Malware-ekspert: Her er et sikkert netbank-login

16. september 2013 kl. 15:2025
Kriminelle kan snyde NemID, sms-koder og bankernes interne beskyttelse mod netbanktyveri. Men der findes også bedre løsninger, fortæller en professionel malware-jæger, der har valgt bank efter login-sikkerheden.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Det evige våbenkapløb mellem it-kriminelle og bankerne falder ofte ud til hackernes fordel, selvom bankerne opruster med NemID, sms-koder og andre sikkerhedsforanstaltninger. I dag er malwaren og de it-kriminelle nemlig blevet ganske avancerede og ihærdige og kan med lidt 'social engineering' hurtigt få inficeret offerets smartphone også.

Sådan lød det fra Juraj Malcho, leder af malware-forskningen hos antivirusfirmaet Eset, da han gæstede København og gav sin vurdering af netbank-sikkerhed både internationalt og i Danmark.

»Lige nu ser vi en ny trussel, Hesperbot, der blev opdaget i august og bruger en ny metode, hvor den går ind og overtager den krypterede kommunikation med banken. Kunden kommunikerer så med de it-kriminelles server, som også har et sikkerhedscertifikat, men som ikke er udstedt af et anerkendt firma. Det opdager bankkunderne nok ikke,« forklarede han.

Mange udenlandske banker bruger koder sendt via sms eller mobilapplikationer for at opnå tofaktor-sikkerhed. Men så sender hackerne en slags phishing-sms til ofrene og får dem til at installere malware på deres telefon også.

Artiklen fortsætter efter annoncen

Også de mange interne sikkerhedsalarmer i bankerne kan hackerne undgå, fordi de efterhånden kender principperne bag og har insidere i bankerne, fortalte den slovakiske malware-jæger.

Den sikreste løsning

Men hvad kan bankerne så gøre? Der findes faktisk gode, sikre løsninger, som gør det rigtig svært for hackere at stjæle fra banken, lød vurderingen fra Juraj Malcho, der hev en lille lommeregner-lignende kortlæser frem.

»Denne her bruger jeg selv, for det var det sikreste, jeg kunne finde, og jeg har siden år 2000 valgt bank efter deres sikkerhed. Her bliver kontonumre og beløbet, der skal overføres, brugt som en del af koden, så de it-kriminelle ikke bare kan ændre i den transaktion, der bliver gennemført,« forklarede han.

For at bruge netbank skal han først putte sit betalingskort i en kortlæser og taste en pin-kode, hvorefter man får en kode til at logge ind på netbank. Den lille kortlæser, en Todos A200, er i sig selv ’dum’ og man kan i princippet have flere af dem eller dele med andre.

Artiklen fortsætter efter annoncen

»Betalingskortet er 'noget du har'. Og hardwaren er blot en læser, som beregner ud fra chippen på kortet. Det gode ved den er, at den ikke kan blive inficeret af malware,« sagde Juraj Malcho.

Når man skal overføre penge, skal kontonummer og beløb indtastes på kortlæseren, stadig med betalingskortet sat i, og så får man en kode retur, man så skal sammenligne med den kode, man får på computerskærmen fra bankens egne serverside-beregninger.

»Hvis computeren er inficeret, og malwaren forsøger at ændre noget i transaktionen, kan man se, at de to koder ikke passer sammen,« forklarede han.

Den slovakiske bank, han bruger, tilbyder kunderne flere forskellige muligheder for netbank-sikkerhed, hvor løsningen med den lille kortlæser er den sikreste - men også den mindst populære.

Artiklen fortsætter efter annoncen

»Der er ikke mange, der bruger det, men og det er måske også lidt upraktisk, hvis du skal gennemføre mange transaktioner. I forhold til at bruge engangskoder som med NemID, tager der måske ti sekunder mere pr. transaktion. Og så tager det lidt tid at vænne sig til,« sagde Juraj Malcho.

Den danske idé om, at alle banker bruger samme system, som også bliver brugt til offentlige websider, var han ikke så vild med.

»Jeg synes, det er en god idé, at en bank tilbyder flere forskellige løsninger, hvor man selv kan vælge, hvor sikkert det skal være. Omvendt er et single-point-of-contact aldrig godt, og i Danmark har I taget det koncept endnu længere ud med NemID. Som også er baseret på Java, der i sikkerhedskredse næsten er 'det onde selv',« lød hans vurdering.

