Hackere snyder NemID igen: Sydbank stopper massivt angreb

Illustration: Virrage Images/Bigstock
13 gange de seneste uger har hackere narret NemID-koder ud af Sydbank-kunder og flyttet penge fra deres konti. Interne sikkerhedssystemer har dog forhindret bagmanden i at få glæde at pengene.

Et stort angreb på Sydbanks netbank er endt med en lang næse til hackerne. For selvom login-proceduren med NemID blev snydt 13 gange, fik hackerne aldrig penge ud af banken.

Det fortæller Sydbank, den fjerdestørste bank i Danmark, oven på to ugers ’massivt angreb’ mod sin netbank.

Læs også: Hackere angriber Sydbanks netbank med virus

»13 kunder har oplevet, at der er forsvundet penge fra deres konto. Men vores bagvedliggende sikkerhedsprocedure har fået stoppet pengene, før de kom ud af Sydbank. Så vores varslingssystem har virket og har vist sit værd, og det er vi jo relativt tilfredse med,« siger Niels Skylvad, områdedirektør i Sydbank, til Version2 med lidt jysk underdrivelse.

Det er første gang nogensinde, at Sydbank har haft hackere helt inde at pille ved kundernes konto. Men fordi alle banker nu bruger NemID, er angrebet sket på helt samme måde, som andre danske banker har oplevet.

Ved hjælp af en trojansk hest, som er blevet installeret på kundernes computere, bliver folk ledt til en falsk login-side, som hackerne selv står bag. Når en kunde vil logge på, kan hackeren så bruge password og NemID-koderne til selv at logge på og tømme kontoen.

De 13 gange, de it-kriminelle nåede ind til en kundes konto, var det beløb mellem 6.400 og 64.000 kroner, som blev stjålet. Men overførslerne blev altså stoppet, og alle konti, som skulle modtage pengene, er blevet lukket og politianmeldt.

Angrebet begyndte den 23. juli og stoppede så to uger senere, den 6. august. Og selvom Sydbank stadig advarer kunderne om hackertruslen, lyder vurderingen, at faren er drevet over for denne gang.

Læs også: Forsker: Vi har kun set begyndelsen på NemID-phishing

»Jeg er ret sikker på, at hackeren har opgivet os, fordi han ikke fik nogle penge ud af os,« siger Niels Skylvad.

Hvis ikke tyveriet var blevet stoppet, ville private kunder have fået alt refunderet, mens erhvervskunder kan tegne en forsikring mod netbank-indbrud.

Læs også: Stoler du ikke på NemID-sikkerheden? Få en netbank-forsikring

»Det er ikke rart at være under angreb. Men det er ligesom, hvis nogen aflurer din pinkode på dankortet og så stjæler det. Det har danskerne lært at leve med, fordi de bliver holdt skadesløse af banken,« siger Niels Skylvad.

Det er langtfra første gang, at danske bankers login-procedure med NemID bliver angrebet. I september 2011 gik det ud over otte Nordea-kunder, og i februar 2012 var det otte Danske Bank-kunder, der i alt blev franarret 64.000 kroner.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (23)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Kenn Nielsen

Det har danskerne lært at leve med, fordi de bliver holdt skadesløse af banken,« siger Niels Skylvad.

Dette kunne være en acceptabel 'workaround' for brugerne, men brugeren er jo ikke garanteret at blive holdt skadelløs.
Faktisk er ansvaret væltet over på brugeren med krav om opdateret PC osv.

Om nogle år bliver argumentet "jamen sådan har betingelserne altid været.."

MEN
Det offentlige kan ikke holde mig skadesløs, hvis personfølsomme oplysninger er lækket pga. dårlig NemID-konstruktion.

K

  • 10
  • 1
Kaj Nielsen

Hej Kenn,

Jeg er selv en af de personer der er meget kritiske overfor at danID ligger inde med alle vores nøgler på ét centralt sted. Men ud over dette, kan du så fortælle mig hvordan det offentlige har fejlet med en dårlig nemID-konstruktion? Havde det været en inficeret computer med en digital signatur kunne denne også være blevet kopieret og gerningsmændene kunne have ventet på at du afleverede dit password til dem. Som de så kunne bruge igen og igen.

