Pas på: Listig NemID-trojaner stjæler også alle dine kodeord

21. februar 2012 kl. 06:5919
Selvom du ikke har fået stjålet penge fra din bankkonto, så er det alligevel en god idé at tjekke, om din pc er inficeret. Og det er ikke kun Danske Bank-kunder, der er ramt.
person
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person

Det var en usædvanligt udspekuleret trojansk bagdør, som blev brugt til at stjæle i alt 700.000 kroner fra otte kunder i Danske Bank tidligere på måneden. Det fortæller sikkerhedskonsulent Peter Kruse fra sikkerhedsfirmaet CSIS, som har analyseret det ondsindede program.

»Vi har pillet koden fra hinanden stump for stump. De har gjort sig særlig umage for at ramme NemID og har lagt ekstra meget tid for at kunne lave det her realtids-phishing,« siger Peter Kruse til Version2.

Angrebet foregik ved, at brugerne først blev inficeret med en trojansk bagdør, som brugerne blev eksponeret for via 'en legitim kanal'.

Peter Kruse vil på nuværende tidspunkt ikke specificere nærmere, hvilken legitim kanal der er tale om, men CSIS har tidligere oplyst, at angrebet skete via en legitim hjemmeside.

Artiklen fortsætter efter annoncen

Der er altså ikke som i angrebet mod Nordea-kunder i august sidste år tale om et phishing-forsøg, hvor brugerne modtog en e-mail med et link til en falsk Nordea-side.

Udviklet fra bunden i stedet for et byggesæt

Peter Kruse oplyser, at trojaneren forsøgte at udnytte tre forskellige sårbarheder, alt efter hvilken browser, styresystem og hvilke plugins brugeren anvendte. Ved hjælp af sårbarhederne kunne den trojanske bagdør installeres, uden brugeren opdagede noget.

Bagmændene havde også gjort sig ekstra anstrengelser for at ramme de danske bankkunder. De fleste trojanske bagdøre, som spredes på internettet, er varianter fabrikeret ved hjælp af et sæt standard-byggeklodser, hvor man med få klik kan lave sig en ny variant af en kendt trojaner. Men altså ikke denne her:

»De har udviklet koden fra bunden. De må mene, at det er en god nok investering,« siger Peter Kruse.

Artiklen fortsætter efter annoncen

Jobs

Dine job
Vis alle

Samtidig er trojaneren, som CSIS har døbt Banktexeasy, udelukkende blevet distribueret til Danmark, og kunne dermed krybe under radaren for antivirussoftwaren, fordi bagmændene brugte helt ny programkode og servere, som ikke i forvejen var kendt af sikkerhedsfirmaerne.

Da først trojaneren lå på brugerens pc, så ventede programmet på, at brugeren loggede på med NemID, hvorefter bagmændene kunne opsnappe brugernavn og adgangskode. Mens brugeren var logget på, fik han vist et popup-vindue, hvor han blev bedt om at angive en ekstra NemID-nøgle.

I baggrunden havde bagmændene nemlig fra deres server forbundet til Danske Banks netbank, hvor de kunne logge på med det samme brugernavn og adgangskode. Da banken spurgte efter en NemID-nøgle, sendte bagmændene nøglenummeret videre til det popup-vindue, som dukkede op på brugerens pc.

Hvis brugeren indtastede den tilhørende nøgle fra sit papkort, blev det sendt videre til bagmændene, som kunne oplyse det til Danske Banks netbank og dermed fuldføre login'et.

Trojaner gjorde krumspring

Det var ingen nem opgave at analysere trojaneren, da CSIS først havde fået et eksemplar ind i laboratoriet, fordi programmet indeholdt en række krumspring, som var beregnet til at undgå debugging-værktøjer og virtuelle maskiner, som bruges til at analysere et ukendt programs opførsel.

Det vides endnu ikke, hvorvidt flere brugere end de otte Danske Bank-kunder, er blevet inficeret med Banktexeasy. Men der kan være mange flere, som har fået trojaneren, men hvor bagmændene ikke har haft mulighed for at udnytte bagdøren til at stjæle penge.

Peter Kruse oplyser også, at selvom angrebet ser ud til at være overstået i denne omgang, så er det en god idé at kontrollere, om man skulle være inficeret.

»Den høster også data fra pc'en. Så hvis man er inficeret, så bør man skifte brugernavn og adgangskode til de tjenester, man bruger,« siger Peter Kruse.

Der er dog ikke længere fare for, at trojaneren kan gøre mere skade på nuværende tidspunkt, fordi truslen ifølge CSIS er blevet afmonteret. Men der kan altså være sket skade, inden trojaneren blev opdaget og uskadeliggjort.

Fokus
Emner
19 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
18
Slettet bruger
29. juli 2012 kl. 03:47

Kender i ikke alle de små reklamer på sider som fx utube ? hvis du kigger efter kilden på billedet på et af disse links/reklamer så vil du finde ud af de ligger over alt på nettet , du bliver bare lige linket gennem google-Ad hvilke er noget svineri btw ..

