Hackere snyder NemID igen: Sydbank stopper massivt angreb

15. august 2012 kl. 06:2923
Hackere snyder NemID igen: Sydbank stopper massivt angreb
Illustration: peepo/iStockphoto.
13 gange de seneste uger har hackere narret NemID-koder ud af Sydbank-kunder og flyttet penge fra deres konti. Interne sikkerhedssystemer har dog forhindret bagmanden i at få glæde at pengene.
person
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person

Et stort angreb på Sydbanks netbank er endt med en lang næse til hackerne. For selvom login-proceduren med NemID blev snydt 13 gange, fik hackerne aldrig penge ud af banken.

Det fortæller Sydbank, den fjerdestørste bank i Danmark, oven på to ugers ’massivt angreb’ mod sin netbank.

»13 kunder har oplevet, at der er forsvundet penge fra deres konto. Men vores bagvedliggende sikkerhedsprocedure har fået stoppet pengene, før de kom ud af Sydbank. Så vores varslingssystem har virket og har vist sit værd, og det er vi jo relativt tilfredse med,« siger Niels Skylvad, områdedirektør i Sydbank, til Version2 med lidt jysk underdrivelse.

Det er første gang nogensinde, at Sydbank har haft hackere helt inde at pille ved kundernes konto. Men fordi alle banker nu bruger NemID, er angrebet sket på helt samme måde, som andre danske banker har oplevet.

Artiklen fortsætter efter annoncen

Ved hjælp af en trojansk hest, som er blevet installeret på kundernes computere, bliver folk ledt til en falsk login-side, som hackerne selv står bag. Når en kunde vil logge på, kan hackeren så bruge password og NemID-koderne til selv at logge på og tømme kontoen.

De 13 gange, de it-kriminelle nåede ind til en kundes konto, var det beløb mellem 6.400 og 64.000 kroner, som blev stjålet. Men overførslerne blev altså stoppet, og alle konti, som skulle modtage pengene, er blevet lukket og politianmeldt.

Angrebet begyndte den 23. juli og stoppede så to uger senere, den 6. august. Og selvom Sydbank stadig advarer kunderne om hackertruslen, lyder vurderingen, at faren er drevet over for denne gang.

»Jeg er ret sikker på, at hackeren har opgivet os, fordi han ikke fik nogle penge ud af os,« siger Niels Skylvad.

Artiklen fortsætter efter annoncen

Jobs

Dine job
Vis alle

Hvis ikke tyveriet var blevet stoppet, ville private kunder have fået alt refunderet, mens erhvervskunder kan tegne en forsikring mod netbank-indbrud.

»Det er ikke rart at være under angreb. Men det er ligesom, hvis nogen aflurer din pinkode på dankortet og så stjæler det. Det har danskerne lært at leve med, fordi de bliver holdt skadesløse af banken,« siger Niels Skylvad.

Det er langtfra første gang, at danske bankers login-procedure med NemID bliver angrebet. I september 2011 gik det ud over otte Nordea-kunder, og i februar 2012 var det otte Danske Bank-kunder, der i alt blev franarret 64.000 kroner.

23 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
22
Per Lind
19. august 2012 kl. 15:17

Ja, så er vi her igen. Jeg har deja vue igen igen!

Man kan i alt enkelthed lade en voice biometrisk applikation lade hver transaktion vette. Det er den bedste og mest nemme teknologi at lægge over UNemID!

Kom nu ud af busken i Folketinger og hos UNemID! Det koster DKR 25.000 at lave en test!

Klaphatte!

PL

  • more_vert
    • insert_linkKopier link
21
Indsendt af Thomas Hansen (ikke efterprøvet) den tor, 08/16/2012 - 08:52

Det er fuldstændig korrekt ;)

  • more_vert
    • insert_linkKopier link
23
Per Lind
19. august 2012 kl. 15:20

Fuldstændigt Ukorrekt! Tale biometri er svarret som knækker den trojanske hest! Kom nu med nogle lidt bedre argumenter som løser problemerne og ikke bare holder de svage i samfundet som gidsler!

Prøv noget nyt eller hold kaje!

PL

  • more_vert
    • insert_linkKopier link
20
jesper madsen
16. august 2012 kl. 08:30

Til de mennesker der foreslår en kode fra mobiltelefon frem for papkort, hvor i skulle det øge sikkerheden? er vel ligemeget om de kriminelle skal phishe kode fra den ene eller anden enhed.

For mig virker dert som mennesker her glemmer at med de trojanere i dag så har kriminelle fuld kontrol over en pc så uanset hvad du smider på af sikkerhedsløsninger vil den jo nærmest pr automatik være brudt hvis vi ikke begynder at bruge decidere hardware løsninger. lukkede systemer.

  • more_vert
    • insert_linkKopier link
19
Lars Christensen
16. august 2012 kl. 04:18

Vi hører jo desværre kun om de tilfælde hvor en bank har observeret og stoppet misbrug af nemid! Hvilket kan blive en grim sovepude for de ansvarlige politikere. Kan vi forvente at alle de offentlige sider hvor nemid er påkrævet, at de opdager et misbrug? Og hvem erstatter skadelidte for de formodentlig meget opfattende skader, som et ID-tyveri/ID-misbrug kan medføre?

