Se om du har fået NemID-trojaneren: Usynlig for antivirus

Illustration: leowolfert/Bigstock
Det ondsindede spionprogram, som blev brugt til at stjæle fra otte netbankkunder, kom fra en legitim hjemmeside og slap forbi brugernes antivirus. Se her, om du har fået trojaneren med navnet Banktexeasy.

Antivirussoftware var ikke til megen hjælp for de otte kunder hos Danske Bank, som tilsammen fik stjålet 700.000 kroner i det angreb, som blev afsløret den 10. februar.

Læs også: Netbanktyve bryder gennem NemID igen: Stjæler 700.000

Ifølge sikkerhedsfirmaet CSIS var der nemlig tale om en helt ny variant af en trojaner, som var lavet specifikt til at angribe de danske kunder og login-løsningen NemID.

Det betød ifølge CSIS, at selvom de ramte brugere havde installeret antivirussoftware, så var ingen af programmerne i stand til at opdage den ondsindede trojanske bagdør, før angrebet var gennemført. CSIS har nu givet trojaneren navnet Banktexeasy.

Selvom antivirusfirmaerne forsøger at have algoritmer, som kan opdage hidtil ukendte varianter af ondsindede programmer, så sørger de kriminelle også for at afprøve deres nye varianter mod antivirussoftwaren.

Flere af de bagmænd, som udvikler de trojanske bagdøre for de kriminelle bag selve svindlen, giver ligefrem garanti mod, at antivirusprogrammerne kan opdage trojanerne.

Brugerne blev heller ikke inficeret med trojaneren, fordi de bevægede sig ud på mere lyssky dele af internettet ifølge CSIS. I stedet blev trojanerne spredt fra en legitim hjemmeside, som var blevet hacket.

Det sker ofte, at helt legitime hjemmesider bliver brugt til at sprede malware på grund af sikkerhedshuller i webapplikationerne.

Sikkerhedskonsulent Peter Kruse fra CSIS beskriver på Facebook trojaneren som den absolut værste malware, han har set det seneste år. Programmet er ifølge Peter Kruse udviklet specifikt for at angribe de danske netbanker, som benytter NemID.

NemID øger ellers sikkerheden i forhold til flere af de tidligere netbankløsninger, fordi der er tale om såkaldt to-faktor-autentificering, som ikke blot kræver et brugernavn og et kodeord, men også en ekstra kode fra et papkort.

I angrebet mod Danske Bank-kunderne lykkedes det imidlertid de kriminelle at gå ind som en skjult mellemmand, når brugerne loggede på netbanken, og få lokket en ekstra NemID-kode ud af brugerne med et popup-vindue.

Læs også: Nyt hacker-trick snød NemID: Sådan gjorde de

CSIS har udviklet et lille værktøj, der tester, om en given pc er inficeret med Banktexeasy. Du kan downloade værktøjet her.

Det er endnu ikke lykkedes Version2 at få en kommentar fra CSIS.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (41)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jesper Ørsted

Jesper Stein Sandal glemte at skrive på hvilket OS infektionen finder sted, men at dømme efter det screenshot der er af trojanerens popupvindue, så er det Windows, som det plejer at være med den slags! Ikke MacOSX, Linux eller nogen form for Unix.

  • 19
  • 12
Thue Kristensen

Jeg var personligt forhåbentligt ikke faldet for det vindue i screenshottet - det ligner jo ikke en NemID login-dialog. Selv om de sagtens kunne have lavet en der lignede lige så godt som i Version2's demonstration.

Det at den i modsætning til den rigtige dialog bliver vist som et overlay, med siden bag ved grået ud, forstår jeg heller ikke. De kunne jo sagtens editere/erstatte html-siden som den rigtige dialog var på, og så sætte deres dialog ind i stedet.

  • 4
  • 1
Carsten Olsen

Det er helt forkert at bruge virus scannere. (da de på forhånd skal kunne genkende en malware på dens signatur.Altså kan den ikke genkende alle de nye og farligste malware)

En seriøs måde at gøre det på er: forskellige rettigheds niveauer til brugerne/ sandkasser / API begrænsning.