For at din com kan vise billedet så må der allerede være data på din com til dette .. Så hvis google overser en af disse reklamer har en trojaner ja så deler google flittigt ud på alle sider der viser reklamen, og så er det jo ikke målrettet og hvad nytter det så at fortælle folk ?

Jeg kæmper selv en hård kamp med google idet jeg vil have min router til at spære ALLE reklamer da de kører over deres egen adresse skulle det være muligt men google har lavet et nyere system jeg ikke få bugt med pt. pt blokerer den kun 10~% ;-/ .. Du kan gemme meget lort i et billede et helt alm gif billede der ikke ser ud til at fejle noget kan være skadeligt..

File extension !! Det er godt at have slået til da man så ikke burde falde for falske programmer og lign.

Og hvis du er hardcore så kan man bruge en "sniffer" til at tjekke sine porte, men det kræver en del viden og test af et rent system :-/ .. Men gør/kan man bruge en "sniffer" så skulle du kunne beskytte dig idet LANGT fra de fleste har et sådanne program og hackerne derfor jo ikke behøver at tage højde fra et sådanne program i deres scripts ,. Og selvom de tager højde for det ved jeg faktisk ikke hvordan de skal snyde snifferen da den bare tjekker trafik og mængder af trafik på de forskellige porte .

Lav ikke noget på nettet du ikke har råd til at miste ..

Som privat bank kunde bliver alt tyveri fra din konto dækket, så alt du kan miste er din tid/nerver !

  • more_vert
    • insert_linkKopier link
19
Jesper Poulsen
4. august 2012 kl. 09:43

Kender i ikke alle de små reklamer på sider som fx utube ?

Nej.

Skift til en browser der kan udbygges med addons og få nogle der kan bremse uhæmmet afvikling af scripts.

Mht. sikkerhed overfor netbank, så er virtualisering vejen frem. Lav en virtuel maskine (VirtualBox kan anbefales, da den er crossplatform) og lad al adgang til netbank gå denne vej. Java er væk fra dagligdagen og DanID har ikke fri adgang til dine data.

  • more_vert
    • insert_linkKopier link
17
Philip Grønbech
21. februar 2012 kl. 14:01

oh well, den havde jeg overset, jeg troede det var en av deres "Læs også" links...

  • more_vert
    • insert_linkKopier link
12
Slettet bruger
21. februar 2012 kl. 12:39

Hvis de ikke gider fortælle noget så kan vi jo begynde at sprede rygter som så rammer nogen som måske ikke skulle rammes.

Jeg har hørt at virussen kom via banner reklamer på www.ekstrabladet.dk ligesom i 2007 hvor folk også blev inficeret via reklamer fra det websted.

Spread the word..

Henrik Madsen

  • more_vert
    • insert_linkKopier link
6
Indsendt af Thomas Hansen (ikke efterprøvet) den tir, 02/21/2012 - 10:30

Nu må de stoppe de svineri. At holde det hemmeligt, hvordan man har fået en sådan virus, medfører at der er åbnet for yderligere sårbarhed. Uanset om "kanalen" er en lukket hjemmeside, eller om det kun er en mulighed på en hjemmeside der er fjernet.

Er der tale om at det har været f.eks. Youtube, så er ALLE der har været der muligvis inficeret. Det kan også være et af de store sociale netværk, eller bare et populært pornosite.

Det er en MEGET alvorlig sikkerhedssituation, som man ikke vil oplyse om !

Fordi man ikke vil fortælle hvor denne trussel kommer fra, så er der tale om, at alle skal formaterer deres system.

Hvad det vil koste af omkostning for samfundet, er jo helt ufatteligt.

Kan det være kommet ind på de PC'er der bruges til styring og regulering ? Skal alle el-værker, varme-værker, osv. bare slukke deres industrisystem ? Hvad med det system som automatisk måler mit strømforbrug ? Hvad med forsvaret, regeringen, politi, osv ?

Det drejer sig om kodeord. Når man ikke vil fortælle hvordan det er sket, så er der tale om ALLE kodeord og login, på ALT, for alle Danskere.

I realiteten, så er Danmark lagt ned, hvad angår IT-sikkerhed. Der er INGEN der kan forholde sig til noget som helst, man anbefaler kun, at man formatterer sit system. Man kan ikke engang give sikkerhed for, at man har fanget alle aspekter af denne trussel. Man kan ikke engang fjerne den.

CSIS - DanID/Netz, har oplysningen der kan afklare omfanget af problemet, men holder det hemmeligt.

Der kan kun være tale om, at man frygter, at alle Danskere er inficeret !

Hvem beskytter de ? Hvem tror de selv de er ? Jeg læser: Vi er ligeglade med alle Danskere, vi syntes det er vigtigt at vi beskytter en enkelt interesse, og vi har et skjult motiv for at beskytte denne interesse, og vi bestemmer selv hvem vi vil beskytte, uanset hvad omkostningen er for hele nationen.

