Hackere genbruger malware til NemID-angreb

Der bliver brugt præcist de samme værktøjer som sidst, når danske banker og NemID i disse dage er under angreb fra hackere. Op til ti kunder har fået lænset kontoen.

Det har ikke krævet de store forberedelser for hackere at angribe danske banker. Faktisk er malwaren, som bliver brugt, en gammel kending, som blot er taget ned fra hylden igen.

Samme stykke kode blev nemlig brugt i februar af hackerne, som målrettet går efter danske NemID-ofre. Det skriver sikkerhedstjenesten DK-Cert.

Bølgen af hackerangreb mod bankerne har ifølge Nets DanID, som står bag NemID, ramt op til ti kunder i denne omgang.

Læs også: Ny NemID-malware går efter alle netbankkunder – ingen kan vide sig sikker

Malwaren, der er døbt Banktexeasy, er af typen trojansk hest og inficerer ofrenes computer via helt almindelige websider, som hackerne har fået kontrol over.

Infektionen sker via huller, som kan stå åbne, hvis ikke al softwaren på offerets computer er helt opdateret.

Når offeret logger på netbank første gang, vågner den trojanske hest op til dåd og kopierer brugernavn og kodeord, samtidig med at et popup-vindue beder offeret om at indtaste en ekstra engangskode fra papkortet. Hackerne logger nemlig selv med det samme ind på netbanken og sender så spørgsmålet om engangskode videre til offeret - et såkaldt realtime-angreb.

Læs mere om Banktexeasy

Læs også: Bankens bedste råd: Formatér harddisken, hvis du har NemID-trojaneren

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (14)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Anonym

Det er jo rart, når selv hackere går ind for genbrugstanken.

Mon man denne gang lærer noget, f.eks. at NemID, i sig selv er en usikker fremgangsmåde, og danner grundlag for en fejlslagen IT strategi.

Gentagelse skulle være en af de mere sikre indlæringsmetoder, så selv DanID og Digitaliseringsstyrelsen skulle have en chance for at komme i niveau.

Sidst brugte man meget energi på, at holde alt hemmeligt, mon man har fundet ud af, at det ikke er vejen frem i forbindelse med IT sikkerhed, eller regner man fortsat med, at man på enestående vis, kan klare ærterne selv. Det gør man måske, "den slags" er DanID jo selv eksperter i at benytte.
Ellers må de jo spørge nogen ansvarshavende politikere, politikerne plejer ikke at være bange for at henholde sig til "tro", og dermed feje problemerne ind under gulvtæppet. En helt anerkendt metode til problemløsning, inden for offentlig Dansk IT.
( undskyld .... opgaveløsning .... nu må jeg snart få styr på de udtryksformer .... )

  • 6
  • 3
Søren Jespersen

Hvis man får loginrequests til samme konto fra to meget forskellige IP adresser indenfor et meget kort interval så vær særlig opmærksom på hvad der sker med kontoen, eventuelt spær den og præsenter brugeren for en meddelelse om at checke for virus?

  • 4
  • 1
Henrik Madsen

Men det beviser jo meget godt at der er en designfejl når hackerne igen og igen kan bruge samme metode.

Danid KAN ikke fjerne fejlen for den ligger dybt i designet.

Hader det lort så jeg ønsker hackerne al mulig held med at vise at nemid er noget skrammel som let kan hackers...

  • 8
  • 0
Jesper Lund Stocholm Blogger
  • 8
  • 0
Martin Ørding-Thomsen

Men hvad ville du, og andre, da gøre for at tilbyde en relativt bekvem løsning som er immun over for MItM? Uden en trusted client kan det vist ikke lade sig gøre.

NemID er da netop ekstra såbart overfor MItM, da man meget nemt kan lave en javascript-login-dims, som ligner appletten på en prik. Det eneste man ikke kan spoofe er de irriterende warnings den en gang i mellem kommer med. Men fravær af irriterende ting lægger man sjældent mærke til. (og kaffekoppen nede i hjørnet kan man få frem ved at lægge en usynlig applet ind på siden)

I skarp kontrast står den gamle loginløsning, hvor nøglen lå lokalt. Det var netop ikke spor sårbart overfor MItM.

Bemærk at begge løsninger er sårbare overfor de angreb, hvor computeren er kompromitteret, hvilket er den type angreb, der er tale om i artiklen.

  • 4
  • 0
Martin Ørding-Thomsen

Hvis man får loginrequests til samme konto fra to meget forskellige IP adresser indenfor et meget kort interval så vær særlig opmærksom på hvad der sker med kontoen

Forbryderen logger ind med den første kode og sætter en overførsel igang inden brugeren overhovedet har nået at finde kode nummer to på kortet. Så man vil være nødt til at forsinke alle overførsler, hvis det skal nytte noget. Men du har ret i, at det vil give noget beskyttelse mod rene MItM-angreb.

