Nordea advarer mod ondsindet Android-app

Illustration: leowolfert/Bigstock
En ny netbank-trojaner forsøger at forhindre Nordea i at advare kunden, hvis der sker usædvanlige transaktioner, hvor banken sender en sms til kunden.

Den danske afdeling af Nordea advarer i øjeblikket sine kunder mod en speciel popup-advarsel, som dukker op, hvis de logger på netbanken og i forvejen har en netbank-trojaner installeret på deres pc.

Illustration: Nordea

Beskeden, som den ondsindede trojaner indskyder i netbank-sessionen, ligner til forveksling noget fra Nordea, bortset fra klodsede formuleringer og sprogfejl. Brugeren bliver bedt om at oplyse sit telefonnummer og fabrikat og model på telefonen.

Hvis brugeren afgiver sine oplysninger, vil der blive sendt en sms med et link til at downloade en Android-applikation.

»Det er en mobiltyv, som forsøger at stjæle sms'er. Det er et forsøg på at omgå de sikkerhedsmekanismer ved unormale overførsler, hvor banken sender en sms for at få bekræftet en overførsel af et stort beløb eller penge til udlandet,« siger sikkerhedskonsulent Peter Kruse fra sikkerhedsfirmaet CSIS til Version2.

Android-applikationen er beregnet til at opsnappe sms-beskederne, og selve applikationen hedder 'NemID'. Den er dog det mindste af problemerne for brugeren, som bliver mødt med popup-beskeden på sin netbank.

»Hvis man ser den dialogboks, så bør man kontakte banken. Det er symptom på, at pc'en er inficeret,« forklarer Peter Kruse.

Infektionen af pc'en sker som drive-by-installation ved at brugeren besøger hjemmesider, som indeholder ondsindet kode, der udnytter kendte sårbarheder i Java JRE, Adobe Reader og Adobe Flash. Alle sikkerhedshuller er lukket på nuværende tidspunkt med opdateringer.

»Man kan manuelt fjerne den falske NemID-applikation fra Android-telefonen, men det er sværere at fjerne trojaneren fra sin pc. Og hvis man er inficeret med én trojaner, så er der stor sandsynlighed for, at man også har anden malware installeret,« siger Peter Kruse.

Det seneste angreb mod Nordea-kunder er eksempel på flere af de teknikker, som bagmændene bag de nyeste netbank-angreb har taget i brug. Først og fremmest er det mere overbevisende, når bagmændene som her kan indsætte en besked, som ser ud til at være en legitim besked, når brugeren selv besøger sin netbank.

»Den modificerer indholdet i browseren. Brugeren tror jo på det, han ser, og så er der ingen sikkerhedsmekanismer, der fungerer, når man kan snøre brugeren til at gøre dumme ting ved hjælp af social engineering,« siger Peter Kruse.

Selvom de grafiske elementer af dette eksempel på den nye type angreb er ganske overbevisende, så er der også tegn, som kan vække mistanke, hvis brugerne er opmærksomme og tager sig tid til at læse teksten og opdager fejlene, som næppe vil forekomme i ægte beskeder fra banken.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (9)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#2 Erik Jensen

Begge dele. På pc vises et ekstra skærmbillede ved login, som får brugeren til at indtaste sit mobilnummer. Dette sendes til angriberen, som bruger det til at snyde brugeren til at installere et program på dennes android telefon. Dette program kan så opsnappe de sms beskeder, som Nordea normalt sender ved unormalt store overførsler. Dermed bliver brugeren ikke notificeret om unormalhederne, og reagerer dermed ikke lige så hurtigt på misbruget som normalt. Det giver angriberen tid til at få fat i det overførte beløb.

  • 6
  • 0
#5 Henrik Madsen

Endnu en grund til at disable samtlige tre plugins fra sin browser, eller evt. kun tillade dem på de sider det død og kritte er nødvendigt.

Jeg har ikke NemID så for nyligt forsøgte jeg for sjov at disable java på min computer og til min store overraskelse har jeg endnu ikke stødt på en hjemmeside hvor jeg mistede indhold/funktionalitet ved at have det slået fra.

Jeg vælger, udfra mine egne erfaringer at konkludere at en stor del af Danmarks befolkning ville kunne leve fint og MEGET mere sikkert ved at slå Java fra....Hvis ikke lige det var for NemID.

  • 9
  • 2
#7 Steen Poulsen

Ja, og i det hele taget burde ALLE tage afstand fra at skulle "installere" udvidelser for at "se" specielt indhold. Vi skal tilbage til at alt nødvendigt "køre" i host miljøet ! Så er det også deres ansvar at det virker ! og ikke menig mand !!

https - og så "flad" html kode, resten må de(Service udbyderne) drømme sig til !

:-D

  • 0
  • 0
#9 Morten Lund

Det ville være godt at have én computer til bank og kun det, og så tabs og labs mv. til alt det andet. Men nu hvor mobilen er blevet en integreret del af sikkerheden (sms), ligger det ligefor og noget mere overkommeligt at have fx. en billig Nokia serie 40 til bank sms bekræftelse og så smartphone til alt det andet.

  • 0
  • 0
Log ind eller Opret konto for at kommentere