  • more_vert
    • insert_linkKopier link
11
Thomas Jensen
21. februar 2012 kl. 12:12

CSIS - DanID/Netz, har oplysningen der kan afklare omfanget af problemet, men holder det hemmeligt.</p>
<p>Der kan kun være tale om, at man frygter, at alle Danskere er inficeret !

Yes ... Intet mindre!

Hvem beskytter de ? Hvem tror de selv de er ?

"CSIS er på vegne af Finansrådet og den finansielle sektor i Danmark i gang med at analysere den binære kode for at begrænse skader og elimere truslen."

http://www.csis.dk/da/csis/blog/3481/

Altså købt og betalt af danid's venner.

  • more_vert
    • insert_linkKopier link
7
Sune Foldager
21. februar 2012 kl. 10:50

Jeg læser:
Vi er ligeglade med alle Danskere, vi syntes det er vigtigt at vi beskytter en enkelt interesse, og vi har et skjult motiv for at beskytte denne interesse, og vi bestemmer selv hvem vi vil beskytte, uanset hvad omkostningen er for hele nationen.

Jeg læser til gengæld lidt dit indlæg som konspiratøs rambling; altså, alene:

Når man ikke vil fortælle hvordan det er sket, så er der tale om ALLE kodeord og login, på ALT, for alle Danskere.

Come on...

Jeg er ellers enig i at de bør frigive oplysningerne, men der kan være hensyn at tage til fx efterforskning.

  • more_vert
    • insert_linkKopier link
8
Kenn Nielsen
21. februar 2012 kl. 11:22

Come on...

Man kan sløre naivitet eller inkompetance ved at råbe som "konspirationsteoretiker".

Mener du så også at man kan være 'lidt gravid' ?

Hvis den høster ALLE kodeord, og

  • det er hemmeligt hvordan man har fået trojaneren
  • den ikke kan detekteres ( andet end visuelt - HVIS man tør starte netbankproceduren)

Så kan alle kodeord være kompromitteret.

  • med mindre der er nogen funktioner med kodeord som du ved ikke er omfattet af "alle".

K

  • more_vert
    • insert_linkKopier link
5
Kenn Nielsen
21. februar 2012 kl. 09:45

Peter Kruse oplyser, at trojaneren forsøgte at udnytte tre forskellige sårbarheder, alt efter hvilken browser, styresystem og hvilke plugins brugeren anvendte.

OS,Browser, - brugbar info , tak !

K

  • more_vert
    • insert_linkKopier link
1
Slettet bruger
21. februar 2012 kl. 08:09

"Angrebet foregik ved, at brugerne først blev inficeret med en trojansk bagdør, som brugerne blev eksponeret for via 'en legitim kanal'."

Hvorfor kan vi ikke få oplyst navnet/www-adressen på denne legitime kanal? Så ved man som bruger, hvorvidt man skal være ekstra påpasselig.

Når der advares mod skadelige fødevarer bliver forretningen altid nævnt med navn og beliggenhed så brugere kan reagere!

  • more_vert
    • insert_linkKopier link
2
Jens Holm
21. februar 2012 kl. 08:56

Givetvist fordi kanalen er lukket, og der er ingen grund til at oplyse mere, det kan give folk en falsk tryghed, og et firma en unødig skidt omtale, vil jeg tro.

  • more_vert
    • insert_linkKopier link
3
Michael Thomsen
21. februar 2012 kl. 09:12

Givetvist fordi kanalen er lukket, og der er ingen grund til at oplyse mere, det kan give folk en falsk tryghed, og et firma en unødig skidt omtale, vil jeg tro.

Der er bestemt grund til at oplyse mere. Hvis man har været inde på pågældende side i det pågældende tidsrum er der al mulig grund til at undersøge om ens computer er ramt.

Hvis jeg ikke havde været inde på det givne sted ville jeg ikke installere/køre 3.parts software som kan "detektere et angreb".

Det undrer såre hvorfor de gængse antivirus firmaer ikke er blevet informeret og har opdateret deres produkter.

  • more_vert
    • insert_linkKopier link
4
Slettet bruger
21. februar 2012 kl. 09:24

@Jens

  • Hvis kanalen er lukket (jeg antager det er en hjemmeside) er der vel ikke noget firma der kan lide unødig skade.
  • hvis de ramte alle har besøgt pågældende hjemmeside, vil jeg mene at undladelse af at nævne navne er at skabe 'sand uvished'
  • Såfremt der ikke er udnyttet 0-dags sikkerhedsbrist, er det vel rimeligt at virksomheden får trukket bukserne ned om knæerne og får offentlige svirp i måzen. Så kan de sparede penge på it-vedligehold bruges i marketingsafdelingen på at forbedre renommeet.

@Michael

  • Spot on, med din pointe om 3-parts produkter eller 'skal vi lige scanne din computer for sikkerhedsbrister'
  • more_vert
    • insert_linkKopier link