Mvh Lars plbrake.dk

  • more_vert
    • insert_linkKopier link
18
Dennis Schafroth
15. august 2012 kl. 19:42

Direktør, Digitaliseringstyrelsen Lars Frelle-Petersen udtaler i TV-avisen: Du skal bare checke afsenderen i mailen.

Ved han noget om SMTP? Hvad er det for nogle klaphatte vi har sat til at styre IT i Danmark!

  • more_vert
    • insert_linkKopier link
17
Indsendt af Thomas Hansen (ikke efterprøvet) den ons, 08/15/2012 - 19:14

Pressechefen hos Nets udtaler lige nu, til DR update, at man er i samarbejde med bankerne om at finde en løsning. Pressechefen udtaler også, at brugerne skal passe bedre på, for den slags Trojanerne åbner også for andre personlige oplysninger, på brugernes PC.

Der ER tale om et angreb på NemID. Dermed må det være i samme resort at man skal komme med en løsning. Brugerne kan IKKE beskytte sig, særskilt imod angreb på NemID. Det er afklaret tidligere på året, under et andet angreb. Hvor det blev afklaret, at det var et lokalt Dansk problem, og er for resourcekrævende, hvis man skal fremstille løsninger for Danske udfordringer. Det ER helt umuligt, at beskytte sig ! Det er direkte usmageligt, når der alligevel stilles krav om en sådan selvbeskyttelse fra Nets side. ( Ingen arme, ingen småkager .... )

Det er især værd at bemærke, at man hos Nets, er klar over, at der også åbnes for personlige data, når der er angreb på NemID. Dermed må det være fastslået, at NemID selv, bidrager til at udstille brugernes personlige data.

Det er jo altid et skridt på vejen, når man selv kan indse, skramlet ikke virker og at det udsætter brugernes persondata for kompromitering.

  • more_vert
    • insert_linkKopier link
16
John Vedsegaard
15. august 2012 kl. 18:00

Der er lang vej igen, først af alt må enhver form for anonym surf afskaffes, det skal overhovedet ikke være muligt at komme på nettet uden at bruge et personligt ID af en eller anden art.

Så længe det er muligt at lave lort i den, uden at sige hvem man er, vil der blive lavet lort i den.

  • more_vert
    • insert_linkKopier link
15
Morten Wegelbye Nissen
15. august 2012 kl. 17:09

Mobilbank virker på en anden måde. Login med username/password, modificerende handlinger koster en papkode hver gang. Det ville klart være en bedre løsning. Lav netbankerne om sådan login kræver username/password/papkode - transaktioner kræver papkode. Så skal brugerne være endnu dummere for at knække systemet.

  • more_vert
    • insert_linkKopier link
11
Lasse Olsen
15. august 2012 kl. 14:13

Nu har jeg ikke vildt meget forstand på det, men hvorfor ikke bare benytte sig af totrinsbekræftelse, hvor man modtager nogle cifre over sms, som man skal bekræfte på computeren ved login og overførsler? Eller hvad? ... Nu er det så godt nok ikke lige alle, der har en telefon, men det kunne da være en god løsning for størstedelen, tror jeg.

  • more_vert
    • insert_linkKopier link
12
Martin Seebach
15. august 2012 kl. 14:50

NemID er et to-trins-system. NemID er ikke "blevet snydt" - hvis hackeren har kontrol over den maskine du bruger til at få adgang er det meget meget svært at sikre.

Det man kan gøre, er at SMS'e transaktionsdetaljerne til kunden med en bekræftelseskode som så skal tastes ind. Så skal hackeren have fat i din mobil telefon også for at snyde dig.

  • more_vert
    • insert_linkKopier link
9
Søren Munk
15. august 2012 kl. 13:28

Hvem er det præcis der bliver holdt skadesfri?

Er det ikke mere at vi dækker kollektivt? mon ikke bankerne bare finde et gebyr at skrue på eller lign., eller kan vi virkelig forvente at sikkerhedschefen, direktøren eller andre ansvarlige lige får det mindre i årsbonus?

  • more_vert
    • insert_linkKopier link
8
Nicolai Hansen
15. august 2012 kl. 13:21

Det var vel prisen for at vælge NemID, i stedet for en mere sikker løsning.. Ikke nok med at man bliver generet af deres Java app, så skal man også finde deres papkort frem, selvom det intet hjælper hvis ens computer allerede har malware (hvilket jo var et af kravene: "lad som om at alle danske bankkunder har malware på deres computere").

Et SMS system havde gjort underværker (og stoppet alle de angreb vi indtil videre har set). Eller et system som det tyske (er det ikke dem der har en "skanner" af en art?)

  • more_vert
    • insert_linkKopier link
10
Michael Nielsen
15. august 2012 kl. 13:28

Man behøver ikke en SMS system eller lign.. Det kan nemt løses, den tyske løsning er ganske genial, da den har minimale krav..

