NemID-trojaner muterer konstant i jagten på nye netbank-ofre

8. maj 2012 kl. 15:2416
Der kommer hele tiden nye varianter af den trojanske bagdør, som bliver brugt til at franarre NemID-brugere deres login-oplysninger og stjæle penge fra deres bankkonti.
person
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person

Danske netbbankkunder, som bruger NemID, er under konstant angreb fra de kriminelle, som står bag en familie af trojanske bagdøre, som nu flere gange er blevet brugt til at stjæle penge fra danskeres bankkonti.

Siden det første angreb med trojaneren Banktexeasy er trojaneren kommet i nye varianter, og det ser ud til at fortsætte.

»Der kommer nye varianter hele tiden,« siger juridisk konsulent Jesper Goul fra Finansrådet til Version2.

Finansrådet indsamler kvartalsvis oplysninger fra bankerne om svindel, og de seneste angreb er endnu ikke opgjort, men Jesper Goul vurderer, at der er tale om færre ofre end første gang.

Artiklen fortsætter efter annoncen

Når der løbende kommer nye varianter, betyder det også, at antivirusværktøjerne skal opdateres løbende. Det er hovedsageligt sikkerhedsfirmaet CSIS, som samarbejder med Finansrådet om Banktexeasy, men CSIS distribuerer også oplysningerne om de nye varianter til de øvrige sikkerhedsfirmaer.

CSIS og Finansrådet har frigivet et værktøj, der kan spore Banktexeasy, som løbende bliver opdateret.

»Vores råd er, at man prøver at downloade den nyeste version,« siger Jesper Goul.

Derudover vil Finansrådet ikke råde brugerne til at træffe andre forholdsregler end dem, der gælder generelt for brugen af netbankerne.

Artiklen fortsætter efter annoncen

Jobs

Dine job
Vis alle

Bankerne har på deres side en række værktøjer, som kan opdage mistænkelig aktivitet og spore svindel, og bankerne tilpasser i øjeblikket disse værktøjer i forhold til, at trusselsbilledet ændrer sig.

Trojaneren forsøger at lokke en NemID-kode ud af brugeren ved at vise et ekstra popup-vindue, mens brugeren er logget på med NemID. De første forsøg var forholdsvis klodsede, hvor brugeren eksempelvis kunne få vist et nyt loginvindue fra en anden bank, men det er blevet rettet i de nyeste varianter.

»Brugerne skal være opmærksomme, hvis noget ser underligt ud,« siger Jesper Goul.

Når man er logget ind med NemID på sin netbank, vil man ikke blive bedt om flere koder.

Trojaneren bliver brugt til et såkaldt man-in-the-middle-angreb, hvor trojaneren opsnapper brugernavn og adgangskode og sender det til bagmændene. Når brugeren logger på med NemID, kan bagmændene starte endnu en login-session.

Den kræver naturligvis også en engangskode, og det er den, bagmændene forsøger at lokke ud af brugeren ved at åbne et popup-vindue på brugerens pc.

Pengene fra de hackede konti bliver typisk overført til udenlandske konti, som tilhører mere eller mindre uvidende mellemmænd, også kaldet muldyr. Bankernes antisvindelsystemer vil normalt kunne stoppe sådanne overførsler, før de bliver gennemført, men i enkelte tilfælde slipper de gennem nåleøjet.

I de sager bliver muldyret bedt om at føre pengene tilbage eller risikere en politianmeldelse.

Fokus
Emner
16 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
16
Morten Lund
10. maj 2012 kl. 22:58

Efterhånden som computere bliver mere og mere alleandseje, er det måske på tide at have en decideret ROM computer, der er udelukknede til hængelåst communikation. En maskine som ikke kan inficeret ude fra nettet. Hvis der skal ændres i softwaren skal ejeren fysisk med en ny disk, indlæse det hjemme i stuen.Når så banken eller kommunen har opdateringer fordi de har fundet på noget nyt, så skal man fysisk i banken eller kommunen og hente en disk.

Hvad blev der af Googles styresystem, der blev beskrevet lidt i stil med det her?

  • more_vert
    • insert_linkKopier link
14
Indsendt af Thomas Hansen (ikke efterprøvet) den ons, 05/09/2012 - 10:36

Som Jesper Lund er inde på, så er det offentlige slet ikke gearet til at modstå disse angreb. Størstedelen af det offentlige er slet ikke i gear til Digitalisering. Man kører f.eks. stadigvæk e-mail rundt på en papirløsning, rundt omkring i landet, hvilket vel i sig selv beskriver at man er tættere på runeristning end man er på digital kommunikation.

Selve Nem-systemet, er en åben dør for hackere. Det er som at lave en digital kanal i piratfarvand, og så tvinge brugerene til at bruge den.

