Trojaner gik efter alle netbanker med NemID-login

21. februar 2012 kl. 10:4410
Kun otte kunder hos Danske Bank fik stjålet penge, men trojaneren var rettet mod hele NemID-løsningen.
person
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person

Den trojaner, som tidligere på måneden blev brugt til at stjæle i alt 700.000 kroner fra otte kunder hos Danske Bank, var beregnet til at gå efter danskere med NemID.

»Målet var danske banker. Det var ikke rettet specifikt mod Danske Bank,« siger sikkerhedskonsulent Peter Kruse fra sikkerhedsfirmaet CSIS til Version2.

De præcise omstændigheder er endnu ikke offentliggjort, men det kan altså være tilfældigt, at det netop var Danske Bank-kunder, som fik stjålet penge i denne omgang.

Ifølge bankernes interesseorganisation Finansrådet var trojaneren ikke bygget over en skabelon for en bestemt bank, men lokkede brugerne i fælden ved at vise et popup-vindue, som bad om en ny NemID-nøgle, mens brugerne allerede var logget ind med NemID.

Artiklen fortsætter efter annoncen

Selvom alle otte kunder, som blev udsat for svindlen, alle var kunder i Danske Bank, så var phishing-angrebet ikke rettet specifikt mod Danske Bank, men derimod mod NemID-løsningen.

Ifølge Finansrådet var angrebet dog begrænset til de otte kunder.

»Vi har ikke set andre gennemførte transaktioner,« siger juridisk konsulent Henriette Rolskov fra Finansrådet til Version2.

Det betyder, at selvom den trojanske bagdør skulle have inficeret flere brugeres pc'er end de otte, så var det kun de otte Dansk Bank-kunders konti, som svindlerne fik adgang til.

Præcis hvorfor alle otte var kunder hos netop Danske Bank og ikke fordelt mellem flere af de store danske banker, har det endnu ikke været muligt at få besvaret på grund af den verserende efterforskning af sagen.

Fokus
Emner
10 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
10
Michael Nielsen
22. februar 2012 kl. 17:49

@Jakob Damkjær

IP låsning, jeg fár da bare trojanen til at fortage en proxy funktion - dvs det er din egen pc jeg bruger til at hacke dig med.

Ikke for at fornærme dig, men det er sådanne løsninger der har smidt os i den fadese der hedder NemID, nemlig "security by obscurity", og "tæt nok er godt nok"..

Men når designet er fudamentalt usikkert, kan man ikke lappe det.

vedr. skødesløse.

Jeg vil udfordre en hver, giv mig adgang til din maskine for nogle timer (som man har via en trojan), og jeg garantere for jeg kan sende dig via en hvilken-som-helst maskine i verden, uden at du aner det sker..

Nej det her er ikke et socialt problem, men et fundamentalt sikkerheds problem. Det er så nemt at omdirigere traffik på en maskine - MS har lavet nogle hacks der advarere når man ændre i en host-fil, men det virker ikke alle steder..

Vi skal holde op med at sige det var brugerens problem, fordi det er ikke brugerne der har fejlen, det er systemet, kunderne - uagtet hvor ansvarligt de opføre sig, kan ikke gardere sig over for denne slags angreb, pga fundamentale problemer i NemID's design.. Disse fundamentale problemer gør hele løsningen så ufattelig sårbar, at man næsten lige så godt kunne droppe passwords, og bruger navne.. (ja ja det er en overdrivelse), men faktisk giver systemet ikke væsentlig mere sikkerhed end en almindelig brugernavn/password, det er bare en smule mere besværligt, som det her forløb viser...

Bare en skam så mange gerne vil smide skylden på menneskerne, fordi man ikke vil anerkende at Danmark har vist sin inkompetence i denne sag. og man vil ikke anerkende at man godkendte et system, hvor man i forvejen var advaret at det var enormt dårligt strikket sammen.

  • more_vert
    • insert_linkKopier link
5
Slettet bruger
21. februar 2012 kl. 12:30

Mon ikke vi kan regne med at de har kigget med på MANGE flere end de 8 konti og så har udvalgt de konti som der var penge på som kunne overføres.

Altså de har måske kigget med på 1000 konti og så har de valgt disse 8 fordi der var store pengebeløb som kunne flyttes og ladet alle "os andre" småfisk med begrænset kassekredit slippe fordi det ikke er døjet værd at flytte sølle 10.000 Kr.

Henrik Madsen

  • more_vert
    • insert_linkKopier link
3
Jørgen L. Sørensen
21. februar 2012 kl. 12:15

Jeg har ikke lært meget om statistik (synes det er ret langhåret), men min sunde fornuft undrer sig over at kun Danske Bank er blevet ramt hvis snydetampene har skudt med spredhagl. Godt nok er Danske Bank en af de store banker, men umiddelbart ville jeg tro at der også ville være en enkelt eller to andre banker med blandt de ramte.

Og tallet kan vel reelt være større end 8 ramte - når man ser hvor mange folk der ikke ønsker at få deres dankort kvitteringer fra butikkerne tænker jeg at det er meget få der afstemmer deres konto. Selv om snydetampene måske kun kan tage 500-1000 kroner fra en konto uden ejeren opdager det, bliver det også til en slags penge hvis man gør det ved 1000 kunder.

Og har alle med store beløb i banken mon opdaget at der har været snydetampe på spil i kongeriget, og efterfølgende tjekket deres konti?

  • more_vert
    • insert_linkKopier link
9
Indsendt af Thomas Hansen (ikke efterprøvet) den ons, 02/22/2012 - 10:23

Med de oplysninger der er kommet frem de sidste dage, må man satse på, at pengene der blev hugget i Danske Bank, kun var et statement. Der blev simpelthen beskrevet at "vi er her".