  • 0
  • 0
Mads Vanggaard

Som er sikkert imod at lokal host er overtaget af hackeren, at det er almene folk mormor Jensen som skal kunne bruge det, at det skal være driftsbillig, at det skal kunne understøttes af mobile enheder og så videre. Før du siger Javascript - så vidt jeg ved forsøgte man med en Javascript, men vurderede at den var for langsom. Det kan du mene om hvad du vil, men den var for langsom til det man ville af sikkerhed i nemID.

nemID kan ikke, den tidligere kunne hellere ikke leve op til kravene - men når folk nu er glade for at gentage dem selv om at de hader nemID, kan man så ikke også bruge noget af energien på at definere en bedre løsning? Ellers når vi jo aldrig videre.

  • 3
  • 0
Søren Kjærsgaard

Spm. til til de kloge :)

Alt andet lige må det være mere sikkert at anvende en App på iPad'en, skræddersyet til netbank? Danskebank bruger kun NemID til verifikation ved selve transaktionen, det foregår i en isoleret app, i et strengt kontrolleret miljø? Mig bekendt har der ikke være detekteret virus ell. malware på iPad'en endnu (android er en anden historie..)

Dette løser selvf. ikke det generelle problem med NemID login alle andre steder, men det forekommer mig en lettere løsning (også for mine forældre....) end at sandboxe mig ud af problemet?

mvh

  • 0
  • 2
Michael Wörffel Intile

.............samtidigt med at et popup-vindue beder offeret om at indtaste en ekstra engangskode fra papkortet.

Jeg forstår ikke helt, betyder det at man bliver bedt om at anvende koder fra nøglekortet 2 gange?
Hvis det er tilfældet må man jo nok konstatere at mod idioti kan man næppe gardere sig..........

  • 1
  • 2
Anonym

Man skal bare NemID.

NemID stiller en værdi til rådighed, derfor er det "sjovt" at hacke NemID.
Hele tanken om, at bruge et fælles Login, er grundlaget for, at det er værdifuldt for den almindelige hacker.

I den oprindelige opgave, som NemID skulle løse, helt tilbage i midten af forrige årti, skulle der skabes en sikker Dansk identifikationsløsning.
Det valgte man at se stort på, men tog en løsning som man allerede kendte, og gav det et nyt navn. Man brugte simpelthen en løsning, som blev/bliver brugt til netbank, og kaldte den NemID.
Sidst i forrige årti, blev der gjort opmærksom på, at der IKKE var tale om en identifikationsløsning, men om en loginløsning.
Derfor var der lidt kritik, også fra politisk side, over at man fra DanID, gennem IT- & Telestyrelsen, ville have en lille milliard udbetalt, for en opgave som man jo ikke havde løst.
Undskyldningen for den manglende identifikationsløsning var, at det mente man ikke var teknisk muligt.

Bl.a. IT- & Telestyrelsen, samt div. politikere, blev samtidigt præsenteret for en fungerende løsning på identifikation over internettet. Løsningen blev dog ikke præsenteret af DanID.
Man ville gerne have identifikationsløsningen, samt tilhørende rettigheder, men man ville ikke købe den, eller på anden måde støtte den, hvis det var noget man skulle betale for.
På spørgsmålet om, hvordan man kunne disponerer således, altså afvise en fungerende identifikationsløsning, til fordel for en der ikke fungerede, blev der henvist til at man i i terrorloven, fandt ret til at disponerer som man selv fandt for godt befindende.

Identifikationsløsningen er Patentanmeldt.
Den bygger på enkle principper omkring identifikation, herunder at sikker identifikation, kun kan foretages i første person.
Løsningen kan, som alle andre IT-løsninger hackes, men indeholder ikke, i sig selv nogen værdi, eller giver adgang til nogen værdier.
Selv om løsningen skulle blive hacket, så er det fortsat kun den enkelte identitet, der kan benytte løsningen til identifikation, for selve identifikationen, har ikke nødvendigvis noget med internettet at gøre.
Den løser ganske enkelt Nationens opgave, med hensyn til identifikation af nationens identiteter, på infrastrukturen internettet.

Løsningen tilbyder IKKE en fælles loginløsning, der kan være værdifuld for bl.a. hackere.
Samme login, til alle mulige forskellige sites, er en ualmindelig sårbar løsning.

At lave et forholdsvis sikkert login, til et givent site, herunder NetBank osv., er en rimeligt triviel opgave, som enhver koder kan løse.
Men det bliver ALDRIG 100 % sikkert, ikke kun fordi man kan hacke det over nettet, f.eks. med MIM, men man kan jo også bare stå og glo over skulderen på folk.

Løsningen fungerer på en hver platform, der benytter internettet.

Man kan henvende sig til Digitaliseringsstyrelsen, hvis man vil vide mere. De ligger ikke skjul på, at de gerne bringer den viden videre til 3 mand, som ligger bag ved løsningen, og gerne bruger den viden, i deres foretrukne løsninger.

  • 2
  • 0
Michael Rasmussen

Man kunne også blot have taget den eksisterende løsning, og låst den private nøgle på en hardware enhed. Man ville sikkert have sparet staten for 1 milliard skattekroner her og nu, og reduceret sandsynligheden for identitetsrøveri betragteligt.

  • 4
  • 0
Log ind eller Opret konto for at kommentere