Eksplosion i netbank-angreb rettet mod danskernes mobiltelefoner

2. januar 2017 kl. 02:587
Eksplosion i netbank-angreb rettet mod danskernes mobiltelefoner
Illustration: MI grafik.
Der er sket en voldsom stigning i antallet af svindelforsøg rettet mod danskerens netbank via angreb mod mobiltelefoner, viser opgørelse fra Finansrådet.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Svindlere er i stor stil begyndt at gå efter folks mobiltelefoner i forsøget på at lænse danskernes netbanker. Og ofte har de it-kriminelle held med deres foretagende. Det fremgår af tal fra Finansrådet.

Alene i 3. kvartal af 2016 var der 588 forsøg på indbrud i netbanken i phishing-kategorien. Af disse angreb har 126 resulteret i et økonomisk tab.

Tallene dækker over sager, hvor netbank-kunder på den ene eller den anden måde bliver overtalt til at afgive deres brugernavn, kodeord og nøglekort-koder til it-kriminelle.

Sammenlignet med årets første fjerdedel er der tale om en markant stigning. I første kvartal var der 169 forsøg på indbrud og 26 sager, hvor penge forsvandt.

Artiklen fortsætter efter annoncen

Kontorchef for infrastrukturafdelingen i Finansrådet Torben Nielsen forklarer stigningen i angreb med, at de it-kriminelle i høj grad er begyndt at gå efter folks mobiltelefoner.

Det foregår typisk via phishing-forsøg i sms-form, benævnt smishing.

Over halvdelen af de 588 angreb i tredje kvartal 2016 var rettet mod folks mobiltelefoner.

»I bund og grund rammer de på en mobil platform, hvor folk ofte er meget loyale. Hvis du står i supermarkedet, og der kommer en sms ind, så føler folk at de skal reagere på det her og nu. Så er der måske et link om, at Nemid udløber. Og så trykker folk desværre på det.«

Tallene viser, at der generelt er sket en voldsom stigning i antallet af sager, hvor netbank-kunder på den ene eller den anden måde bliver overtalt til at afgive deres brugernavn, kodeord og nøglekort-koder til it-kriminelle.

Også i tabte kroner og øre er der sket en voldsom stigning. I første kvartal blev tabet opgjort til ​396.511 kroner, mens beløbet for tredje kvartal 2016 var på ​1.892.085 kroner.

Ny opgørelse fra Finansrådet

I 2016 har Finansrådet udvidet sin statistik over netbankindbrud, så tallene nu også omfatter blandt andet phishing-forsøg.

Finansrådet skelner mellem indbrud i netbanken gennem malware eller hacking og tilfælde, hvor gerningsmænd gennem phishing eller social engineering tiltusker sig adgang.

Netbanksindbrud (Fraud, Malware)
Antal registrerede forsøg på netbankindbrud omfatter sager, hvor der er sket indbrud eksempelvis ved installation af ”hacker” programmer på brugerens PC, mobil eller tablet og fremgangsmåden kan være kombineret med bedrageri.

Social eng. (Phishing m.v)
Antal registrerede forsøg på social engineering omfatter sager hvor brugeren ”overtales til” at afgive eller indtaste oplysninger (id, password og nøglekortkoder) til de it-kriminelle på baggrund af falske mails, SMS eller telefonopkald. Disse udgiver sig ud for at komme fra eksempelvis en et velrenommeret selskab, en myndighed eller en ven.

Kilde: Finansrådet

Problemet er på Android

Torben Nielsen fortæller, at et angreb-scenarie i denne sammenhæng eksempelvis kan være, at en bruger modtager en sms med et link og bliver narret til at installere en tilsyneladende tilforladelig app.

App'en kan eksempelvis give sig ud for at være en tracking app til at følge sin pakke fra et postselskab, men i virkeligheden bliver en eller anden form for ondsindet software installeret på enheden.

Malwaren, som bliver installeret i denne sammenhæng, lægger et lag ind i brugergrænsefladen på mobiltelefonen, som ligner brugerens netbank, hvorefter login-oplysningerne bliver høstet, når brugeren forsøger at tilgå netbanken, oplyser Torben Nielsen.

En andet scenarie kunne ifølge kontorchefen være at brugere lokkes over på et traditionelt phishing-site hvor de narres til at afgive deres brugerinformationer, samt uploade en kopi af deres nøglekort

Når Finansrådet har valgt at placere disse angreb i phishing-kategorien, skyldes det, at det indledende angreb sker i form af smishing, altså phishing via sms.

Det er særligt telefoner med Googles Android-styresystem, der er mål for smishing-forsøg som førnævnte.

»Smishing er ikke effektivt på IOS (Apples styresystem) endnu. Det er i virkeligheden på Android, vi ser den helt store stigning,« siger Torben Nielsen.

Han forklarer de it-kriminelles forkærlighed for Android med, at det er langt lettere at installere malware-befængte apps på Android uden om Google, end det er at installere ondsindede apps uden om Apple på en iPhone.

»De kan ikke installeres, med mindre installationen foregår gennem Apples officielle og kontrollerede App Store. Ellers skal man jailbreake sin telefon,« uddyber Torben Nielsen i en opfølgende mail.

