Ny netbank-trojaner opsnapper engangskodeord

En variant af den frygtede Zeus-trojaner kan nu inficere både mobiltelefon og computer og dermed opsnappe engangskodeord sendt via sms. NemID-papkortet er altså ikke ramt.

I det evige våbenkapløb mellem de it-kriminelle og bankernes sikkerheds-foranstaltninger har hackerne nu fået et nyt trick i arsenalet, som kan aflure data fra både computeren og mobiltelefonen.

Dermed er banker, som beskytter sig med engangskodeord sendt via sms, nu også i skudlinjen. Det skriver IDG News Service.

Med én-faktor-sikkerhed, hvor for eksempel en nøglefil på computeren skal kombineres med et fast kodeord, er netbankerne et nemt mål for hackere, der får sneget malware ind på en kundes maskine.

Det har fået bankerne til at opruste til to-faktor-sikkerhed, hvor login sker med en ekstra engangs-kode, som i Danmark skal læses fra NemID-papkortet, mens andre landes banker bruger koder sendt til mobiltelefonen via sms.

Og mens papkortet er så analogt, at malware ikke kan inficere papiret, er mobiltelefonen sårbar over for den nye Zeus-trojaner.

Når en computer bliver inficeret, og brugeren logger på sin netbank, skyder malwaren ekstra felter ind på websiden, der beder brugeren om at opgive telefonnummer og telefonmodel. Derefter sender bagmændene en sms til telefonen, med link til at downloade et lille program, der så fremover vil spionere på sms'erne.

Dermed kan hackerne opsnappe både brugerens faste kodeord samt engangskoderne, som bliver sendt til telefonen.

I Danmark arbejder DanID på en løsning, så man kan fravælge papkortet og mod betaling få genereret engangskoder med et stykke software på telefonen. Tilbuddet bliver lanceret i løbet af sommeren.

Opdateret 12.47: En fejlagtig oplysning om, at DanID's betalingsløsning baserer sig på sms, er slettet i sidste afsnit. Ligeledes er tidshorisonten ændret fra foråret til sommeren.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (11)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Kenan Vilic

Eksempel som jeg tidligere har nævnt et sted:

Facts:
a) Eboks. For at logge på, har du brug for brugernavn + password + en nøgle fra dit papkort

b) Nykredit Netbank: For at logge på har du kun brug for brugernavn og password.

Spørgsmål:
Hvad sker der, når du klikker for at blive viderestillet til eboks fra nykredits bank? (hvor du ikke har brugt papkortet)?

Svar:
Wupti. Du er logget på siden (uden at blive spurgt om papkort) og kan læse alle dine breve. Med alle de spændende oplysninger om bankkonti, lønsedler, betalingsservice og hvad der nu ellers ligger af data.

Med lidt læsning og smart brug kan du sikkert ringe til banken og få oplyst forskellige ting når du både har kontonummer, cpr nummer, navn adresse og hvad der ellers ligger i Eboksen.

Konklusion:
Kort sagt NemId er lige pludseligt blevet degraderet til en simpel "brugernavn og password"-problemstilling, (som endda ikke er case sensitive) der både kan angribes af man-in-the-middle og socio-engineering).

PS. Det undrer mig, at ingen kritiserer det ovenstående...

PPS. Nu er alt snak om random-genererede tal, post-forsinkelser og rækkefølgen ligegyldig

  • 0
  • 0
Torsten Holtse

Er det ikke mere en fejl ved at lade den pågældende netbank fungere som authentication for eboks, end ved NemID. Fejlen er jo at din netbank ikke har implementeret eller NemID, eller at du bare ikke har.

Jeg holder stadig på at NemID er en god ide men dårligt håndteret af DanID, og ovenstående artikel må være et af de første beviser på hvorfor det er en god ide.

  • 0
  • 0
Jørgen Henningsen

Jeg kan ikke lade være med at synes, at papkortet er en lappeløsning.
Man kalder det jo tofaktor sikkerhed, men er det så nemt at stjæle password, så er det jo nærmere en enfaktor sikkerhed. Hvis password først er opsnappet, så er er basis for et indbrud eller at opsnappe et nyt nøglekort, så er skaden sket.
Der må være smartere og sikrere måder at gøre det på.