I øjeblikket, er det Bankerne der er mest udsat, men det er kun toppen af isbjerget. Bankerne registrerer alle angreb der går galt, hvorved de "afslører" et hackerangreb, men det er kun fordi at bankerne er opmærksomme. Der er intet der forhindrer hackere i, at lave angreb på alt muligt andet, inden for NemID systemet, og der er ingen der ved, om ikke det allerede foregår.

Efterhånden som NemID systemet bliver tvunget igennem, så skabes der værdi for hackerne, hvilket i sig selv vil medføre flere angreb. Tilsvarende, så vil hackerne opdage mere sofistikerede måder at få værdi ud af NemID systemet, hvilket vil hæve niveauet og kompleksiteten af angreb yderligere.

Der er allerede angreb der benytter tilliden til de indførte Digitale løsninger, og der i gennem hacker sig ind. Her kaldes det identitetstyverier, men grundlæggende er det det samme. Om man misbruger en persons identitet i forbindelse med en bank, eller misbruger identiteten i forbindelse med noget andet, er i den sammenhæng underordnet.

Det er lidt sørgeligt, men jeg kan kun se, at NemID i sig selv, er et fejlskud. Et fejlskud der allerede har kostet milliarder, og som i fremtiden vil koste meget meget mere.

Der har netop været en artikel, hvor det Norske forsvar, er begyndt at "se lyset". Der har man indset, at man ikke kan forhindre cyberangreb, ved at gemme sig bag høje mure af kodeord og firewalls, men at det handler om, at sprede risikoen og være fleksible. Det ligner vejen frem, og bør også i Danmark danne grundlag for den strategi der lægges.

I forhold til Staten og NemID, så har Staten som sådan ikke nogen pligt til at indgå et samarbejde, som det der er skabt med NemID. Denne fælles løsning, mellem finanssystemet og Staten, er ikke en forpligtigelse for samfundet. Staten er kun forpligtet over for samfundet, altså alle de identiteter samfundet består af, hvor Staten har en forpligtigelse i forbindelse med identifikation. Forpligtigelsen har Staten, for hvis ikke man, over for alle, kan identificerer sig som hørende under Staten, så kan hverken Staten eller den enkelte identitet, påberåbe sig gensidige rettigheder eller pligter.

[ Eks. Staten kan ikke påberåbe sig at Thomas Hansen, skal overholde Dansk IT-lovgivning, for Staten ved som sådan ikke hvem Thomas Hansen er, og i den forbindelse, så er et ikke sikkert at Thomas Hansen overhovedet vil kalde sig Dansk, hvorfor loven som sådan ikke er gældende for Thomas Hansen. ( eller alle andre ) Tilsvarende, så har Thomas Hansen, ikke mulighed for, over for alle, at bekræfte identiteten Thomas Hansen, og kan derfor ikke søge beskyttelse i Dansk lov. ( gælder tilsvarende for alle andre ) ]

Vil man påberåbe sig beskyttelse, så er der op til den enkelte, at bevise hvem man er, men det er ikke umiddelbart muligt. Der er tale om omvendt bevisførelse, selv for identiteten, i enhver sag hvor IT er indblandet. Det gælder også sager hvor NemID er blevet misbrugt, eller alle andre sager, hvor IT er blevet brugt til andre identitetstyverier.

Det er hverken Staten eller nogen anden offentlig myndighed, gearet til at håndterer. Det er helt enkelt ikke muligt, for man har ikke styr på den gensidige relation. Man kan kun få styr på den gensidige relation, hvis den enkelte identitet, kan identificerer sig selv, over for alle. Det kan KUN lade sig gøre, hvis identiteten kan tilspørges i første person, ellers er der tale om at man lader 3'person udrede oplysninger om en given identitet.

Der findes en patentanmeldt løsning som fungerer over internettet, hvor man kan identificerer sig selv i første person, og som tilbyder identifikation, uden mulighed for MIM angreb. Den opfylder fuldt ud, Statens forpligtigelse over for de enkelte identiteter, og indblander ikke noget som helst andet. Den virker på alle platforme, med adgang til internettet, herunder mobile løsninger, eller andre fremtidige løsninger. Det er Digitaliseringsstyrelsen vidende om, og har været det i flere år. En sådan løsning er selvfølgelig ikke gratis, hverken i indkøb eller drift. Men det er der heller ikke nogen andre IT-løsninger der er.

Fordi man ikke kan identificerer sig korrekt, vil NemID ALDRIG komme til at virke som et identifikationssystem. Det er ganske simpelt umuligt, da NemID i sig selv, tilbyder en særskilt mulighed for MIM angreb, netop fordi NemID tilbyder identifikation i 3 person.

NemID er bare en løsning der tilbyder fælles login på mange sites, intet andet. Derfor vil det altid forblive et sweetspot for enhver hacker, om ikke for andet, så for at afprøve hackerens evner ud i eget metier.

