Se om du har fået NemID-trojaneren: Usynlig for antivirus

20. februar 2012 kl. 11:0241
Det ondsindede spionprogram, som blev brugt til at stjæle fra otte netbankkunder, kom fra en legitim hjemmeside og slap forbi brugernes antivirus. Se her, om du har fået trojaneren med navnet Banktexeasy.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Antivirussoftware var ikke til megen hjælp for de otte kunder hos Danske Bank, som tilsammen fik stjålet 700.000 kroner i det angreb, som blev afsløret den 10. februar.

Ifølge sikkerhedsfirmaet CSIS var der nemlig tale om en helt ny variant af en trojaner, som var lavet specifikt til at angribe de danske kunder og login-løsningen NemID.

Det betød ifølge CSIS, at selvom de ramte brugere havde installeret antivirussoftware, så var ingen af programmerne i stand til at opdage den ondsindede trojanske bagdør, før angrebet var gennemført. CSIS har nu givet trojaneren navnet Banktexeasy.

Selvom antivirusfirmaerne forsøger at have algoritmer, som kan opdage hidtil ukendte varianter af ondsindede programmer, så sørger de kriminelle også for at afprøve deres nye varianter mod antivirussoftwaren.

Artiklen fortsætter efter annoncen

Flere af de bagmænd, som udvikler de trojanske bagdøre for de kriminelle bag selve svindlen, giver ligefrem garanti mod, at antivirusprogrammerne kan opdage trojanerne.

Brugerne blev heller ikke inficeret med trojaneren, fordi de bevægede sig ud på mere lyssky dele af internettet ifølge CSIS. I stedet blev trojanerne spredt fra en legitim hjemmeside, som var blevet hacket.

Det sker ofte, at helt legitime hjemmesider bliver brugt til at sprede malware på grund af sikkerhedshuller i webapplikationerne.

Sikkerhedskonsulent Peter Kruse fra CSIS beskriver på Facebook trojaneren som den absolut værste malware, han har set det seneste år. Programmet er ifølge Peter Kruse udviklet specifikt for at angribe de danske netbanker, som benytter NemID.

Artiklen fortsætter efter annoncen

NemID øger ellers sikkerheden i forhold til flere af de tidligere netbankløsninger, fordi der er tale om såkaldt to-faktor-autentificering, som ikke blot kræver et brugernavn og et kodeord, men også en ekstra kode fra et papkort.

I angrebet mod Danske Bank-kunderne lykkedes det imidlertid de kriminelle at gå ind som en skjult mellemmand, når brugerne loggede på netbanken, og få lokket en ekstra NemID-kode ud af brugerne med et popup-vindue.

CSIS har udviklet et lille værktøj, der tester, om en given pc er inficeret med Banktexeasy. Du kan downloade værktøjet her.

Det er endnu ikke lykkedes Version2 at få en kommentar fra CSIS.

41 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
41
Indsendt af Thomas Hansen (ikke efterprøvet) den tir, 08/07/2012 - 17:55

Det med at aflure koden, er korrekt. Det er en af de grundlæggende fejl i NemID. Det er sådan set lige meget hvordan man aflurer.

Det er mindst lige så sikkert, hvis brugeren selv bestemmer koden, og ændrer den jævnligt. Der er flere muligheder, for at gøre NemID bedre.

NemID handler ikke om en nem id. Det handler om noget helt andet. I Danmark handler det om magt og retten til økonomisk styring. Det ligger hos organisationen bag NemID, altså finanssystemet. Den offentlige myndighed, Digitaliseringsstyrelsen, lytter KUN til finansråddet, som er den reelle magtfaktor i forbindelse med Dansk økonomi, og altså også i forbindelse med identifikation af de brugere som skal benytte noget som helst, i forbindelse med at kunne eksisterer i Danmark.

Finanssystemet er på den måde informeret, om hvordan og i hvilken forbindelse, enhver borger eller virksomhed foretager sig noget som helst i Danmark.