Sms løsningen er desværre heller ikke god, da der kommer mere og mere malware der kan så hacke din telefon, så det er kun en stakkels frist, lige som NemID var..

  • more_vert
    • insert_linkKopier link
7
Michael Nielsen
15. august 2012 kl. 12:32

Man kan ikke råbe de magthavende op.. De vil havde NemID - der må være nogen der får lommerne fyldt pga denne løsning, det er i hvertilfald ikke sikkerheden.

NemID er ingengang en forbedring på den gamle digitale signatur..

Men det kunne så nemt havde været gjordt rigtig, of haft mange gange bedre sikkerhed end det BS vi har nu..

Men Ak nej. Hvorfor er der så stor modstand mod at lave en ordenlig sikker løsning ? Det er ikke rocket science, da teknologien, og teknikkerne har været gennemtestet, og afprøvet siden sidste i 1980'ern. Jeg var selv med til at implementere en løsning i 1993 baseret på rigtige digitale signaturer, som var mere modstandsdygtig over for virusser og hackere end NemID Så hvorfor genopfinde den dybe tallerken igen og igen - og gøre det forkert ?

  • more_vert
    • insert_linkKopier link
6
Indsendt af Thomas Hansen (ikke efterprøvet) den ons, 08/15/2012 - 12:06

Det er kun måneder siden, at man havde den opfattelse, at NemID udgjorde en sikker løsning. En løsning som man intensivt arbejder videre på, også i forbindelse med login op mod det offentlige.

At der her beskrives at en Bank bliver angrebet, og at det er lykkedes banken at begrænse skaden, er en ting. Men det er helt lige så alvorligt, at NemID fortsat danner grundlag for alles fremtidige kommunikation, op mod det offentlige.

Godt gået af Sydbank, men lignende muligheder, findes ganske enkelt ikke i det offentlige.

Og hvem skal håndhæve, politiet ? Så vidt jeg er bekendt, er der ikke et eneste seriøst eksempel, som beskriver at politiet er gearet til opgaven. Og Nej, jeg brokker mig ikke over politiet.... de gør sikkert hvad de kan.

  • more_vert
    • insert_linkKopier link
5
Michael Thomsen
15. august 2012 kl. 12:06

»Det er ikke rart at være under angreb. Men det er ligesom, hvis nogen aflurer din pinkode på dankortet og så stjæler det. Det har danskerne lært at leve med, fordi de bliver holdt skadesløse af banken,« siger Niels Skylvad.

Som det også fremgår andetsteds i artiklen bliver erhvervskunder (normalt) ikke holdt skadesløse - SELVOM det er bankerne, som sparer penge ved at have et elendigt og gennemhullet sikkerhedssystem.

Det er en skandale og Niels Skyldvad er fuld af løgn!

  • more_vert
    • insert_linkKopier link
4
Erik Bruus
15. august 2012 kl. 11:21

Der kunne gøres meget mere. Jeg overfører aldrig penge til udlandet, så kunne man vælge dette fra i sin netbank, tja så var man da lidt mere sikker. Hvis man samtidig kunne sætte et selvvalgt maksimumsbeløb for overførsler, så kunne man også bremse meget her. Evt. hvis dette beløb skal overskrides, så kræver det er ekstra kode, evt. på SMS. mvh, Erik.

  • more_vert
    • insert_linkKopier link
1
Kenn Nielsen
15. august 2012 kl. 09:23

Det har danskerne lært at leve med, fordi de bliver holdt skadesløse af banken,« siger Niels Skylvad.

Dette kunne være en acceptabel 'workaround' for brugerne, men brugeren er jo ikke garanteret at blive holdt skadelløs. Faktisk er ansvaret væltet over på brugeren med krav om opdateret PC osv.

Om nogle år bliver argumentet "jamen sådan har betingelserne altid været.."

MEN Det offentlige kan ikke holde mig skadesløs, hvis personfølsomme oplysninger er lækket pga. dårlig NemID-konstruktion.

K

  • more_vert
    • insert_linkKopier link
3
Jesper Frimann
15. august 2012 kl. 10:27

Og når det nu er din din efterløns udbetaling og dit tilgodehavende fra skat, din offentlige ydelse, der går ind på en anden nemkonto end din egen, fordi det er den som man er gået efter, hva' så ?

// Jesper

  • more_vert
    • insert_linkKopier link
2
Kaj Nielsen
15. august 2012 kl. 10:09

Hej Kenn,

Jeg er selv en af de personer der er meget kritiske overfor at danID ligger inde med alle vores nøgler på ét centralt sted. Men ud over dette, kan du så fortælle mig hvordan det offentlige har fejlet med en dårlig nemID-konstruktion? Havde det været en inficeret computer med en digital signatur kunne denne også være blevet kopieret og gerningsmændene kunne have ventet på at du afleverede dit password til dem. Som de så kunne bruge igen og igen.

  • more_vert
    • insert_linkKopier link