Herover ses to loginbilleder til Nordeas netbank. Ét er ægte og ét er phishingsiden, der blev brugt til at stjæle loginoplysninger fra 8 Nordea-kunder. Klik for at forstørre - kan du se forskel?
Version2 kunne onsdag aften berette om, at 8 Nordea-bankkunder var blevet udsat for et phishingangreb. Kunderne havde fået franarret deres loginoplysninger til NemID, og samtidig var det lykkedes den kriminelle at få den NemID-nøgle, der hørte til et bestemt nøglenummer. Det kunne den kriminelle, fordi phishingangrebet foregik real-time. Det bekræfter en kilde over for Version2. Men hvad er et real-time-angreb overhovedet?
Et real-time-angreb kendes også som 'man in the middle'. Det vil sige, at den kriminelle har siddet mellem den intetanende bankkunde og Nordeas netbank. I dette tilfælde var kunden via en phishingmail blevet lokket ind på domænet nordea-dk.com, i stedet for nordea.dk.
På den falske side, nordea-dk.com har den kriminelle så lavet en side, der til forveksling ligner den rigtige loginside (se i øvrigt ovenstående billede).
Klik på den interaktive grafik nedenfor og se, hvordan den kriminelle fik fat i bankkundens informationer og nøglen fra NemID.
Den danske reaktion
Da phishingmailen kom i omløb, tog Nordea kontakt til de danske myndigheder og fik lukket for den falske hjemmeside. Efterfølgende tog en bankkunde kontakt til banken, fordi vedkommende havde en transaktion, der 'så underlig ud'. Herefter undersøgte Nordea sagen nærmere og fandt frem til yderligere 7 bankkunder, der havde fået foretaget lignende transaktioner.
Claus Christensen er informationschef i Danmark for Nordea. Han oplyser, at de otte bankkunder, der har været ramt af phishingangrebet undtagelsesvist har fået kompenseret de fulde beløb, de havde mistet, da der normalt ellers er en selvrisiko. Han oplyser også, at det for alle kundernes vedkommende drejede sig om mindre end 8.000 kroner, der var blevet stjålet.
Og så vil Claus Christensen gerne slå fast, at Nordea som altid råder deres kunder til aldrig at give deres loginoplysninger væk, eller reagere på mails, hvor der står, at de skal logge ind på bankens hjemmeside. Den slags mails sender Nordea ikke, lyder det fra banken.
Sikkerhedsekspert Peter Kruse fra CSIS har været dybt involveret i sagen, men har netop af den grund ingen kommentarer. Han afviser at kommentere sagen, så længe efterforskningen stadig er i gang, men han bekræfter over for Version2, at han ved, hvilken metode, der er blevet brugt i phishingangrebet, men vil hverken be- eller afkræfte, om der er tale om et real-time-angreb.
Storstilet, organiseret it-kriminalitet
Det viser sig, at det ikke er første gang, den kriminelle bagmand har forsøgt at narre logins fra folk ved hjælp af phishing. Ved hjælp af et såkaldt whois-opslag på domænet nordea-dk.com, kan man få oplyst, hvem der har registreret navnet. Vedkommende er en Arthur Williams fra New York, men det er Version2’s opfattelse, at der med stor sandsynlighed er tale om en falsk identitet.
Ved at søge på de oplysninger, der dukker frem om registranten på phishingdomænet, dukker flere advarsler op på nettet omkring registrantens identitet, der har op til flere phishingdomæner tilknyttet. En sikkerhedsblog advarer mod en server fra Proxad i Frankrig, der hoster en række falske bankdomæner. På bloggen står der, at domænerne retter sig mod finske og franske bankkunder. Domænet, der blev brugt til det danske phishingangreb, er dog registreret hos et Australsk hostingfirma bosiddende i Melbourne.
Phishingdomænerne er blandt andet nordeasfi.com, nordea-if.com og osuuspankki-fi.com, hvor sidstnævnte er en finsk sammenslutning af banker. Og lige netop domænet nordeasfi.com har været nævnt af sikkerhedsfirmaet F-Secure den 12. september.
Det tyder altså på, at den eller de kriminelle bagmænd fokuserer på Nordea-koncernen, og at det ikke er første gang, de har forsøgt at franarre loginoplysninger og i sidste ende penge fra intetanende bankkunder. Det kan Peter Kruse fra CSIS bekræfte. Han oplyser til Version2, at CSIS har haft en fil på gruppen bag phishingangrebet i over et halvt år. Men det er første gang, de har ramt Danmark:
»Denne her gruppe er ikke ukendt for os. Det er folk, der er vant til at lave it-kriminalitet og har specialiseret sig i phishing-angreb. Det er helt klart organiseret kriminalitet,« siger Peter Kruse til Version2 og fortsætter:
»De har tidligere brugt andre navne. Alt tyder på, at nogle af dem, der står bag dette phishingangreb har tilknytning til Rockbanden. Rockbanden udså sig skandinaviske mål i stor stil for fire år siden og var direkte relateret til Avalanche-botnettet.«
Bekræft din konto
Herunder kan du læse den phishing-mail, Nordea-kunderne havde modtaget. Et ekstra mellemrum er dog indsat i linket.
**Fra:** Nordea [*mailto:security@nordea.dk*]
**Emnelinje:** Pmindelse
**Indhold:**
Dette er en hfligheds pmindelse om, at din konto skal verificeres.
For at modtage uafbrudt tjenester, skal du kontrollere dine oplysninger med det samme.
For at bekrfte din konto, skal du klikke p nedenstende link, logge ind og flge de anvisninger:
http://www.netbank.norde a-dk.com/netbank/?servlet/LogonCommon
Hilsen,Nordea
Forresten: Det er billedet til venstre, der er fra phishingsiden.