Da det tilsvarende er bundet sammen med f.eks. Tinglysning, som heller ikke er en sikker løsning, er det en alvorlig situation.

Teknisk set, kan enhver finansvirksomhed, gøre som de vil, med enhver tænkelig ejendom i Danmark. Følger man lidt med, så er det en intention som findes og udnyttes.

Der har, bare inden for den sidste uge, været eksempler på, at magtpositionen udnyttes. Se evt. Indlæg på Business.dk:https://www.business.dk/finans/landbrug-frygter-million-tab-paa-cibor-svindelEller her på V2 omkring izettle.

38
7. august 2012 kl. 16:25

Via de falske pop-op vindue, hvis jeg opfattet artikeln korrekt. Brugeren logger ind, får "fejl" og bliver ombed at logge ind igen, då man kommer ind? Eller fejl opfattet?

Var sådan attacken såg ud i Sverige. Koden fra den "fejlagtige" indloggning, var den som siden brugedes for at komme til kontot. Gettning behövdes ikke, brugeren gav dem alt de behövde og vad jeg ser, det samme sker med NemID.

39
7. august 2012 kl. 17:08

Via de falske pop-op vindue, hvis jeg opfattet artikeln korrekt. Brugeren logger ind, får "fejl" og bliver ombed at logge ind igen, då man kommer ind? Eller fejl opfattet?

Det er korrekt.

Koden fra den "fejlagtige" indloggning, var den som siden brugedes for at komme til kontot. Gettning behövdes ikke, brugeren gav dem alt de behövde og vad jeg ser, det samme sker med NemID.

Koden skal bruges med det samme. Systemet tæller ned når en kode er blevet anvendt. Lad os sige, at systemet beder om koden ud for 0832. Denne kode skal bruges med det samme (den skal passe til tallet 0832 som NemID skriver på skærmen). Bliver den ikke brugt med det samme er den ude. Den kan ikke bruges senere, for NemID vil aldrig spørge efter den igen.

35
7. august 2012 kl. 14:12

Net op det der er grundlaeggende svagheden i konceptet, "snupp en kod og brug den senere, ejeren maerker det ikke forrend pengerne er vaek". Lige det som var på vej at döde Nordeas ry i Sverige, de tabte mange kunder pga detta.

33
7. august 2012 kl. 13:36

Nordea brugte noget tilsvarende til NemID i Sverige for flere år siden, men tvingedes at droppe dem netop fordi det var för nemt at fejke loginsider og plukke brugerne på koder.

Brug noget tilsvarende SecurID/Ubikey der kombinerer engangskoden med tiden. Dyrere? Vad siger der som fåt sine penge stjålne?

Eller at hvis en kod blir hopet over, så som sker i attacken, så blir denne umedelbart blokkerede, dvs. der integreres en löbnummerfaktor i koden. Kan ikke se at så er idag.

31
21. februar 2012 kl. 12:49

Hej. Der er flere der efterlyser hvordan/hvor ser jeg/man om man er blevet ramt ? Der fortælles: " se her om du har fået den " - så klikker man for at se ! ? Venligst Bjarne Aakesen

30
21. februar 2012 kl. 09:33

Er jeg den eneste der har studset over at man i artiklen linker til en ikke-krypteret side hvor man kan download en executable som angiveligt skulle scanne om man har dårlig software på computeren?

Skulle man hos CSIS (hvem de så end er) ikke tage og sætte et certificat på sitet så man havde en smule føling med, om det var endnu et hacker site eller nogen der (igen) prøver at kaste dårlig kode mod mig?

Jeg stoler i hvert fald ikke på et site uden certifikat.

27
Indsendt af Thomas Hansen (ikke efterprøvet) den man, 02/20/2012 - 22:51

Hvem stoler man på ?

Når man nu ved, fra tidligere tråde her på V2, at Netz / DanID, selv benytter sig af skjult software på brugernes PC, så er det jo umuligt at stole på nogen. Kan man ikke bare få at vide hvilken fil man skal slette ? Det virker ikke betryggende, at skule hente et andet stykke software.