Jeg påstår ikke at LINUX er garanteret sikkert. Men måden det gøres på de fleste Windows maskiner er garanteret usikkert!. ;-)

  • 4
  • 7
Helge Svendsen

@Benjamin

java version "1.6.0_23" OpenJDK Runtime Environment (IcedTea6 1.11pre) (6b23~pre11-0ubuntu1.11.10.1) OpenJDK 64-Bit Server VM (build 20.0-b11, mixed mode) Feb 20, 2012 12:35:56 PM DANID_DIGITAL_SIGNATUR appletdk.pbs.applet.bootstrap.new - Not using whitelisted class classloader: net.sourceforge.jnlp.runtime.JNLPClassLoader Feb 20, 2012 12:35:56 PM Thread-4 - init Assertion failure: rt->onOwnerThread(), at /build/buildd/firefox-10.0.2+build1/build-tree/mozilla/js/src/jsapi.cpp:6316

Altså en fejl i Firefox 10.

Du kan downgrade din firefox til en tidligere version, der virker det, eller bruge eks Chromium.

  • 6
  • 2
Benjamin Balder

Hej Nikolaj Hansen. Jeg ved ikke, hvordan du ræsonnerer, men jeg kan ikke se, hvordan ovenstående stacktrace viser, at der er en fejl i Firefox. Det kan jo sagtens være NemID, der har en race-condition, som betyder, at en assertion på tilgangen til et objekt ulovligt sker fra en anden tråd. Altså, selvom Firefox ikke er fejlfri, er det endnu lidt svært at sige, hvor fejlen ligger.. men NemID burde selv have ansvaret og skrive det under deres driftsforstyrrelser, så menige brugere kan få nem adgang til vejledning og ikke behøver spilde tid med at undersøge deres egen platform.

Det er korrekt, at det virker i Chromium med selvsamme OpenJDK og IcedTea.

  • 2
  • 2
Flemming Hansen

Hvis nu man i stedet prøver at lærer folk hvilke typer at mails de kan stole på samt hvorvidt de må klikke på links i mails osv osv, så skulle man måske bare lærer alle at bruge én fælles hjemmeside til at få adgang til alt offentligt (www.danmark.dk) men derudover også ting der relaterer sig til fx NemID.

Så ved folk altid hvor de skal finde deres adgang til den slags ting, og hoax mails mv vil blive fortid.

Det vil ikke stoppe alt, men det vil da stoppe den del hvor folk bliver narret til at klikke på links i mails, eller ramme forkerte hjemmesider via google, hvilket lader til at være de primære angrebsveje.

  • 1
  • 9
Finn Aarup Nielsen

Hvis nu man i stedet prøver at lærer folk hvilke typer at mails de kan stole på samt hvorvidt de må klikke på links i mails osv osv, så skulle man måske bare lærer alle at bruge én fælles hjemmeside til at få adgang til alt offentligt

Angrebet har ikke noget med link i emails eller een fælles hjemmeside at gøre, så vidt jeg da kan forstå. CSIS skriver på https://csis.dk/da/private/banktexeasy/ "at bankkunden har besøgt en legitim hjemmeside, der har været hacket." Altså ingen link i email eller besøg på obskur hjemmeside. Desuden hvis der er tale om et popup-vindue igangsat af en trojaner under login hjælper det ikke nødvendigvis med een fælles login-side. Det springende punkt er om brugeren kan detektere og forstå at popup-vinduet ikke har relation til hans normale indlogning. Det hjælper een fælles hjemmeside nok ikke på. Det gør vel det snarere nemmere for den kriminelle at hans trojaner kun skal holde øje med at kunden tilgår en bestemt webside.

  • 5
  • 0
kim fischer

ahh flemming måske folk skulle lære sig selv at stole på deres eget indstinkt og så prøve at skriv s i deres søgning på google også skulle de også lære ikke at åbne e,mails som de tydligt kan se i deres mail kommer for en de ikke kender så ville det være godt men folk er desværre så godtroende jeg kender flere som blindt stoler på deres udbyder og deres eget antivirus pgr.

  • 0
  • 1
Flemming Hansen

@Kim - Det er netop det jeg er inde på. Det er ikke alle der besidder sund fornuft i relation til netbrug, og uanset om folk er hjemmevant med IT eller ej, så vil der altid være nogen der ryger i fælden.

Jeg tror det er svært at få alle lært en "fornuftig" brug af mail og hjemmesider, og som vi kan se kan de nuværende metoder snyde selv garvede it-brugere. Mails kan have en falsk afsender som man ikke lige opdager hvis man ikke kigger nærmere efter. I søgninger på google kan man også let komme til at klikke på et forkert link hvis adressen mindre tilstrækkelig meget om den rigtige.

