Malware-ekspert: Her er et sikkert netbank-login

Illustration: leowolfert/Bigstock
Kriminelle kan snyde NemID, sms-koder og bankernes interne beskyttelse mod netbanktyveri. Men der findes også bedre løsninger, fortæller en professionel malware-jæger, der har valgt bank efter login-sikkerheden.

Det evige våbenkapløb mellem it-kriminelle og bankerne falder ofte ud til hackernes fordel, selvom bankerne opruster med NemID, sms-koder og andre sikkerhedsforanstaltninger. I dag er malwaren og de it-kriminelle nemlig blevet ganske avancerede og ihærdige og kan med lidt 'social engineering' hurtigt få inficeret offerets smartphone også.

Sådan lød det fra Juraj Malcho, leder af malware-forskningen hos antivirusfirmaet Eset, da han gæstede København og gav sin vurdering af netbank-sikkerhed både internationalt og i Danmark.

»Lige nu ser vi en ny trussel, Hesperbot, der blev opdaget i august og bruger en ny metode, hvor den går ind og overtager den krypterede kommunikation med banken. Kunden kommunikerer så med de it-kriminelles server, som også har et sikkerhedscertifikat, men som ikke er udstedt af et anerkendt firma. Det opdager bankkunderne nok ikke,« forklarede han.

Mange udenlandske banker bruger koder sendt via sms eller mobilapplikationer for at opnå tofaktor-sikkerhed. Men så sender hackerne en slags phishing-sms til ofrene og får dem til at installere malware på deres telefon også.

Også de mange interne sikkerhedsalarmer i bankerne kan hackerne undgå, fordi de efterhånden kender principperne bag og har insidere i bankerne, fortalte den slovakiske malware-jæger.

Den sikreste løsning

Men hvad kan bankerne så gøre? Der findes faktisk gode, sikre løsninger, som gør det rigtig svært for hackere at stjæle fra banken, lød vurderingen fra Juraj Malcho, der hev en lille lommeregner-lignende kortlæser frem.

»Denne her bruger jeg selv, for det var det sikreste, jeg kunne finde, og jeg har siden år 2000 valgt bank efter deres sikkerhed. Her bliver kontonumre og beløbet, der skal overføres, brugt som en del af koden, så de it-kriminelle ikke bare kan ændre i den transaktion, der bliver gennemført,« forklarede han.

For at bruge netbank skal han først putte sit betalingskort i en kortlæser og taste en pin-kode, hvorefter man får en kode til at logge ind på netbank. Den lille kortlæser, en Todos A200, er i sig selv ’dum’ og man kan i princippet have flere af dem eller dele med andre.

»Betalingskortet er 'noget du har'. Og hardwaren er blot en læser, som beregner ud fra chippen på kortet. Det gode ved den er, at den ikke kan blive inficeret af malware,« sagde Juraj Malcho.

Når man skal overføre penge, skal kontonummer og beløb indtastes på kortlæseren, stadig med betalingskortet sat i, og så får man en kode retur, man så skal sammenligne med den kode, man får på computerskærmen fra bankens egne serverside-beregninger.

»Hvis computeren er inficeret, og malwaren forsøger at ændre noget i transaktionen, kan man se, at de to koder ikke passer sammen,« forklarede han.

Den slovakiske bank, han bruger, tilbyder kunderne flere forskellige muligheder for netbank-sikkerhed, hvor løsningen med den lille kortlæser er den sikreste - men også den mindst populære.

»Der er ikke mange, der bruger det, men og det er måske også lidt upraktisk, hvis du skal gennemføre mange transaktioner. I forhold til at bruge engangskoder som med NemID, tager der måske ti sekunder mere pr. transaktion. Og så tager det lidt tid at vænne sig til,« sagde Juraj Malcho.

Den danske idé om, at alle banker bruger samme system, som også bliver brugt til offentlige websider, var han ikke så vild med.

»Jeg synes, det er en god idé, at en bank tilbyder flere forskellige løsninger, hvor man selv kan vælge, hvor sikkert det skal være. Omvendt er et single-point-of-contact aldrig godt, og i Danmark har I taget det koncept endnu længere ud med NemID. Som også er baseret på Java, der i sikkerhedskredse næsten er 'det onde selv',« lød hans vurdering.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (25)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#4 Lars Lundin

"Single point of contact"

er vel tilstrækkeligt tæt på "single-sign-on", som NemID jo er.

