Nordea har SMS-sikret netbanken

En SMS i ny og næ har hævet sikkerheden i Nordeas netbank. Usædvanlige penge-overførsler skal bekræftes af kunden via mobiltelefon.

Vil en hacker tømme en konto via netbank, skal vedkommende også have fingrene i offerets mobiltelefon. Det er resultatet af en ekstra sikkerhedsforanstaltning i Nordeas netbank, som kom i brug i foråret 2008.

Så snart en usædvanlig transaktion skal gennemføres, får kunden også en SMS, der skal svares ja til, før pengene overføres.

»Det er altså ikke hver eneste transaktion, men kun dem, der er usædvanlige. Hvornår noget er usædvanligt, vil være forskelligt fra kunde til kunde, for ellers ville det være for nemt for hackerne at omgå,« forklarer Martin Andersen, chef for Nordeas netbank.

Store beløb og modtagere, der ikke normalt udveksles penge med, er tegn på, at der kan være noget galt. Transaktionen vil derefter automatisk holdes op mod kundens normale adfærd, før SMS-bekræftelsen eventuelt bliver slået til.

I gennemsnit udløser den løsning to SMS'er om året til hver af de 800.000 kunder i banken, der bruger netbank.

»Hvis vi gjorde det med hver eneste transaktion, tror jeg, vi ville få brok fra kunderne. Især erhvervskunder, som ofte betaler mange regninger på én gang,« siger Martin Andersen.

Foreløbigt har SMS-ordningen stoppet én overførsel, som kunden ikke selv havde bedt om.

Skal også være brugervenligt

Kritikken om, at bankerne skulle have gjort deres løsninger sikrere med engangskoder for længe siden, som to universitets-dataloger fremsætter i Politiken i dag, er Martin Andersen ikke overraskende uenig i.

»Det er hele tiden en afvejning mellem sikkerhed og brugervenlighed. Vi har valgt at bruge SMS-løsningen oven i, og engangskoder er på vej med den nye digitale signatur fra DanID. Og sammenligner man de mange hundrede millioner transaktioner, der er, med de få sager om hackning, der er, så vil jeg mene, at det er sikkert nok. Vi kunne sagtens gøre netbanken så sikker, at ingen hacker kom ind, men så ville der heller ikke være mange kunder, der kom derind,« siger han.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (16)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Tommy Bjerg

Er der kun tale om at man skal sende "Ja" til det nummer de sender fra kan det meget nemt spoofes. Hvis fx. "hackeren" ved at denne bank vil kunne udløse en sms som brugeren skal svare på kunne denne spoofe en sms fra brugerens nummer til den central, det kan vist ikke kræve så meget opsøgende arbejde af finde brugerens mobilnummer og den central der skal sendes til :) - Jeg antager at systemet ikke gør noget forkert hvis det modtager et "ja" formeget i de tilfælde hvor det ikke har udløst en kontrol-sms.

Dog vil brugeren stadig modtage en sms selv, og dette bør udløse et opkald til banken straks.

-- Man burde sende en kode over sms som kunden skulle indtaste i banken. Jeg kender ikke deres system, men vil da stærkt antage at man har valgt denne model istedet for.

  • 0
  • 0
Mads N. Vestergaard

Hej Tommy,

Så vidt jeg ved benytter de sig af session numbers, dvs. et 4 cifret nummer, med 3 tal efter.

Kunden skal også svare ja tilbage til samme nummer.

Normalt vil man bare kunne spoofe afsender som du siger, såfremt man kender det nummer brugeren burde sende tilbage til.

Det lidt specielle er dog at der rent faktisk ikke er tale om et telefon nummer, men det der hedder en applikations kode.

Applikationskoder kan du ikke bare sende sms'er til, det skal gøres fra en telefon der er på samme net, som applikationskoden er registreret på.

Derfor er det ikke muligt med de alm. SMS Gateways at sende til denne applikationskode.

Dermed bliver det også umuligt at spoofe afsender, da det kun er telefoner på samme netværk, der kan sende til koden.