Det er hverken Bankerne, Statens myndigheder, eller alle de enkelte virksomheder der benytter Nem-systemet, gearet til. Det kan de ikke være gearet til, for det kan helt enkelt ikke lade sig gøre.

Uanset hvor meget tvang man benytter, og hvor mange pisk man truer med, så er det helt og absolut umuligt for Nem-systemet svageste led, at geare sig til Nem-systemet. Det er den enkelte bruger, som danner det svageste led i Nem-systemet. Hvis Nem-systemet, skal bare afspejle nogen form for sikkerhed, vil det for den enkelte bruger kræve en indsigt i IT sikkerhed, der langt overgår hvad selv Finanssystemet kan stille op på, eller for eksempel Folketinget selv. Det er simpelthen umuligt. Selv for den mest garvede IT-sikkerhedsekspert.

Det hjælper ikke at man lovgiver, det bliver det ikke mere sikkert af. Der er kun tale om, at man dermed tvinger den enkelte bruger ud i at udsætte sig selv for ekstra stor risiko.

Da vi nu efterhånden alle sammen er klar over, at Nem-systemet er belastet med grundlæggende mangler, og i sig selv aldrig kan blive sikkert, så kan vi konkluderer at det er nødvendigt at afvikle det, eller tilpasset, så det ikke længere tilbyder et sweetspot, som enhver hacker frit kan benytte til egen fornøjelse og vinding.

Kan man ikke finde ud af at opbygge et sådant system, så brugerne kan finde beskyttelse, så kan man jo spørge. Med den rette motivation, så kan der nemt svares på det.

Foreløbig, kan vi kun konstaterer, at Nem-systemet, stiller enesående muligheder til rådighed for almindelige hackere, men også i forbindelse med et egentligt cyberangreb, er de helt fremme i skoene. Det er der ingen der er gearet til at håndterer, ikke engang Statens egne sikkerhedsorganer, kan hjælpe i den forbindelse.

  • more_vert
    • insert_linkKopier link
13
Jesper Nielsen
9. maj 2012 kl. 03:30

Bankernes servere burde kunne sættes til at smide begge klienter af, hvis to logger ind på brugerID'et samtidigt og lave en popup med en virus advarsel på begge klienter samtidigt. og så spærre adgangen for netbank med det samme indtil banken låser den manuelt op og NemIDen spærres, så brugeren skal ha nyt med ny brugernavn og password. Måske endda, det var en ide for bankerne at poste en reminder hvergang brugeren logger på sin netbank, om man nu også har sikret sin maskine mod malware med et samtidigt link til, hvordan man gør. Fru Nielsen aner jo hat om computersikkerhed.

Desuden mener jeg stadig at NemID er skod og bør skifte ud med noget, der er mere brugervenligt.

  • more_vert
    • insert_linkKopier link
15
Jørgen L. Sørensen
9. maj 2012 kl. 11:34

Måske endda, det var en ide for bankerne at poste en reminder hvergang brugeren logger på sin netbank, om man nu også har sikret sin maskine mod malware med et samtidigt link til, hvordan man gør.

Det synes jeg ikke er en god idé - der er skrammel nok på diverse hjemmesider som man skal forholde sig til. Når jeg logger ind på min netbank er der allerede en del information, men det lægger jeg sjældent mærke til fordi der er så meget.

Men en iøjnefaldene markering når der er noget nyt kan være en fordel, f.eks. som i dag hvor der åbenbart er en ny applet - bankens instruktion på hvorledes jeg kan se om den er ægte falder dog igennem på 2 ud af 3 punkter på min Firefox/Ubuntu :-(

Jeg har ikke fået svar endnu fra bankens hotline på min henvendelse.

Tilføjelse: Banken skriver til mig at de vil tilrette teksten så den også passer til Linux :-)

  • more_vert
    • insert_linkKopier link
11
Morten Lund
8. maj 2012 kl. 23:05

Er det så let at manipulere det billed man får på skærmen? Ved Mitm angreb er man vel på afveje og ikke kommet ind på sin banks hjemmeside, men en af forbryderens. Kan der ikke laves noget smart/fiks programmel der "prikker en på skulderen" når det er den rigtige bankhjemmeside man er på?

  • more_vert
    • insert_linkKopier link
12
Jesper Lund
9. maj 2012 kl. 00:02

Er det så let at manipulere det billed man får på skærmen? Ved Mitm angreb er man vel på afveje og ikke kommet ind på sin banks hjemmeside, men en af forbryderens.

Meningen er at du skal bruge NemID overalt -- fra banker og offentlige tjenester til spille- og dating-sites. DanID tjener penge per login, så jo flere steder, desto bedre.. for DanID (husk at med NemID er du ikke kunden, du er en del af produktet).