Iøvrigt sender min (tyske) bank en SMS med både transaktionskode og beløb. Det er betryggende, da jeg ikke bruger min mobiltelefon til at logge på banken.

Min danske bank-konto har jeg lige præsteret at lukke (med overførsel af pengene til en anden persons konto), udelukkende via email med oplysning af mit CPR-nummer.

Jeg er glad for at jeg åbenbart var den første der prøvede det nummer med min konto.

  • 8
  • 0
#5 Peter Makholm Blogger

Da jeg for et års tid siden skrev om Mit netbank-design! var jeg lidt inde på samme løsning:

Egentlig ville jeg gerne have en digital signatur der dækkede hele transaktionen: Et tidspunkt, et fortløbende transaktions-id og for pengeoverførelse et beløb en afsender-konto og en modtager-konto. Selvfølgelig foretaget af en ekstern enhed der ikke kunne angribes på sammen måde som en normal desktop computer.

Og ligeledes at det må være muligt for banken at lave en differentieret service:

Men den får vi nok ikke lige den normale kunde med på, men lad os ikke forfalde til laveste fællesnævner. Giv kunderne flere muligheder: Stol på bankens webapp, autoriser modtageren eller autoriser hele transaktionen. Hvilket niveau af sikkerhed en kunder kræver kan så afgøres som en del af rollesystemet.

  • 3
  • 0
#6 Kjeld Flarup Christensen

At kunne vælge mellem flere løsninger er nok det bedste. Det han vel mener med single-point-of-contact er at man kun skal hacke et system, så hacker man hele Danmark. Det betyder at det virkeligt kan betale sig at lægge kræfter i at knække nemid. Problematisk er det for mig at se også at den samme kode giver adgang til flere ting, det vil sige at der er større risici for at dele af koden aflures. Mange herunder mig selv bruger jo de samme password flere steder fordi det er umuligt at vælge et unikt hver sted.

Men password til min PayPal bruges kun der. Og jeg ville hellere end gerne kun bruge mit netbank password i netbanken og ingen andre steder.

  • 0
  • 0
#7 Helge Svendsen

Hvis man nu blot kombinerede OTP løsningen med en kode vist på skærmen, og en SMS sendt til eens telefon, hvorefter man selv skulle sammenligne indholdet, så ville man være kommet langt.

MITM ville ikke være umuligt, men mange mange gange sværere.

  • 1
  • 0
#8 Baldur Norddahl

Jeg har prøvet en terminal der ikke fylder mere end et almindeligt kreditkort. God sikkerhed behøver ikke betyde at vi skal have en kæmpe klodset terminal. Det system jeg prøvede fylder i virkligheden mindre end NemID!

Det kan også laves smartere end beskrevet. Kontonummer og beløb kan overføres til terminalen med en QR kode og indbygget sensor (kamera) i terminalen. Så viser terminalen "Overfør kr. X,XX til konto Y?" ud fra oplysninger gemt i QR koden.

En sådan terminal er sikkert nok dyrere i indkøb end et papkort. Særligt hvis man er en organisation der er vandt til at håndtere storskala udskrifter (banker der sende kontoudtog med mere). NemID er lavet så det passer ind i de teknologier bankerne allerede bruger, hvorfor en NemID aktivering ligner et dankort aktivering på en prik.

Hvis man skal bruge 5 millioner terminaler så kan man forhandle nogle rigtig gode priser på plads. Terminalerne kan forventes at holde længere end papkortet, der jo skal udskiftes når alle koderne er opbrugt.

Med forbehold for at DanID kan få en mobilløsning til at koste 100 millioner kroner, så burde en ordentlig terminalbaseret løsning ikke være uoverskueligt meget dyrere end den eksisterende papkortsløsning.

  • 2
  • 1
#9 Henrik Madsen

På Netbank området er Danmark et uland i forhold til Slovakiet.

Men allright, i Danmark er kasselinien i supermarkedet også betjent af en kassedame, i modsætning til f.eks Slovenien hvor de fleste supermarkeder har indført at man selv bipper varerne og betaler med kontanter eller kort.