25 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
23
22. september 2013 kl. 13:44

Det er for besværligt.

Man bliver nød til at tænke på, om problemet er stort nok til at det er besværet værd, at undgå problemet.

Det er i øvrigt en del mere end 10 sekunder ekstra, at det tager at bruge den metode.

Det er ikke besværet værd, men det ville være fint at give folk muligheden for at vælge.

21
17. september 2013 kl. 12:35

Hvad med at kigge til Sverige? Nordea bruger en kortlæser til login og netbetalinger. Password eller PIN-kode skal dermed ikke indtastes online (= sikkert?). SEB bruger en "kortlæser" uden kort, idet læseren programmeres med en kode, der ikke behøver at være betalingskortets PIN-kode. Igen ingen online indtastning af password. Læserne er nemme at have med i tasken eller lommen, og man behøver ingen (synlige) nøglekoder trykt på et A4-ark, der heller ikke er så nemt at gå rundt med.

18
17. september 2013 kl. 09:31

Jeg har en (fra en Belgisk Bank) som jeg skal holde op mod PC-skærmen. Skærmen sender challenge som en slags optisk morse-kode via en lille java-app, så jeg skal kun indtaste pin-kode i dimsen og response i web-browseren. Den virker fint!

16
17. september 2013 kl. 07:59

Jeg er desværre ikke meget inde i betalingskortsikkerhed. Men jeg kender til "lommeregner" sikkerhedsmodellen fra Holland, hvor både Rabobank og ABN Ambro bruger den type sikkerhed. Det der umiddelbart slår mig ved den model er, at lommeregneren, som naturligvis ikke er online, beder om pinkode, og kan læse på kortet om pinkoden er korrekt. Den kan også spærre kortet ved tre forkert forsøg. Det kan være jeg tager fejl, men kan man så ikke også læse den korrekte pinkode på kortet? Er dankortet herhjemme opbygget på samme måde? Det virker helt åndsvagt, hvis ikke at pinkode informationen kun ligger hos Nets.

13
16. september 2013 kl. 22:45

Det minder mig om den jeg havde fra Danske Bank, før de gik over til det der nemID. Deres løsning var ca. dobbelt så tyk som et NemID papkort, men passede stadig i pungen. Og så skulle du købe batteri til den ca hvert 2. år.

Og det er nok den mest sikrer løsning der er til identifikation, og den er lidt så let at bruge som et pap kort.

9
16. september 2013 kl. 21:47

På Netbank området er Danmark et uland i forhold til Slovakiet.

Men allright, i Danmark er kasselinien i supermarkedet også betjent af en kassedame, i modsætning til f.eks Slovenien hvor de fleste supermarkeder har indført at man selv bipper varerne og betaler med kontanter eller kort.

På den måde kan én medarbejder holde "ild" i 4 kasser og der er altid mindst 4 kasser åbent i supermarkedet hvilket = nærmest ingen kø.

Dette på trods af at man nok kunne få 4 kassedamer i Slovenien til samme pris som én i Danmark.

Oh well, vi er vist ikke så langt fremme som vi selv går og tror.

19
17. september 2013 kl. 09:52

Henrik Madsen, jeg har også set det i Føtex. Så det er på vej til at blive rullet ud.

25
25. september 2013 kl. 15:37

Køerne til de almindelige kasser er simpelthen blevet for lang.

Det er så på ingen måde tilfældigt, og samtidigt en forklaring på at supermarkederne ikke indfører en effektiv form for checkout: de tjener styrtende på de ting folk står i kø og får lyst til. Køerne skal så derfor helst være lige præcist så lange at kunder ikke giver op, men i stedet realiserer deres maksimale impulskøbspotentiale.

Der er ingen supermarkeder der bliver rige af at levere de rette varer til den rette pris.

EDIT: Jeg handler så ikke føtex fordi de har solgt rettighederne til jagten på deres parkeringspladser til et privat firma, hvilket er langt over min grænse for grådighed.

15
17. september 2013 kl. 07:24

Ja, så mangler vi bare at dansk supermarked...

Føtex og Bilka (hhv. Hjørring og Hillerød) har automatiske kasser, problemet er at hver scanning verificeres af en vægt hvilket gør scanningen en del langsommere end i IKEA.