Det kan blive meget svært at skelne ægte NemID sites fra falske. Dertil kommer at din browser session kan være manipuleret hvis en angriber har kontrol over din computer.

SSL (HTTPS) er heller ikke så sikkert som DanID vil have os til at tro. Der har været mange falske SSL certifikater "in the wild". Tænk DigiNotar, og de er ikke den eneste CA som er blevet hacket.

  • more_vert
    • insert_linkKopier link
10
Simon Jonassen
8. maj 2012 kl. 21:37

@martin....

det er netop én af de foranstaltninger banken (danske bank i min tilfælde) har indført efter angrebet.... "mistænklige" transaktioner til udlandet skal lige clear'es med netbank brugeren via telefon / mail / sms før de overføres....

/Simon :-)

  • more_vert
    • insert_linkKopier link
9
martin Sandberg
8. maj 2012 kl. 19:36

hvad med at få tilsendt bekræftelse mail med link og så skulle indtaste ny nøgle. ved beløb over en vis størrelse

  • more_vert
    • insert_linkKopier link
5
Simon Jonassen
8. maj 2012 kl. 17:27

Nu blev jeg jo franarret penge i første hug via banktexeasy..... (fik dem heldigvis igen)

Det er ikke et under at nogen viderudvikler "produktet".... det har jo viste sig at kunne gi' guld.....

Man skal jo tag og kigge på sikkerheden af NEMID istedetfor.... som jeg før har sagt, burde det ikke være muligt at kunne "være på" 2 steder på én gang..... (the real session / malware session) - ja man kunne argumentere at større virksomheder har flere medarbejder på et givet netbank ad gangen.... MEN de virksomheder kører "som regel" via NAT og vil fremtræde med den samme IP....

Get real people.... der er jo nogle klare fejl og mangler med NEMID - lad os få det løst eller afskaffet til fordele for noget bedre og mere gennemtænkt !

Just my 2 cents....

/Simon :-)

  • more_vert
    • insert_linkKopier link
8
Ove Andersen
8. maj 2012 kl. 19:33

Som det vist er blevet nævnt før, så er det jo trivielt for angriberen at bruge din computer som proxy også, hvis først han har adgang.

Derved er det kun din IP der er logget på banken, og hans angreb foregår direkte gennem din internetforbindelse.

Så at begrænse til én IP ad gangen, er blot som at lukke et enkelt hul i en spand ramt af et haglgevær.

  • more_vert
    • insert_linkKopier link
6
Simon Jonassen
8. maj 2012 kl. 17:40

Vil lige tilføje at mine penge røg til ungarn.... via en IP adresse som viste sig at være en nordjysk erhvervs computer....(manden vidste intet), så det er jo rene hygge.... de bruger "zombies" som proxy åbenbart.....

/Simon :-)

  • more_vert
    • insert_linkKopier link
4
Leif Neland
8. maj 2012 kl. 17:27

Når man er logget ind med NemID på sin netbank, vil man ikke blive bedt om flere koder.

Min netbank holdt pludselig op med at spørge om nøglekortkoder ved login, og spurgte først, når der skulle laves en transaktion.

Og banken insisterede på at det ikke var en fejl.

Hvis der nu bliver spurgt om nøglekortskoder ved hver transaktion, kan man jo let komme i tvivl om man har gjort det for mange gange.

  • more_vert
    • insert_linkKopier link
3
Lars Rasmussen
8. maj 2012 kl. 17:24

Den kræver naturligvis også en engangskode, og det er den, bagmændene forsøger at logge ud af brugeren ved at åbne et popup-vindue på brugerens pc.

Jeg går ud fra, at I mener 'lokke' i stedet for 'logge' ;-)

  • more_vert
    • insert_linkKopier link
1
Jesper Lund
8. maj 2012 kl. 15:48

Vi kan lige så godt acceptere at NemID vil være under nærmest konstant angreb i fremtiden. Designet inviterer jo til MiTM angreb, og den fristelse kan de kriminelle selvfølgelig ikke modstå.

Bankerne har levet med angreb på netbanker i 10+ år. De har back-end systemer til at overvåge mistænkelige transaktioner. Og de har det økonomiske incitament til at gøre dette, da bankerne hæfter for misbrug (i hvert fald overfor privatkunder).

Hvilket beredskab kan vi forvente i den offentlige sektor?

Som bekendt vil regeringen indføre obligatorisk digital selvbetjening i det offentlige (lovforslag L 159 og L 160). Vi skal alle tvinges til at erhverve OCES NemID (mange-dobling af angrebsvektorerne i forhold til netbank NemID), og vi skal bruge NemID ofte så det offentlige sparer en masse penge.

Men hvad med sikkerheden?

Det er ikke nok at gentage at "NemID er sikkert hvis blot folk installerer AV og opdaterer deres Java blah blah blah."

  • more_vert
    • insert_linkKopier link