  • 0
  • 0
Emil Petersen

Nu kender jeg ikke Nordeas løsning, men her er løsningen jo at sende en bekræftelsessms til det nummer man skifter fra.

(Uden at tage højde for usability problematikken ved at brugeren måske ikke har adgang til det gamle nummer længere. Det kan dog løses på andre måder.)

At bekræfte transaktionsdata via en anden kanal er en rigtig god idé. Dog må man håbe Nordea tænker sig om og ikke laver en "iPhone" netbank.

  • 0
  • 0
Per Erik Rønne

Det ville ganske simpelt være for besværligt at køre netbank på en iPhone med den minimale skærm.

Og iPhone OS understøtter i øvrigt hverken digital signatur, eller et script-program som QuicKeys, så også på andre måder er den uegnet til de mere seriøse net-formål.

  • 0
  • 0
Christian E. Lysel

Er det ikke trivielt for en angriber at ændre mobilnummeret, så SMS'en bliver modtaget af angriberen mobil?

Det eneste problem jeg ser, er at kunden får en SMS om "flytningen".

Men det kan også være jeg tager fejl, og andre mekanismer tages i brug, hvis der efterfølgende opstår mistænksomme transaktioner.

  • 0
  • 0
Søren Dreijer

Og iPhone OS understøtter i øvrigt hverken digital signatur, eller et script-program som QuicKeys, så også på andre måder er den uegnet til de mere seriøse net-formål.

Jeg forstår ikke helt hvorfor det er et krav at understøtte digital signatur osv. for at kunne lave en sikker netbank. De fleste banker, jeg kender i Danmark, bruger ActiveX, Java eller andre åndsvage ting. Det har jeg endnu ikke oplevet en bank i USA, der gør. I stedet bruger de andre metoder, som dels gør det meget nemmere at tilgå din netbank og som i jeg personligt synes er mere sikre. Desuden kan jeg så tilgå min netbank fra alle browsere uden at skulle være bundet til fx IE som Danske Netbank kræver pga. deres ActiveX kontrol.

Bank of America viser bl.a. et billede, du selv har valgt, samt en tekst du udfylder til billedet for at bevise over for brugeren at det rent faktisk er Bank of America's hjemmeside du snakker med. Derudover ser banken også hvorfra i verden du kommer og en masse andre ting ovenpå helt alm. SSL.

Er det ikke trivielt for en angriber at ændre mobilnummeret, så SMS'en bliver modtaget af angriberen mobil?

Det eneste problem jeg ser, er at kunden får en SMS om "flytningen".

Hvis du får en SMS når du ændrer dit telefonnummer, og der er information i SMS'en om at du er ved at ændre dit telefonnummer, så kan angriberen ikke bare ændre det.

Jeg er personligt ret hip på produktet PhoneFactor, som opnår det samme som de forskellige SMS-baserede løsninger, men i stedet for at sende en besked, så ringer de til din telefon. Det gør dels, at det er nemmere (og hurtigere) at bruge, og så er det faktisk fuldstændig out-of-band modsat brug af SMS, hvor du skal indtaste den kode, du får, på din computer (hvilket er rigtig dårligt hvis angriberen har kontrol over din computer og derved kan aflæse nummeret der tastes).

  • 0
  • 0
Martin Nissen

Det er uden tvivl et godt tiltag, så længe det er et tillæg til eksiterende sikkerhedsløsninger.

Men hvad nu når Nordea, ikke understøtte enkelte mobilselskaber, så som Hi3G, skal jeg så ned i banken, for at kunne flytte et større beløb?
Er det bare endnu en gebyr sulten tjeneste, som banken kan udnytte eller er det alle bankens kunder, der kollektivt betaler, inklusive dem, der ikke kan bruge det, pga valg af mobilselskab?

På ingen måde "mobset", bare nysgerrig.

  • 0
  • 0
Søren Dreijer

Men hvad nu når Nordea, ikke understøtte enkelte mobilselskaber, så som Hi3G, skal jeg så ned i banken, for at kunne flytte et større beløb?

