Det evige våbenkapløb mellem it-kriminelle og bankerne falder ofte ud til hackernes fordel, selvom bankerne opruster med NemID, sms-koder og andre sikkerhedsforanstaltninger. I dag er malwaren og de it-kriminelle nemlig blevet ganske avancerede og ihærdige og kan med lidt 'social engineering' hurtigt få inficeret offerets smartphone også.
Sådan lød det fra Juraj Malcho, leder af malware-forskningen hos antivirusfirmaet Eset, da han gæstede København og gav sin vurdering af netbank-sikkerhed både internationalt og i Danmark.
»Lige nu ser vi en ny trussel, Hesperbot, der blev opdaget i august og bruger en ny metode, hvor den går ind og overtager den krypterede kommunikation med banken. Kunden kommunikerer så med de it-kriminelles server, som også har et sikkerhedscertifikat, men som ikke er udstedt af et anerkendt firma. Det opdager bankkunderne nok ikke,« forklarede han.
Mange udenlandske banker bruger koder sendt via sms eller mobilapplikationer for at opnå tofaktor-sikkerhed. Men så sender hackerne en slags phishing-sms til ofrene og får dem til at installere malware på deres telefon også.
Også de mange interne sikkerhedsalarmer i bankerne kan hackerne undgå, fordi de efterhånden kender principperne bag og har insidere i bankerne, fortalte den slovakiske malware-jæger.
Den sikreste løsning
Men hvad kan bankerne så gøre? Der findes faktisk gode, sikre løsninger, som gør det rigtig svært for hackere at stjæle fra banken, lød vurderingen fra Juraj Malcho, der hev en lille lommeregner-lignende kortlæser frem.
»Denne her bruger jeg selv, for det var det sikreste, jeg kunne finde, og jeg har siden år 2000 valgt bank efter deres sikkerhed. Her bliver kontonumre og beløbet, der skal overføres, brugt som en del af koden, så de it-kriminelle ikke bare kan ændre i den transaktion, der bliver gennemført,« forklarede han.
For at bruge netbank skal han først putte sit betalingskort i en kortlæser og taste en pin-kode, hvorefter man får en kode til at logge ind på netbank. Den lille kortlæser, en Todos A200, er i sig selv ’dum’ og man kan i princippet have flere af dem eller dele med andre.
»Betalingskortet er 'noget du har'. Og hardwaren er blot en læser, som beregner ud fra chippen på kortet. Det gode ved den er, at den ikke kan blive inficeret af malware,« sagde Juraj Malcho.
Når man skal overføre penge, skal kontonummer og beløb indtastes på kortlæseren, stadig med betalingskortet sat i, og så får man en kode retur, man så skal sammenligne med den kode, man får på computerskærmen fra bankens egne serverside-beregninger.
»Hvis computeren er inficeret, og malwaren forsøger at ændre noget i transaktionen, kan man se, at de to koder ikke passer sammen,« forklarede han.
Den slovakiske bank, han bruger, tilbyder kunderne flere forskellige muligheder for netbank-sikkerhed, hvor løsningen med den lille kortlæser er den sikreste - men også den mindst populære.
»Der er ikke mange, der bruger det, men og det er måske også lidt upraktisk, hvis du skal gennemføre mange transaktioner. I forhold til at bruge engangskoder som med NemID, tager der måske ti sekunder mere pr. transaktion. Og så tager det lidt tid at vænne sig til,« sagde Juraj Malcho.
Den danske idé om, at alle banker bruger samme system, som også bliver brugt til offentlige websider, var han ikke så vild med.
»Jeg synes, det er en god idé, at en bank tilbyder flere forskellige løsninger, hvor man selv kan vælge, hvor sikkert det skal være. Omvendt er et single-point-of-contact aldrig godt, og i Danmark har I taget det koncept endnu længere ud med NemID. Som også er baseret på Java, der i sikkerhedskredse næsten er 'det onde selv',« lød hans vurdering.

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.