det var en kundehenvendelse, der gjorde, at vi i første omgang blev opmærksom på det,« har koncernsikkerhedschef i Danske Bank Poul Otto Schousboe i den forbindelse fortalt til Version2.

Læs også: Netbank-tyve fløj under Intrusion Detection-radar: Kunde slog alarm

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (6)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Erik Jensen

Jeg forstår ikke, hvordan det kan konkluderes, at det aktuelle angreb skulle kunne være foregået i realtid uden menneskelig indgriben.

Når man bliver bedt om en nem-id kode til et givent kode id, har man kun en begrænset tid til at taste koden ind. Så man kan ikke bare logge koderne automatisk.

Man kunne selvfølgelig lavet et program, som automatisk overfører penge fra en netbank, når NemId koden er indtastet, men med de oplysninger der pt. er offentligt tilgængelige, er der intet der tyder på, at det har været tilfældet. Jeg tvivler stærkt på, at angriberen har gidet lavet det relativt store arbejde, det kræver at automatisere den del, når han bare har kunnet sidde og vente på at få koderne, og så lave overførslen manuelt.

Jørgen L. Sørensen

Som jeg har opfattet tidligere artikel ( http://www.version2.dk/artikel/nyt-netbank-indbrud-trods-nemid-hvordan-g...) har snydetampene logget ind umiddelbart efter kunden har logget ind, og derefter bedt kunden om kodeordet til den nøgle snydetampen er blevet bedt om at indtaste.

Umiddelbart synes jeg det virker som om risikoen kunne minimeres ved:

1: Kortere timeout til indtastning af koden. Jeg ved ikke hvor lang tid man har, men jeg oplever at man har meget laaaaang tid - også længere tid end nødvendigt selv om man af forskellige årsager er længe om at finde rette kode og indtaste den.

2: Sikre at man kun kan være logget ind én gang med nem-id på samme tid? Det er lidt triggy, fordi man måske er logget ind i netbanken, og samtidig har man man måske også et igangværende login til skat for at se hvor meget man skal overføre til dem.

Med hensyn til pkt. 2 er det jo ikke nok at tjekke for flere sessions til banken, for i princippet kan brugeren logge ind på skat, hvorefter snydetampene får besked og så logger ind på netbank - eller ind og stjæler personlige oplysninger, identitet eller oprettet et pantebrev i huset ...

Simon Rigét

Det er vel lettest at udføre angrebet fra kundens ejen PC. Jeg kan ikke se hvad der skulle forhindre at det foregår automatisk.
Banken har formegentligt sikret sig at en kunde ikke kan være logget ind to gang fra forskellige adresser - det ville jeg i hvertfald gøre.
Det er derimod ikke almindeligt at sikre at man ikke kan have to samtidige sessioner fra samme PC, fordi det kan give problemer med afbrudte sessioner, hvis koden altså ikke laves så den løser dette problem. Det gør den så vidt jeg kan se sjældent.

Efter som det kan lade sig gøre med "man in the middel" og at nemID kræver at det foregår realtime, må man formode at banken ikke har sikret sig mod flere samtidige sessioner.

Det kunne være rigtigt interessant at få at vide:
- hvilket site har inficeret kunderne?
- Hvilken browser?
- Hvilket plugin?

Bjørn Damborg Froberg

Microsoft henviser, i en af de andre artikler, til at der blev brugt velkendte browser exploits.

Det tyder på at Internet Explorer er synderen, nu det er en MS udtalelse - og at det hele kunne være forhindret havde brugerne opdateret Windows og IE.

Lur mig om det har været XP brugere der ikke må få lov til at få den seneste version... dét kunne være interessant at vide!

Log ind eller Opret konto for at kommentere