Netbank-tyve fløj under Intrusion Detection-radar: Kunde slog alarm

Sniffer programmer kan ikke bruges ved nem id alene da der skal bruges en ny kode ved hvert login.

Man in the middle angreb er ikke umulig fordi du har en virus scanner, men det lukker for mange af hullerne.

Det kræver dog også at du husker at opdatere dine programmer.

Hvad med virusscanner. Vi har mange diskussioner på min arbejdsplads om virusscannere. Er der ikke nogle eksperter her i dette forum, der ved om dette virker eller ej. Jeg er godt klar over at "man in the middle" angreb er umulige for en virusscanner, men diverse "sniffer" programmer hvad med dem. mvh, Erik.

Der er faktisk en del software til at opdage at noget er galt. Det er data mining software bla. der undersøger patterns og trends i hvad der foregår, og slår alarm, hvis der foregår noget som er helt galt i forhold til hvad der forventes. Disse softwareprodukter kan snydes, men det kræver ofte, at man ved hvad de leder efter, så man kan undgå at ryge i fælden. Det er også derfor man nogengange får en besked om at der er opdaget et eller andet med det Mastercard/Eurocard/Diners etc. man render rundt med, og det derfor automatisk er blevet udskiftet. Da jeg arbejdede et sted hvor jeg rejste meget, skete dette nogle gange om året, at mit Mastercard blev skiftet. Det er muligt at opdage at luskede ting foregår (eller i hvert fald at der er steder hvor der er mistanke om det). Men det er klart sværere at finde ud af hvem der står bag.

Med henvisning til Lars Lundin's beskrivelse.

Det er ikke ulovligt, at man stiller NemID til rådighed, selv om man er vidende om, at der er en række muligheder i de manglende aspekter omkring sikkerheden. Når man nu VED at der er de muligheder, og det oven i købet er ret godt dokumenteret at disse muligheder er der, så er det jo bare en af nettes muligheder.

Man skal kun dokumenterer sin indbetaling, hvilke udbetalinger eller andre dispositioner banken foretager, det skal banken ( Netz ) selv stå inde for.

Jeg har lidt svært ved at se kundens ansvar i den sammenhæng, det er jo en del af kundens muligheder, at henvise til den manglende sikkerhed i NemID, og dermed også kundens mulighed, at holde Banken/ Netz ansvarlig for alle dispositioner.

Kunden kan vel aldrig blive den kriminelle i et sådant system. Kunden benytter blot de muligheder systemet stiller til rådighed.

Hvis Banken tager kundernes penge, og smider dem på fortovet, så er det jo heller ikke kundens ansvar. Men det er alles mulighed, at benytte de muligheder som penge på fortovet tilbyder.

Eller når koncernsikkerhedschef i Danske Bank Poul Otto Schousboe fortæller, hvordan det gennem almindelig høker-revision er muligt at detekterer en mulighed i NemID, så er det jo heller ikke kundernes ansvar. Det er koncernsikkerhedschef i Danske Bank Poul Otto Schousboe, der beredvilligt fortæller om de muligheder der er.

Det kan godt være jeg er lidt dum-naiv, men med de muligheder NemID stiller til rådighed, så kan der vel ikke være tale om at man kan kræve nogen kunder er ansvarlige for noget som helst. NemID er jo er system, som er specielt bygget således, at f.eks. udenlandske terrorister, eller andre udlændinge, har alle muligheder til rådighed, for at sikre cashflow.

Der er jo ikke tale om noget specielt sikkert logonsystem, eller identifikationssystem. At holde hund og gemme pengene under madrassen, er sikrere i forhold til udenlandske kriminelle eller terrorister.

Nu må de tage sig sammen inden de udtaler sig.

De vrøvler om nogen systemer, der skal opdage uregelmæssigheder, som er komplet værdiløse, hvilket de så også beskriver i samme sætning.

( 8 gange er min kone kørt igennem garageporten, så nu skulle det så hjælpe at justerer på hængslerne..... Nej man tager øsen fra konen, og siger hun skal afleverer kørekortet til politiet, inden hun slår nogen ihjel..... )

Det kan ikke lade sig gøre, automatiseret at opdage, om det er den ene eller den anden, der ligger inde med en NemID. Hvordan i himlens navn vil de opdage det, det indgår ikke i NemID, hvem der logger ind, det er kun et logonsystem.

NemID indeholder ingen form for sikker identifikation, så fat det dog.

Derfor kommer NemID heller aldrig til at blive en sikker identifikationsløsning, hvilket igen medfører, at man ikke kan holde styr på, hvem der logger ind.

Det vil altid være "nogen", som logger ind. Det kan NemID simpelthen ikke forhindre. Fordi det altid er "nogen", der kan benytte NemID op mod en masse muligheder, bliver det ALDRIG sikkert. Fordi man bilder folk ind, at der er tale om en Identifikationsløsning, selv om det ikke er, så bliver NemID aldrig sikkert.

Man kan ikke lyve sig frem til, at et produkt er noget, som det ikke er. H C Andersen forklarede dette, i "Kejserens nye klæder". Det gælder stadigvæk.

Det hjælper ikke noget, at man er en stor finanskanon. Det bliver det ikke mere "sandt" af.

NemID er ikke hvad man forventede, hverken på den ene eller den anden måde. NemID er ikke et identifikationssystem, som ellers forventet. NemID er ikke et sikkert logon-system, som ellers forventet.

NemId er kun et system, som finanssektoren kan lave penge på, og det er så billigt og dårligt udført, at det ikke engang fungerer til det.

Selv 14 års knægte, kan omgå det slemid skrammel. Nu er der åbenbart startet nogen andre, som er en lille smule dygtigere. Så hvad vi i fremtiden kan forvente, er helt ude over hvad selv en bank-it-troll kan forestille sig.

De var simpelthen nød til at forholde sig ærligt til situationen, for det var en kunde der henvendte sig ved skranken. Hvor mange gange er der så ikke nogen der har henvendt sig ? Det ved banken forhåbentlig ikke et klap om, og hvis de ved det, så vil de være nød til at holde det skjult, for ellers er der jo overhovedet ingen, der på nogen måde fortsat kan have tillid til den tumpeløsning.

Hvorfor gør banker ikke bare det de er bedst til ?

Med malware på kundens PC er det teknisk set ikke muligt at skelne mellem en transaktion udført af kunden selv og en udført af en kriminel på kundens vegne.

Så hvordan afgør banken hvilke transaktioner de vil erstatte?

I princippet kan man som kunde lave en overførsel til en udenlandsk konto, hvorfra pengene straks forsvinder. Beløbet deler kunden med sin udenlandske hjælper.

Herefter siger kunden at transaktionen må være lavet af malware (som derefter har slettet sig selv), og får beløbet foræret af banken.

Der skal nok være nogen, der prøver.