  • 2
  • 3
Erik Bruus

Der kunne gøres meget mere. Jeg overfører aldrig penge til udlandet, så kunne man vælge dette fra i sin netbank, tja så var man da lidt mere sikker. Hvis man samtidig kunne sætte et selvvalgt maksimumsbeløb for overførsler, så kunne man også bremse meget her. Evt. hvis dette beløb skal overskrides, så kræver det er ekstra kode, evt. på SMS. mvh, Erik.

  • 5
  • 0
Michael Thomsen

»Det er ikke rart at være under angreb. Men det er ligesom, hvis nogen aflurer din pinkode på dankortet og så stjæler det. Det har danskerne lært at leve med, fordi de bliver holdt skadesløse af banken,« siger Niels Skylvad.

Som det også fremgår andetsteds i artiklen bliver erhvervskunder (normalt) ikke holdt skadesløse - SELVOM det er bankerne, som sparer penge ved at have et elendigt og gennemhullet sikkerhedssystem.

Det er en skandale og Niels Skyldvad er fuld af løgn!

  • 7
  • 2
Anonym

Det er kun måneder siden, at man havde den opfattelse, at NemID udgjorde en sikker løsning.
En løsning som man intensivt arbejder videre på, også i forbindelse med login op mod det offentlige.

At der her beskrives at en Bank bliver angrebet, og at det er lykkedes banken at begrænse skaden, er en ting. Men det er helt lige så alvorligt, at NemID fortsat danner grundlag for alles fremtidige kommunikation, op mod det offentlige.

Godt gået af Sydbank, men lignende muligheder, findes ganske enkelt ikke i det offentlige.

Og hvem skal håndhæve, politiet ?
Så vidt jeg er bekendt, er der ikke et eneste seriøst eksempel, som beskriver at politiet er gearet til opgaven. Og Nej, jeg brokker mig ikke over politiet.... de gør sikkert hvad de kan.

  • 7
  • 0
Michael Nielsen

Man kan ikke råbe de magthavende op.. De vil havde NemID - der må være nogen der får lommerne fyldt pga denne løsning, det er i hvertilfald ikke sikkerheden.

NemID er ingengang en forbedring på den gamle digitale signatur..

Men det kunne så nemt havde været gjordt rigtig, of haft mange gange bedre sikkerhed end det BS vi har nu..

Men Ak nej. Hvorfor er der så stor modstand mod at lave en ordenlig sikker løsning ? Det er ikke rocket science, da teknologien, og teknikkerne har været gennemtestet, og afprøvet siden sidste i 1980'ern. Jeg var selv med til at implementere en løsning i 1993 baseret på rigtige digitale signaturer, som var mere modstandsdygtig over for virusser og hackere end NemID Så hvorfor genopfinde den dybe tallerken igen og igen - og gøre det forkert ?

  • 9
  • 0
Nicolai Hansen

Det var vel prisen for at vælge NemID, i stedet for en mere sikker løsning.. Ikke nok med at man bliver generet af deres Java app, så skal man også finde deres papkort frem, selvom det intet hjælper hvis ens computer allerede har malware (hvilket jo var et af kravene: "lad som om at alle danske bankkunder har malware på deres computere").

Et SMS system havde gjort underværker (og stoppet alle de angreb vi indtil videre har set). Eller et system som det tyske (er det ikke dem der har en "skanner" af en art?)

  • 1
  • 0
Søren Munk

Hvem er det præcis der bliver holdt skadesfri?

Er det ikke mere at vi dækker kollektivt?
mon ikke bankerne bare finde et gebyr at skrue på eller lign., eller kan vi virkelig forvente at sikkerhedschefen, direktøren eller andre ansvarlige lige får det mindre i årsbonus?

  • 6
  • 2
Michael Nielsen

Man behøver ikke en SMS system eller lign.. Det kan nemt løses, den tyske løsning er ganske genial, da den har minimale krav..

Sms løsningen er desværre heller ikke god, da der kommer mere og mere malware der kan så hacke din telefon, så det er kun en stakkels frist, lige som NemID var..

  • 4
  • 0
Lasse Olsen

Nu har jeg ikke vildt meget forstand på det, men hvorfor ikke bare benytte sig af totrinsbekræftelse, hvor man modtager nogle cifre over sms, som man skal bekræfte på computeren ved login og overførsler? Eller hvad? ... Nu er det så godt nok ikke lige alle, der har en telefon, men det kunne da være en god løsning for størstedelen, tror jeg.