Hvorfor stilles denne mulighed til rådighed i Danmark ?

" CSIS beskriver på Facebook trojaneren som den absolut værste malware, han har set det seneste år. Programmet er ifølge Peter Kruse udviklet specifikt for at angribe de danske netbanker, som benytter NemID. "

Jeg forstår, at man angriber gennem NemID, simpelthen fordi det stiller så mange muligheder til rådighed. Jeg kan også forstå, at der er tale om, at det med et sådant angreb er muligt, specifikt at gå efter Banker. Det underminerer grundlaget for NemID, der jo netop er udviklet med henblik på bl.a. Banker.

Noget andet er, hvad med alt muligt andet ? Er der nogen som helst, der kigger på at alle mulige andre aktører, der benytter NemID i deres system, kan være angrebet. Skat, Kommuner, Detailhandlen, osv, hvad skal de nu gøre ? Er der allerede angreb i gang på dem, uden at man ved noget som helst om det ?

Gennerelt: Teoretisk scenarie, som postuleret af DanID, er vi ude over. Der er tale om et helt reelt scenarie.

Nu må det være noget som Netz/DanID, tager ansvarligt op, og simpelthen fjerner muligheden for den type angreb.

Det hjælper intet, at f.eks. Banker kan beskytte sig, hvis alle andre aktører, fortsat er udsat for denne usikkerhed i NemID. Det er jo den forurettede forretningsdrivende, der skal betale, hvis systemet bliver misbrugt. Det gælder naturligvis også for Bankerne, og de har demonstreret ansvarlighed. Men det vil kunne ruinerer mange forretningsdrivende, og helt stille en given NemID bruger økonomisk ubeskyttet. Derfor må man forlange, at Netz/DanID enten fjerner muligheden, eller dækker en hver udgift nogen må have ved anvendelse af NemID.

Man kan jo ikke både stille et system til rådighed for forbrydere, og samtidigt slå ud med armene, og sige det ikke er deres bord, når systemet bliver benyttet til kriminalitet.

Nu må de vælge, enten kan de levere et sikkert system, eller også kan de ikke. Set ude fra, er der INTET der tyder på, at de kan leverer et sikkert system. Der er ikke engang noget der beskriver, at der er noget på vej, eller vilje til at leverer en sikker løsning.

Jeg er voldsomt træt af at skulle hakke på Netz/DanID, og se hvordan andre brugere tilsvarende er utrygge ved NemID. Det kan ikke passe, at man gennem simpelt misbrug af den magt man er tildelt, kan få lov til at fortsætte på den måde. Regner de med, at bare de bliver ved længe nok, med en løsning der ikke hænger sammen, så bliver det mere sikkert at benytte NemID, og alle bliver trygge og glade ?

26
20. februar 2012 kl. 22:40

Mere optimalt at fortælle hvilken legitim side det drejer sig om.

På den måde kunne alle dem som IKKE har besøgt siden spare sig for at installere og scanne computeren.

Henrik Madsen

28
20. februar 2012 kl. 23:02

Og du tror ikke at trojaneren findes på andre sider?

21
20. februar 2012 kl. 17:25

Selv programmet der skal forhindre virus, er kun til Windows... :)

25
20. februar 2012 kl. 18:38

Selv programmet der skal forhindre virus, er kun til Windows... :)

Det er en Windows-virus, så alle vi der ikke anvender Windows har ikke noget at frygte. Og hvis man sandbox'er NemID i en virtuel maskine der kun anvendes til NemID har man heller ikke noget at frygte, selv om den virtuelle maskine skulle køre Windows.

Min sandbox kører ikke Windows og host-OS er ikke Windows. :-)

18
20. februar 2012 kl. 16:02

Hvis nu man i stedet prøver at lærer folk hvilke typer at mails de kan stole på samt hvorvidt de må klikke på links i mails osv osv, så skulle man måske bare lærer alle at bruge én fælles hjemmeside til at få adgang til alt offentligt (www.danmark.dk) men derudover også ting der relaterer sig til fx NemID.