Jo mere simpelt man kan gøre det for folk, desto mindre bliver risikoen for fejl. Det kan være rigtigt at centralisering af fx. adgang til det offentlige bare giver bedragerne færre steder at skulle rette sine angreb mod, men til gengæld kan man også fokusere flere ressourcer til at overvåge disse centrale "knudepunkter".

  • 0
  • 0
Jesper Poulsen

Selv programmet der skal forhindre virus, er kun til Windows... :)

Det er en Windows-virus, så alle vi der ikke anvender Windows har ikke noget at frygte. Og hvis man sandbox'er NemID i en virtuel maskine der kun anvendes til NemID har man heller ikke noget at frygte, selv om den virtuelle maskine skulle køre Windows.

Min sandbox kører ikke Windows og host-OS er ikke Windows. :-)

  • 5
  • 1
Anonym

Hvem stoler man på ?

Når man nu ved, fra tidligere tråde her på V2, at Netz / DanID, selv benytter sig af skjult software på brugernes PC, så er det jo umuligt at stole på nogen. Kan man ikke bare få at vide hvilken fil man skal slette ? Det virker ikke betryggende, at skule hente et andet stykke software.

Hvorfor stilles denne mulighed til rådighed i Danmark ?

" CSIS beskriver på Facebook trojaneren som den absolut værste malware, han har set det seneste år. Programmet er ifølge Peter Kruse udviklet specifikt for at angribe de danske netbanker, som benytter NemID. "

Jeg forstår, at man angriber gennem NemID, simpelthen fordi det stiller så mange muligheder til rådighed. Jeg kan også forstå, at der er tale om, at det med et sådant angreb er muligt, specifikt at gå efter Banker. Det underminerer grundlaget for NemID, der jo netop er udviklet med henblik på bl.a. Banker.

Noget andet er, hvad med alt muligt andet ? Er der nogen som helst, der kigger på at alle mulige andre aktører, der benytter NemID i deres system, kan være angrebet. Skat, Kommuner, Detailhandlen, osv, hvad skal de nu gøre ? Er der allerede angreb i gang på dem, uden at man ved noget som helst om det ?

Gennerelt: Teoretisk scenarie, som postuleret af DanID, er vi ude over. Der er tale om et helt reelt scenarie.

Nu må det være noget som Netz/DanID, tager ansvarligt op, og simpelthen fjerner muligheden for den type angreb.

Det hjælper intet, at f.eks. Banker kan beskytte sig, hvis alle andre aktører, fortsat er udsat for denne usikkerhed i NemID. Det er jo den forurettede forretningsdrivende, der skal betale, hvis systemet bliver misbrugt. Det gælder naturligvis også for Bankerne, og de har demonstreret ansvarlighed. Men det vil kunne ruinerer mange forretningsdrivende, og helt stille en given NemID bruger økonomisk ubeskyttet. Derfor må man forlange, at Netz/DanID enten fjerner muligheden, eller dækker en hver udgift nogen må have ved anvendelse af NemID.

Man kan jo ikke både stille et system til rådighed for forbrydere, og samtidigt slå ud med armene, og sige det ikke er deres bord, når systemet bliver benyttet til kriminalitet.

Nu må de vælge, enten kan de levere et sikkert system, eller også kan de ikke. Set ude fra, er der INTET der tyder på, at de kan leverer et sikkert system. Der er ikke engang noget der beskriver, at der er noget på vej, eller vilje til at leverer en sikker løsning.

Jeg er voldsomt træt af at skulle hakke på Netz/DanID, og se hvordan andre brugere tilsvarende er utrygge ved NemID. Det kan ikke passe, at man gennem simpelt misbrug af den magt man er tildelt, kan få lov til at fortsætte på den måde. Regner de med, at bare de bliver ved længe nok, med en løsning der ikke hænger sammen, så bliver det mere sikkert at benytte NemID, og alle bliver trygge og glade ?

  • 0
  • 3
Lars Meldgård

Er jeg den eneste der har studset over at man i artiklen linker til en ikke-krypteret side hvor man kan download en executable som angiveligt skulle scanne om man har dårlig software på computeren?