Der er absolut intet, der garanterer, at man ikke fortsat er her, med flokke af andre trojanere.

NemID er kompromitteret, sandsynligvis gennem længere tid. Derfor er det vigtigste stjålet for længe siden, altså oplysninger om alle. Der er ikke kun tale om mulige kontosaldo. Det er alles identitet, der muligvis er stjålet. Hvilket fjerner grundlaget under den løsning, der pt. udgør fundamentet under det Digitale Samfund.

Der er som sådan kun en eneste løsning på problemet, og det er at trække stikket til NemID.

At sige til alle at de skal formatterer deres HD, er ikke en løsning, for selve NemID er kompromitteret, så det er hos NemID problemet ligger, og det er KUN hos NemID man kan fjerne det.

Det hjælper ikke et klap, at en bruger formatterer sin HD, når selve systemet omkring NemID fortsat er det svage led. Man kan give en given bruger et nyt nøglekort, men man kan ikke vide om alle andre 3 millioner brugere er kompromitteret, evt. gennem andre ukendte trojanere som ikke hugger penge og derfor ikke bliver detekteret, så derfor er man nød til at slukke for NemID.

Dette scenarie, er DanID/Netz, og alle ansvarshavende politikere og embedsmænd gjort opmærksom på, for meget meget længe siden.

Man har negligeret dette scenarie med, at det var "teoretisk". Men det er det ikke mere, nu er det realiteterne.

Der ligger også noget i, at man har afvist enhver advarsel, fra alle ledende sikkerheds-virksomheder og specialister, i stor set hele verden. Man har ikke på nogen måde lyttet, men henholdt sig til sin egen bedrevidende holdning. Dette reducerer mulighederne for at finde hjælp, for ingen vil angribes på deres integritet, for efterfølgende at stille op på, at hjælpe de samme som lige har kaldt en selv for idiot.

DanID/Netz, de ansvarshavende embedsmænd og politikere, har i realiteten kun en meget lille kreds, hvor de kan søge efter og forlange løsning på NemID's udfordringer. En væsentlig aktør i denne lille kreds, har selv været ude med et forsøg på at dæmme op for problemet. Der er fremstillet et lille program, som kan detekterer om man er angrebet, af en enkelt trojaner. Der er dog kun tale om en enkelt trojaner, hvilket ikke udgør den samlede udfordring omkring NemID. Der er heller ikke tale om, at man kan fjerne denne trojaner, kun at man kan detekterer at den eksisterer.

Jeg er også klar over, at der er store investeringer der er tabt, hvis man trækker stikket over for NemID løsningen. Men det ER den eneste løsning. Ellers er der fortsat tale om, at alle er udsat for de sårbarheder der ligger i NemID.

  • more_vert
    • insert_linkKopier link
6
Søren Dybro
21. februar 2012 kl. 13:21

Det kunne jo være at det var danske bank hjemmesider der var inficeret og har givet det videre til brugerne. Derfor kun Danske Bank kunder der er blevet rippet...

  • more_vert
    • insert_linkKopier link
2
Jørgen L. Sørensen
21. februar 2012 kl. 12:09

Nu er det jo desværre ikke kun et bankproblem - hvis trojaneren ringer hjem til snydetampene hver gang Nem-ID bruges kan en bruger logge ind på skat.dk og medens han kigger på årsopgørelsen tømmer snydetampene hans bankkonto. Eller medens kunden er i netbanken bliver der oprettet et pantebrev i hans hus, hans personlige oplysninger/id stjålet eller noget som vi ikke lige har fantasi til at forudse endnu.

  • more_vert
    • insert_linkKopier link
1
Jakob Damkjær
21. februar 2012 kl. 11:58

Kræv IP nr låsning så hvis man er logget ind fra et ip nr kan et andet ip ikke logge ind samtidigt.

I ved lidt ligesom facebook der smidder en advarsel op hver gang du logger ind fra en ny ip og sender dig en mail om at en ny klient har logget ind på din facebook konto (bare med et fysisk brev isteded for en mail).

Hvis der så er et andet ip der forsøger bliver der udskrevet et brev som tilsendes kunden (hvor begge ip nr er påført) og alle transaktioner bliver sat escrow så de accepteres men gennemføres ikke før de godkendes af kunden. Når kunden så acceptere det gennemføres de med priotet, så betalingsdeadlines overholdes.

Desuden vil et krav om NemID ident ved ikke bare login men NemID ident ved handling og kort tidshorisont for at indtaste svarkoden (ie. send penge, søg lån, send besked, download pdf med fortrolig information). Så man skal være dum 2 gange i træk for at man faktisk bliver sårbar overfor konsekvenserne af man in the middle.

Nej det vil ikke gøre det umuligt men en hel del mere svært at gøre noget der er profitabelt.

  • more_vert
    • insert_linkKopier link
8
Indsendt af Thomas Hansen (ikke efterprøvet) den ons, 02/22/2012 - 09:38

Hvis man låser IP, så opstår der et nyt problem. Så kan man målrettet gå after den enkelte. Alle med fast IP bøvler lidt med det problem. Min oplevelse, har i forbindelse med fast IÅ været, at jeg ikke selv har trafik over forbindelsen, for der er millioner der forsøger at sende et kodeord til adressen. I realiteten er det et dos angreb, der skal bare ikke så meget til, for de enkelte vil opleve deres forbindelse / router, giver op ret hurtigt. Er man uden fri trafik, skal man ligeledes slukke forbindelsen, hver gang man ikke er online. Og ja, jeg er f.eks. uden fri trafik.

  • more_vert
    • insert_linkKopier link