  • 0
  • 0
Baldur Norddahl

Med én-faktor-sikkerhed, hvor for eksempel en nøglefil på computeren skal kombineres med et fast kodeord,

Én-faktor-sikkerhed er når man kun skal bruge én faktor (sjovt nok). Et kodeord kombineret med noget andet er mere end én faktor. Én-faktor er altså når man blot skal logge på med brugernavn og password og intet andet.

Begrebet to-faktor og tre-faktor forstås normalt som "noget du ved (kodeord), noget du har (papkort, elektronisk token, telefon, nøglefil, etc), noget du er (fingeraftryk eller lign.)". Ved to-faktor kan du vælge to af disse tre, ved tre-faktor skal de alle tre være med.

Bare fordi noget er to- eller tre-faktor er det ikke nødvendigvis sikkert. Ikke alle løsninger er født ens. Nøglefiler er for eksempel principielt to-faktor med lav sikkerhed fordi nøglefilen nemt kopieres eller stjæles. Brugen af telefon som to-faktor ved at modtage SMS kan hackes som beskrevet i nærværende artikel. Papkort (NemID) kan let kopieres med kopimaskine eller kamera.

Det bedste er en elektronisk token, som brugeren eller uvedkommende ikke nemt kan kopiere. Men selv det har svagheder, i sverige har man set tyve der simpelthen ringer til ejeren og beder denne oplyse koden fra den elektroniske token med en fantasifuld historie om at de ringer fra banken.

Der findes elektroniske tokens med display, som kan vise hvad det er man er i gang med at sige ja til. Det må være den ultimative løsning, da det må kræve en ekstraordinær kreativ forklaring at få folk til at acceptere en kontooverførsel på et stort beløb i et fishing angreb.

  • 0
  • 0
Michael Redlich

Nu er Banknordik begyndt at tillade login via NemID uden brug af papkort, ikke en løsning jeg er tryg ved.

https://www.portalbank.dk/6503/

"Ændret login
Vi har ændret NemID-login metoden, så du ikke skal anvende nøglekortet i forbindelse med selve login. Du vil først blive bedt om en nøgle i forbindelse med gennemførsel af en transaktion, der kræver godkendelse.

Sikkerheden i Netbanken er stadig den samme.

Hvis du bare skal se bevægelser eller saldoen på din konto, kan du gøre dette helt uden brug af nøglekortet.
"

  • 0
  • 0
Peter Kruse

Hej Michael,

At dette angreb er rettet mod "out of band" devices er jo ingenlunde tilfældigt. Målet er jo tydeligvis, hvis du analyserer koden, de polske banker "ING Poland" og "mBank", som netop validerer ved brug af mobilen. Derfor er denne angrebsform valgt.

Et angreb mod tokens kan sagtens gennemføres. Det er set mange gange og sker mens jeg skriver dette.

Venligst
Peter

  • 0
  • 0
Martin Kofoed

De er nok begyndt at indse, at en java applet er en katastrofe for mobil-kunder ...

I min netbank skal man stadig bruge en nøgle fra kortet ved login. Til gengæld har de sløjfet kravet ved alle transaktioner, hvor man nu blot skal bruge sit password. Måske kostede det for meget i porto, at folk brændte nøgler af på den måde.

  • 0
  • 0
Log ind eller Opret konto for at kommentere
Jobfinder Logo
Job fra Jobfinder

Call to action

I det evige våbenkapløb mellem de it-kriminelle og bankernes sikkerheds-foranstaltninger har hackerne nu fået et nyt trick i arsenalet, som kan aflure data fra både computeren og mobiltelefonen. Dermed er banker, som beskytter sig med engangskodeord sendt via sms, nu også i skudlinjen. Det skriver IDG
News Service. Med én-faktor-sikkerhed, hvor for eksempel en nøglefil på computeren skal kombineres med et fast kodeord, er netbankerne et nemt mål for hackere, der får sneget malware ind på en kundes maskine. Det har fået bankerne til at opruste til to-faktor-sikkerhed, hvor login sker med en ekstra engangs-kode, som i Danmark skal læses fra NemID-papkortet, mens andre landes banker bruge...