Skulle man hos CSIS (hvem de så end er) ikke tage og sætte et certificat på sitet så man havde en smule føling med, om det var endnu et hacker site eller nogen der (igen) prøver at kaste dårlig kode mod mig?

Jeg stoler i hvert fald ikke på et site uden certifikat.

  • 2
  • 0
Lars Magnusson

Nordea brugte noget tilsvarende til NemID i Sverige for flere år siden, men tvingedes at droppe dem netop fordi det var för nemt at fejke loginsider og plukke brugerne på koder.

Brug noget tilsvarende SecurID/Ubikey der kombinerer engangskoden med tiden. Dyrere? Vad siger der som fåt sine penge stjålne?

Eller at hvis en kod blir hopet over, så som sker i attacken, så blir denne umedelbart blokkerede, dvs. der integreres en löbnummerfaktor i koden. Kan ikke se at så er idag.

  • 0
  • 1
Anders Rosendal

Hvordan vil du snuppe en kode, når du ikke ved hvilke numre koderne har?

De er jo ikke nummereret 1-132.

Har du nogensinde set NemID eller gætter du bare?

Tror det han prøver at sige er: Hvis jeg snupper din pung og tager et billede af dit nemid kort, så kan jeg bruge en kode uden du opdager det.

Hvis koderne blev brugt som nummer 1,2,3.... ville du se et "hop" næste gang du gik i banken hjemmefra.

  • 0
  • 0
Lars Magnusson

Via de falske pop-op vindue, hvis jeg opfattet artikeln korrekt. Brugeren logger ind, får "fejl" og bliver ombed at logge ind igen, då man kommer ind? Eller fejl opfattet?

Var sådan attacken såg ud i Sverige. Koden fra den "fejlagtige" indloggning, var den som siden brugedes for at komme til kontot. Gettning behövdes ikke, brugeren gav dem alt de behövde og vad jeg ser, det samme sker med NemID.

  • 1
  • 1
Jesper Poulsen

Via de falske pop-op vindue, hvis jeg opfattet artikeln korrekt. Brugeren logger ind, får "fejl" og bliver ombed at logge ind igen, då man kommer ind? Eller fejl opfattet?

Det er korrekt.

Koden fra den "fejlagtige" indloggning, var den som siden brugedes for at komme til kontot. Gettning behövdes ikke, brugeren gav dem alt de behövde og vad jeg ser, det samme sker med NemID.

Koden skal bruges med det samme. Systemet tæller ned når en kode er blevet anvendt. Lad os sige, at systemet beder om koden ud for 0832. Denne kode skal bruges med det samme (den skal passe til tallet 0832 som NemID skriver på skærmen). Bliver den ikke brugt med det samme er den ude. Den kan ikke bruges senere, for NemID vil aldrig spørge efter den igen.

  • 0
  • 0
Anonym

Det med at aflure koden, er korrekt. Det er en af de grundlæggende fejl i NemID. Det er sådan set lige meget hvordan man aflurer.

Det er mindst lige så sikkert, hvis brugeren selv bestemmer koden, og ændrer den jævnligt. Der er flere muligheder, for at gøre NemID bedre.

NemID handler ikke om en nem id. Det handler om noget helt andet. I Danmark handler det om magt og retten til økonomisk styring. Det ligger hos organisationen bag NemID, altså finanssystemet. Den offentlige myndighed, Digitaliseringsstyrelsen, lytter KUN til finansråddet, som er den reelle magtfaktor i forbindelse med Dansk økonomi, og altså også i forbindelse med identifikation af de brugere som skal benytte noget som helst, i forbindelse med at kunne eksisterer i Danmark.

Finanssystemet er på den måde informeret, om hvordan og i hvilken forbindelse, enhver borger eller virksomhed foretager sig noget som helst i Danmark.

Da det tilsvarende er bundet sammen med f.eks. Tinglysning, som heller ikke er en sikker løsning, er det en alvorlig situation.

Teknisk set, kan enhver finansvirksomhed, gøre som de vil, med enhver tænkelig ejendom i Danmark. Følger man lidt med, så er det en intention som findes og udnyttes.

Der har, bare inden for den sidste uge, været eksempler på, at magtpositionen udnyttes. Se evt. Indlæg på Business.dk: http://www.business.dk/finans/landbrug-frygter-million-tab-paa-cibor-svi... Eller her på V2 omkring izettle.

  • 0
  • 1
Log ind eller Opret konto for at kommentere