Hvordan kan de ikke understøtte et bestemt mobilselskab? De burde da kunne sende SMS'er til hvem de ønsker? Hvis ikke, så har de nok kun aftaler med de store udbydere, hvilket er mere end dårligt :|

  • 0
  • 0
Mads N. Vestergaard

Så vidt jeg ved er det 3 der har problemer med at levere løsning.

Rent teknisk, har Nordea jo en 4 cifret applikationskode, som vi kender dem fra tv og radio: 1231, 1234, 1272 osv. de har så fået muligheden for at udbygge disse koder med en 3 cifret session, så deres applikationkode ialt bliver 7 cifre.

Dette gør så at ikke alle den 4 cifrede applikation kode skal registreres hos udbyderen, men også de 3 efterfølgende, dette giver i alt 1.000 numre af 7 cifre, der kan benyttes.

Det er den sidste del med session som 3 har svært ved at sørge for rent teknisk, men mon ikke de snart kommer med.

Mht. hvem der skal betale, er det nok fordelt på alle bankens kunder, desværre. Det kan dog også være at de vælger at "tage" det af det beløb man betaler for en udlands betaling, da det tit er her valideringen spiller ind. Jeg skal dog ikke kunne sige det.

  • 0
  • 0
Søren Dreijer

Mht. hvem der skal betale, er det nok fordelt på alle bankens kunder, desværre. Det kan dog også være at de vælger at "tage" det af det beløb man betaler for en udlands betaling, da det tit er her valideringen spiller ind. Jeg skal dog ikke kunne sige det.

Man kan også se på det fra den vinkel, at det nye system sparer dem en masse penge i bedragerierstatning.

  • 0
  • 0
Martin Nissen

Hvordan kan de ikke understøtte et bestemt mobilselskab? De burde da kunne sende SMS'er til hvem de ønsker? Hvis ikke, så har de nok kun aftaler med de store udbydere, hvilket er mere end dårligt :|

Forstår det heller ikke. F.eks. kan Nordea kunder tilmelde sig notifikation via SMS, det virker bare ikke for Hi3G kunder, efter bankens udtalelse og egen erfaring. Og Hi3G har mere end bare et par kunder!

Så vidt jeg ved er det 3 der har problemer med at levere løsning.

Det er så muligvis rigtigt, hvad angår snakken om validering. Men en simple SMS, som jeg har set ikke-Hi3G kunder modtager, der intet andet indeholder end en advisering om, at der er sket en ændring på ens konto. Ikke noget med links, telefonnumre eller lign.
Jeg kan selv, som Hi3G kunde, modtage SMS'er fra et hav af andre SMS tjenester, undtagen Nordea, hvilket kun er anden gang, på 3½ år, jeg oplever det.

Jeg stiller mig ikke kritisk overfor SMS validering, men mener det er nogle helt legitime spørgsmål.

Man kan også se på det fra den vinkel, at det nye system sparer dem en masse penge i bedragerierstatning.

Enig, men det vil stadig blive ale kunder der betaler, uden nødvendigvis at kunne benytte det. Med mindre det bliver en tillægstjeneste, som kan fravælges, mod at skulle i banken for at flytte større beløb.

Hvis bankerne begynder at indføre A og B hold, alene på baggrund af det mobilselskab en kunde har valgt, er vi næsten oppe på siden af USA's "league of humans".

  • 0
  • 0
Søren Dreijer

Jeg er personligt ret hip på produktet PhoneFactor, som opnår det samme som de forskellige SMS-baserede løsninger, men i stedet for at sende en besked, så ringer de til din telefon. Det gør dels, at det er nemmere (og hurtigere) at bruge..

Efter ønske af Peter Stricker [http://www.version2.dk/artikel/11053-saadan-goeres-den-baerbare-sikker-p...], bør det nævnes, at jeg er associeret med PhoneFactor. Mine kommentarer er dog stadig min personlige holdning.

  • 0
  • 0
Log ind eller Opret konto for at kommentere