På den måde kan én medarbejder holde "ild" i 4 kasser og der er altid mindst 4 kasser åbent i supermarkedet hvilket = nærmest ingen kø.

Dette på trods af at man nok kunne få 4 kassedamer i Slovenien til samme pris som én i Danmark.

Oh well, vi er vist ikke så langt fremme som vi selv går og tror.

  • 4
  • 0
#13 Joe Sørensen

Det minder mig om den jeg havde fra Danske Bank, før de gik over til det der nemID. Deres løsning var ca. dobbelt så tyk som et NemID papkort, men passede stadig i pungen. Og så skulle du købe batteri til den ca hvert 2. år.

Og det er nok den mest sikrer løsning der er til identifikation, og den er lidt så let at bruge som et pap kort.

  • 0
  • 0
#15 Maciej Szeliga

Ja, så mangler vi bare at dansk supermarked...

Føtex og Bilka (hhv. Hjørring og Hillerød) har automatiske kasser, problemet er at hver scanning verificeres af en vægt hvilket gør scanningen en del langsommere end i IKEA.

I øvrigt har supermarkederne talt om denne løsning allerede i 80'erne, det blev stoppet af fagforeningerne og myndighederne pga. at du lige pludseligt har 1 medarb. som gør 4 medarbejders arbejde... dvs. du har 3 arbejdsløse ekstra for hver 4 selvbetjæningskasser.

  • 0
  • 0
#16 Jeppe Glenstrup Jensen

Jeg er desværre ikke meget inde i betalingskortsikkerhed. Men jeg kender til "lommeregner" sikkerhedsmodellen fra Holland, hvor både Rabobank og ABN Ambro bruger den type sikkerhed. Det der umiddelbart slår mig ved den model er, at lommeregneren, som naturligvis ikke er online, beder om pinkode, og kan læse på kortet om pinkoden er korrekt. Den kan også spærre kortet ved tre forkert forsøg. Det kan være jeg tager fejl, men kan man så ikke også læse den korrekte pinkode på kortet? Er dankortet herhjemme opbygget på samme måde? Det virker helt åndsvagt, hvis ikke at pinkode informationen kun ligger hos Nets.

  • 0
  • 0
#18 Michael Coene

Jeg har en (fra en Belgisk Bank) som jeg skal holde op mod PC-skærmen. Skærmen sender challenge som en slags optisk morse-kode via en lille java-app, så jeg skal kun indtaste pin-kode i dimsen og response i web-browseren. Den virker fint!

  • 0
  • 0
#21 Laurits Christen Henriksen

Hvad med at kigge til Sverige? Nordea bruger en kortlæser til login og netbetalinger. Password eller PIN-kode skal dermed ikke indtastes online (= sikkert?). SEB bruger en "kortlæser" uden kort, idet læseren programmeres med en kode, der ikke behøver at være betalingskortets PIN-kode. Igen ingen online indtastning af password. Læserne er nemme at have med i tasken eller lommen, og man behøver ingen (synlige) nøglekoder trykt på et A4-ark, der heller ikke er så nemt at gå rundt med.

  • 0
  • 0
#23 Jens loggo

Det er for besværligt.

Man bliver nød til at tænke på, om problemet er stort nok til at det er besværet værd, at undgå problemet.

Det er i øvrigt en del mere end 10 sekunder ekstra, at det tager at bruge den metode.

Det er ikke besværet værd, men det ville være fint at give folk muligheden for at vælge.

  • 0
  • 0
#25 Poul Pedersen

Køerne til de almindelige kasser er simpelthen blevet for lang.

Det er så på ingen måde tilfældigt, og samtidigt en forklaring på at supermarkederne ikke indfører en effektiv form for checkout: de tjener styrtende på de ting folk står i kø og får lyst til. Køerne skal så derfor helst være lige præcist så lange at kunder ikke giver op, men i stedet realiserer deres maksimale impulskøbspotentiale.

Der er ingen supermarkeder der bliver rige af at levere de rette varer til den rette pris.

EDIT: Jeg handler så ikke føtex fordi de har solgt rettighederne til jagten på deres parkeringspladser til et privat firma, hvilket er langt over min grænse for grådighed.

  • 2
  • 0
Log ind eller Opret konto for at kommentere