Otte kunder i Danske Bank har tilsammen fået stjålet 700.000 kroner fra deres konti, efter tyve har fået adgang til deres konti og overført penge til udlandet.
Endnu er det sparsomt med oplysninger om, hvilken fremgangsmåde der er anvendt denne gang, men alt tyder på, at der er tale om en variant af det samme angreb, som ramte otte kunder hos Nordea i september sidste år.
Danske Bank og DanID oplyser, at tyvene denne gang har brugt malware på kundernes pc'er. I Nordea-sagen var der tale om, at kunderne modtog en phishing-mail med et link til en falsk Nordea-hjemmeside.
Derefter kunne bagmændene udføre et såkaldt man-in-the-middle-angreb, som Version2 også tidligere har beskrevet.
Ifølge en advarsel på Danske Banks login-side til netbanken er kunderne muligvis blevet franarret en ekstra NemID-kode, mens de har været logget på Danske Banks netbank.
Sådan gjorde de
Opdateret: Ifølge Nets DanID er angrebet angiveligt foregået på følgende måde:
Brugeren fik malware på sin pc ved enten at besøge en inficeret hjemmeside eller ved at åbne en fil, han har modtaget via mail.
Malwaren har ligget skjult på pc'en og ventet på, at brugeren loggede på sin netbank. Her har programmet kunnet opsnappe brugernavn og adgangskode.
Efter brugeren er logget på, har malwaren kontaktet bagmændenes server, som har oprettet en forbindelse fra serveren til Danske Bank og fået en ny login-side, hvor det opsnappede brugernavn og adgangskode blev indtastet.
Danske Bank har derefter bedt bagmændene om en NemID-nøgle.
Malwaren har derefter vist brugeren et popup-vindue, hvor brugeren blev bedt om at opgive den NemID-nøgle, som Danske Bank har bedt bagmændene oplyse.
Hvis brugeren har oplyst nøglen, kunne malwaren sende den videre til bagmændene, som kunne bruge den til at fuldføre deres login på netbanken.
Bagmændene havde derefter fuld adgang til brugerens netbank, men brugeren opdagede ingenting, fordi brugeren selv kunne fortsætte sin session i netbanken som normalt.
Version2 arbejder på at få oplyst nærmere detaljer om fremgangsmåden ved indbruddet fra Danske Bank og DanID.
Opdateret: Nets DanID bekræfter, at det ser ud til, at angrebet er foregået som Version2 har beskrevet det ovenfor.**