Så ved folk altid hvor de skal finde deres adgang til den slags ting, og hoax mails mv vil blive fortid.

Det vil ikke stoppe alt, men det vil da stoppe den del hvor folk bliver narret til at klikke på links i mails, eller ramme forkerte hjemmesider via google, hvilket lader til at være de primære angrebsveje.

23
20. februar 2012 kl. 17:50

ahh flemming måske folk skulle lære sig selv at stole på deres eget indstinkt og så prøve at skriv s i deres søgning på google også skulle de også lære ikke at åbne e,mails som de tydligt kan se i deres mail kommer for en de ikke kender så ville det være godt men folk er desværre så godtroende jeg kender flere som blindt stoler på deres udbyder og deres eget antivirus pgr.

24
20. februar 2012 kl. 18:01

@Kim - Det er netop det jeg er inde på. Det er ikke alle der besidder sund fornuft i relation til netbrug, og uanset om folk er hjemmevant med IT eller ej, så vil der altid være nogen der ryger i fælden.

Jeg tror det er svært at få alle lært en "fornuftig" brug af mail og hjemmesider, og som vi kan se kan de nuværende metoder snyde selv garvede it-brugere. Mails kan have en falsk afsender som man ikke lige opdager hvis man ikke kigger nærmere efter. I søgninger på google kan man også let komme til at klikke på et forkert link hvis adressen mindre tilstrækkelig meget om den rigtige.

Jo mere simpelt man kan gøre det for folk, desto mindre bliver risikoen for fejl. Det kan være rigtigt at centralisering af fx. adgang til det offentlige bare giver bedragerne færre steder at skulle rette sine angreb mod, men til gengæld kan man også fokusere flere ressourcer til at overvåge disse centrale "knudepunkter".

20
20. februar 2012 kl. 16:22

Hvis nu man i stedet prøver at lærer folk hvilke typer at mails de kan stole på samt hvorvidt de må klikke på links i mails osv osv, så skulle man måske bare lærer alle at bruge én fælles hjemmeside til at få adgang til alt offentligt

Angrebet har ikke noget med link i emails eller een fælles hjemmeside at gøre, så vidt jeg da kan forstå. CSIS skriver på https://csis.dk/da/private/banktexeasy/ "at bankkunden har besøgt en legitim hjemmeside, der har været hacket." Altså ingen link i email eller besøg på obskur hjemmeside. Desuden hvis der er tale om et popup-vindue igangsat af en trojaner under login hjælper det ikke nødvendigvis med een fælles login-side. Det springende punkt er om brugeren kan detektere og forstå at popup-vinduet ikke har relation til hans normale indlogning. Det hjælper een fælles hjemmeside nok ikke på. Det gør vel det snarere nemmere for den kriminelle at hans trojaner kun skal holde øje med at kunden tilgår en bestemt webside.

19
20. februar 2012 kl. 16:05

Øh har du overhovedet sat dig ind i hvordan angrebet mod DDB blev foretaget?

14
20. februar 2012 kl. 15:09

Og hvordan ved vi med sikkerhed at værktøjet ikke blot er til for at installere en mere effektiv trojaner til senere brug?

16
20. februar 2012 kl. 15:26

Jeg har mere tillid til Peter Kruse end jeg har til DanID.

17
20. februar 2012 kl. 15:47

ja så er vi da enig jesper os to jeg har lige kørt alt igennem og forkun et stort smil frem på min pc

9
20. februar 2012 kl. 12:28

Se om du har fået NemID-trojaneren: Usynlig for antivirus,ja og hvor ser m<n det og hvordan? måske iden øverste skuffe i køkkenbordet!

8
20. februar 2012 kl. 12:24

Det er helt forkert at bruge virus scannere. (da de på forhånd skal kunne genkende en malware på dens signatur.Altså kan den ikke genkende alle de nye og farligste malware)

En seriøs måde at gøre det på er: forskellige rettigheds niveauer til brugerne/ sandkasser / API begrænsning.