I øvrigt har supermarkederne talt om denne løsning allerede i 80'erne, det blev stoppet af fagforeningerne og myndighederne pga. at du lige pludseligt har 1 medarb. som gør 4 medarbejders arbejde... dvs. du har 3 arbejdsløse ekstra for hver 4 selvbetjæningskasser.

8
16. september 2013 kl. 18:08

Jeg har prøvet en terminal der ikke fylder mere end et almindeligt kreditkort. God sikkerhed behøver ikke betyde at vi skal have en kæmpe klodset terminal. Det system jeg prøvede fylder i virkligheden mindre end NemID!

Det kan også laves smartere end beskrevet. Kontonummer og beløb kan overføres til terminalen med en QR kode og indbygget sensor (kamera) i terminalen. Så viser terminalen "Overfør kr. X,XX til konto Y?" ud fra oplysninger gemt i QR koden.

En sådan terminal er sikkert nok dyrere i indkøb end et papkort. Særligt hvis man er en organisation der er vandt til at håndtere storskala udskrifter (banker der sende kontoudtog med mere). NemID er lavet så det passer ind i de teknologier bankerne allerede bruger, hvorfor en NemID aktivering ligner et dankort aktivering på en prik.

Hvis man skal bruge 5 millioner terminaler så kan man forhandle nogle rigtig gode priser på plads. Terminalerne kan forventes at holde længere end papkortet, der jo skal udskiftes når alle koderne er opbrugt.

Med forbehold for at DanID kan få en mobilløsning til at koste 100 millioner kroner, så burde en ordentlig terminalbaseret løsning ikke være uoverskueligt meget dyrere end den eksisterende papkortsløsning.

7
16. september 2013 kl. 18:04

Hvis man nu blot kombinerede OTP løsningen med en kode vist på skærmen, og en SMS sendt til eens telefon, hvorefter man selv skulle sammenligne indholdet, så ville man være kommet langt.

MITM ville ikke være umuligt, men mange mange gange sværere.

6
16. september 2013 kl. 17:40

At kunne vælge mellem flere løsninger er nok det bedste. Det han vel mener med single-point-of-contact er at man kun skal hacke et system, så hacker man hele Danmark. Det betyder at det virkeligt kan betale sig at lægge kræfter i at knække nemid. Problematisk er det for mig at se også at den samme kode giver adgang til flere ting, det vil sige at der er større risici for at dele af koden aflures. Mange herunder mig selv bruger jo de samme password flere steder fordi det er umuligt at vælge et unikt hver sted.

Men password til min PayPal bruges kun der. Og jeg ville hellere end gerne kun bruge mit netbank password i netbanken og ingen andre steder.

5
16. september 2013 kl. 17:37

Da jeg for et års tid siden skrev om Mit netbank-design! var jeg lidt inde på samme løsning:

Egentlig ville jeg gerne have en digital signatur der dækkede hele transaktionen: Et tidspunkt, et fortløbende transaktions-id og for pengeoverførelse et beløb en afsender-konto og en modtager-konto. Selvfølgelig foretaget af en ekstern enhed der ikke kunne angribes på sammen måde som en normal desktop computer.

Og ligeledes at det må være muligt for banken at lave en differentieret service:

Men den får vi nok ikke lige den normale kunde med på, men lad os ikke forfalde til laveste fællesnævner. Giv kunderne flere muligheder: Stol på bankens webapp, autoriser modtageren eller autoriser hele transaktionen. Hvilket niveau af sikkerhed en kunder kræver kan så afgøres som en del af rollesystemet.

1
16. september 2013 kl. 15:29

Jeg kan rigtig godt lide, at beløbet er en del af koden. Det reducerer risikoen for et man-in-the middle angreb betragteligt.

Bemærkningen om "single point of contact", er lige i øjet.

3
16. september 2013 kl. 16:04

"Single point of contact" er i dette tilfælde det samme som "single point of failure".

4
16. september 2013 kl. 16:53

"Single point of contact"

er vel tilstrækkeligt tæt på "single-sign-on", som NemID jo er.

Iøvrigt sender min (tyske) bank en SMS med både transaktionskode og beløb. Det er betryggende, da jeg ikke bruger min mobiltelefon til at logge på banken.

Min danske bank-konto har jeg lige præsteret at lukke (med overførsel af pengene til en anden persons konto), udelukkende via email med oplysning af mit CPR-nummer.

Jeg er glad for at jeg åbenbart var den første der prøvede det nummer med min konto.