  • 0
  • 0
Martin Seebach

NemID er et to-trins-system. NemID er ikke "blevet snydt" - hvis hackeren har kontrol over den maskine du bruger til at få adgang er det meget meget svært at sikre.

Det man kan gøre, er at SMS'e transaktionsdetaljerne til kunden med en bekræftelseskode som så skal tastes ind. Så skal hackeren have fat i din mobil telefon også for at snyde dig.

  • 1
  • 2
John Vedsegaard

Der er lang vej igen, først af alt må enhver form for anonym surf afskaffes, det skal overhovedet ikke være muligt at komme på nettet uden at bruge et personligt ID af en eller anden art.

Så længe det er muligt at lave lort i den, uden at sige hvem man er, vil der blive lavet lort i den.

  • 0
  • 4
Anonym

Pressechefen hos Nets udtaler lige nu, til DR update, at man er i samarbejde med bankerne om at finde en løsning.
Pressechefen udtaler også, at brugerne skal passe bedre på, for den slags Trojanerne åbner også for andre personlige oplysninger, på brugernes PC.

Der ER tale om et angreb på NemID. Dermed må det være i samme resort at man skal komme med en løsning.
Brugerne kan IKKE beskytte sig, særskilt imod angreb på NemID. Det er afklaret tidligere på året, under et andet angreb. Hvor det blev afklaret, at det var et lokalt Dansk problem, og er for resourcekrævende, hvis man skal fremstille løsninger for Danske udfordringer.
Det ER helt umuligt, at beskytte sig ! Det er direkte usmageligt, når der alligevel stilles krav om en sådan selvbeskyttelse fra Nets side.
( Ingen arme, ingen småkager .... )

Det er især værd at bemærke, at man hos Nets, er klar over, at der også åbnes for personlige data, når der er angreb på NemID.
Dermed må det være fastslået, at NemID selv, bidrager til at udstille brugernes personlige data.

Det er jo altid et skridt på vejen, når man selv kan indse, skramlet ikke virker og at det udsætter brugernes persondata for kompromitering.

  • 3
  • 2
Dennis Schafroth

Direktør, Digitaliseringstyrelsen Lars Frelle-Petersen udtaler i TV-avisen: Du skal bare checke afsenderen i mailen.

Ved han noget om SMTP? Hvad er det for nogle klaphatte vi har sat til at styre IT i Danmark!

  • 6
  • 2
Lars Christensen

Vi hører jo desværre kun om de tilfælde hvor en bank har observeret og stoppet misbrug af nemid! Hvilket kan blive en grim sovepude for de ansvarlige politikere.
Kan vi forvente at alle de offentlige sider hvor nemid er påkrævet, at de opdager et misbrug? Og hvem erstatter skadelidte for de formodentlig meget opfattende skader, som et ID-tyveri/ID-misbrug kan medføre?

Mvh Lars plbrake.dk

  • 3
  • 0
jesper madsen

Til de mennesker der foreslår en kode fra mobiltelefon frem for papkort, hvor i skulle det øge sikkerheden? er vel ligemeget om de kriminelle skal phishe kode fra den ene eller anden enhed.

For mig virker dert som mennesker her glemmer at med de trojanere i dag så har kriminelle fuld kontrol over en pc så uanset hvad du smider på af sikkerhedsløsninger vil den jo nærmest pr automatik være brudt hvis vi ikke begynder at bruge decidere hardware løsninger. lukkede systemer.

  • 4
  • 0
Per Lind

Ja, så er vi her igen. Jeg har deja vue igen igen!

Man kan i alt enkelthed lade en voice biometrisk applikation lade hver transaktion vette. Det er den bedste og mest nemme teknologi at lægge over UNemID!

Kom nu ud af busken i Folketinger og hos UNemID! Det koster DKR 25.000 at lave en test!

Klaphatte!

PL

  • 0
  • 1
Per Lind

Fuldstændigt Ukorrekt! Tale biometri er svarret som knækker den trojanske hest! Kom nu med nogle lidt bedre argumenter som løser problemerne og ikke bare holder de svage i samfundet som gidsler!

Prøv noget nyt eller hold kaje!

PL

  • 0
  • 1
Log ind eller Opret konto for at kommentere