Forbrugerne er dækket ind

Trods stigningen i angreb i phishing-kategorien mod danskernes netbanker, maner Torben Nielsen til besindighed.

»Vores tabstal skal ses i forhold til den store verden, hvor flere lande omkring os har betydelige store tab, hvorimod det for danske bankers vedkommende ikke er nogle store tal. Og heldigvis er det jo sådan, at forbrugerne er dækket ind, så de skal have optrådt groft uagtsomt, før bankerne begynder at kræve selvrisiko,« siger han.

Udover de mobilrettede angreb, har Finansrådet har også observeret stigning i en anden type angreb, som er placeret i kategorien ​'Social engineering/phishing' Det drejer sig om phishing via taleopkald, benævnt vishing (voice phishing red.). 73 ud af de 588 forsøg på angreb i tredje kvartal 2016 har Finansrådet opgjort til at være vishing-angreb.

Det vil sige angreb, hvor it-kriminelle ringer et offer op og udgiver sig for at være fra et kendt firma. Herefter forsøger de kriminelle at franarre ofret oplysninger som brugernavn og kodeord.

Ny statistik

Når udviklingen i forhold til angreb mod Android-telefoner overhovedet er kommer frem hænger det sammen med, at Finansrådet er begyndt at opgøre netbank-angreb på en ny måde.

Tidligere indeholdt statistikken fra Finansrådet primært oplysninger om netbank-angreb som følge af, at it-kriminelle havde havde haft held til at inficere et offers computer med malware.

Men i 2016 har Finansrådet udvidet statistikken med oplysninger om social engineering-angreb, herunder forskellige former for phishing-angreb. Altså hvor it-kriminelle via mails, sms'er og andet forsøger at lokke følsomme oplysninger ud af ofrene.

Årsagen til at statistikken er udvidet, begrunder Finansrådet med, at der de senere år er sket en ændring i kriminalitetsbilledet, hvor bankerne har oplevet en stigning i antallet af svindelsager baseret på phishing af NemID oplysninger.

Mens der ikke har været nogen videre udvikling i antallet af angreb via malware i den traditionelle statistik over netbank-indbrud – der var seks af disse forsøg i tredje kvartal 2016 - så forholder det sig altså anderledes i forhold til statistikken over phishing-angreb.

7 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
7
3. januar 2017 kl. 10:57

Man kan ikke installere apps på Android telefoner uden om Play store uden selv at give tilladelse til det først.

Forskellen her er vel, at det faktisk kan lade sig gøre at installere apps uden om Google på en Android-telefon uden de store dikkedarer.

Jeg testede lige med en open source apk-fil på min opdaterede Nexus 5X.

Det resulterede i en pop-up-boks med følgende besked:

»Din telefon er som sikkerhed indstillet til at blokere installation af apps fra ukendte kilder.«

Og så er der direkte link til indstillinger, hvor installation fra ukendte kilder generelt kan aktiveres.

I det lys forekommer det alt andet lige enklere at installere apps uden om Google på den seneste version af Android sammenholdt med at installere apps uden om Apple på den seneste version af iOS. Jakob - V2

6
2. januar 2017 kl. 19:50

Uden at kende noget til IoS, og altid har kørt Android så er det enormt let at installere en app fra et link i en mail. Personligt ville jeg kunne se at jeg ikke skal installere noget som helst fra et link. Men jeg kender mange som har tillid til telefonen og først reagere efter at de er blevet røvet. Dem jeg hjælper der er IT analfabeter gør ikke noget før de har spurgt mig, men jeg kan ikke være rådgiver for alle. Og jeg har også taget fejl, men jeg rådgiver folk til at gribe telefonen engang for meget istedet for at installere noget. eller give oplysninger om nemID koder. til nogen som helst. Ligesom de ikke skal købe noget ved en telefonisk henvendelse.

Folk må sgu lære at der er masser banditter på det net!

5
2. januar 2017 kl. 19:06

Man er helt væk og uden for pædagogisk rækkevidde, hvis man går til indstillinger og giver tilladelse til at installere usikre apps. Man kan ikke komme til at installere noget farligt ved en fejl. Dette kan kun lade sig gøre, hvis man selv aktivt ignorerer alle faresignaler og åbner enheden op for alle typer installationer.

4
2. januar 2017 kl. 18:17

Hvorledes er sikkerheden (generelt set) i browseren i forhold til apps?

Nogle gange tager jeg mig til hovedet over at der snart skal en app til alt -- også det som blot lige kan vises i en browser.

Foretrækker min bærbare frem for min tablet --- dog er en tablet nemmere at have med og lige slå noget op på (hvis man ikke først skal installere en app :-)

3
2. januar 2017 kl. 12:27

Næh, Thomas. Men hvis man kan blive lokket til at installere en app som anbefales i en sms, så vil man sikkert give den tilladelse også. For det er jo en 'nyttig' app, man er ved at installere - ikke? :)

2
2. januar 2017 kl. 12:04

Man kan ikke installere apps på Android telefoner uden om Play store uden selv at give tilladelse til det først.

1
2. januar 2017 kl. 11:36

Godt man kører en Windows 10 på telefonen.