Jeg påstår ikke at LINUX er garanteret sikkert. Men måden det gøres på de fleste Windows maskiner er garanteret usikkert!. ;-)

6
20. februar 2012 kl. 12:08

...opnås p.t. med Firefox 10. Her vil den ægte udgave af NemID crashe hele browseren. Testet med OpenJDK.

10
20. februar 2012 kl. 12:37

@Benjamin

java version "1.6.0_23" OpenJDK Runtime Environment (IcedTea6 1.11pre) (6b23~pre11-0ubuntu1.11.10.1) OpenJDK 64-Bit Server VM (build 20.0-b11, mixed mode) Feb 20, 2012 12:35:56 PM DANID_DIGITAL_SIGNATUR appletdk.pbs.applet.bootstrap.new - Not using whitelisted class classloader: net.sourceforge.jnlp.runtime.JNLPClassLoader Feb 20, 2012 12:35:56 PM Thread-4 - init Assertion failure: rt->onOwnerThread(), at /build/buildd/firefox-10.0.2+build1/build-tree/mozilla/js/src/jsapi.cpp:6316

Altså en fejl i Firefox 10.

Du kan downgrade din firefox til en tidligere version, der virker det, eller bruge eks Chromium.

12
20. februar 2012 kl. 15:04

Hej Nikolaj Hansen. Jeg ved ikke, hvordan du ræsonnerer, men jeg kan ikke se, hvordan ovenstående stacktrace viser, at der er en fejl i Firefox. Det kan jo sagtens være NemID, der har en race-condition, som betyder, at en assertion på tilgangen til et objekt ulovligt sker fra en anden tråd. Altså, selvom Firefox ikke er fejlfri, er det endnu lidt svært at sige, hvor fejlen ligger.. men NemID burde selv have ansvaret og skrive det under deres driftsforstyrrelser, så menige brugere kan få nem adgang til vejledning og ikke behøver spilde tid med at undersøge deres egen platform.

Det er korrekt, at det virker i Chromium med selvsamme OpenJDK og IcedTea.

11
20. februar 2012 kl. 14:15

Eller installere den proprietære Oracle Java i din ubuntu, så virker den fint med FF10

7
20. februar 2012 kl. 12:09

Øhh... det beskytter da intet. Det er jo netop ikke den ægte udgave, som er blevet brugt til angrebene.

13
20. februar 2012 kl. 15:07

@Erik Jensen Jo, det giver glimrende beskyttelse... hvis det ikke crasher, så ved du jo, at det er en fake udgave :)

3
20. februar 2012 kl. 11:33

Jeg var personligt forhåbentligt ikke faldet for det vindue i screenshottet - det ligner jo ikke en NemID login-dialog. Selv om de sagtens kunne have lavet en der lignede lige så godt som i Version2's demonstration.

Det at den i modsætning til den rigtige dialog bliver vist som et overlay, med siden bag ved grået ud, forstår jeg heller ikke. De kunne jo sagtens editere/erstatte html-siden som den rigtige dialog var på, og så sætte deres dialog ind i stedet.

5
20. februar 2012 kl. 11:49

Hvorfor bruge tid på at efterligne originalen, når man kan svindle 8 personer for 700.000 kr med ovenstående. Hvis jeg skulle lave det svindelnummer, ville jeg i hvert fald ikke bruge tid på det, når det ikke er nødvendigt.

2
20. februar 2012 kl. 11:23

... det sorterer bare de dummeste kriminelle fra.

4
20. februar 2012 kl. 11:36

Nej, det gør antivirus ikke, så længe OS'et ikke har en anstændig sandboxing funktion. Og så forresten: Skulle AV scanneren ikke finde hidtil ukendte vira med sin heuristiske funktion?

1
20. februar 2012 kl. 11:19

Jesper Stein Sandal glemte at skrive på hvilket OS infektionen finder sted, men at dømme efter det screenshot der er af trojanerens popupvindue, så er det Windows, som det plejer at være med den slags! Ikke MacOSX, Linux eller nogen form for Unix.