Voldsom stigning i danske netbank-indbrud

2012 blev det værste år for danskernes netbank-sikkerhed siden indførelsen af NemID. I alt blev danskerne røvet for 6,3 millioner kroner.

Sikkerhedsgevinsten ved indførelsen af NemID som login til danskernes netbanker er blevet udhulet af nye metoder, som de kriminelle har taget i brug. 2012 blev således det værste år for netbanksikkerheden i Danmark i fire år.

I alt brød kriminelle ind i danskernes netbanker 199 gange i løbet af 2012, fremgår det af en opgørelse fra Finansrådet. I 56 af tilfældene lykkedes det de kriminelle at føre penge ud fra ofrenes konto.

Det samlede tab fra netbankindbrud løb i 2012 således op i knapt 6,3 millioner kroner. Det skal ses i forhold til, at tabene i 2011 og 2010 var på henholdsvis cirka 160.00 kroner og 433.000 kroner.

Både antallet af netbankindbrud og det samlede stjålne beløb var altså det højeste siden indførelsen af NemID. I 2009 blev der registeret 111 indbrud, hvoraf 63 førte til tyveri for i alt 6,8 millioner kroner. 2008 var det hidtil værste år for danske netbanktyverier med 251 indbrud, hvoraf 132 førte til et samlet tyveri på 6,5 millioner kroner.

»De gode gamle dage uden netbankindbrud er forbi. Det kan vi også se på vores nabolande, at netbanker er under massivt pres. Det er vi forberedt på, og vi skal stå imod det pres,« siger juridisk konsulent Henriette Rolskov fra Finansrådet til Version2.

Hvorvidt antallet at netbankindbrud vil stige de næste år er imidlertid uvist, da bankerne løbende forsøger at forbedre sikkerheden gennem samarbejde mellem bankerne, bedre teknikker til at opdage svindel, uddannelse af brugerne og at holde et vågent øje med de kriminelle.

»Det er en fortsat indsats. Vi har ikke ligget stille de sidste år, men vi holder os orienteret om hvilke kriminelle bander, der er aktive. Der foregår et stort løbende sikkerhedsarbejde,« siger Henriette Rolskov.

Bankerne holder kortene tæt til kroppen, når det gælder forbedringer i teknologier til sporing af svindel, men det er kun et af flere ben i sikkerheden omkring netbanker.

»Noget af det vanskeligste er at få gjort brugerne opmærksomme og sørge for at holde deres software opdateret,« siger Henriette Rolskov.

Efter indførelsen af NemID til de danske netbanker er de danske løsninger fortrinsvis sårbare over for angreb af man-in-the-middle-angreb, som forudsætter, at de kriminelle snyder brugeren til at udlevere en ekstra NemID-kode ud over deres brugernavn og adgangskode.

Det kan ske ved hjælp af phishing eller ved hjælp af malware, som er installeret på brugerens pc, men i alle de tilfælde, der har været fremme i Danmark, har der indgået én eller anden form for manipulation af brugeren.

Derfor arbejder bankerne også løbende på at forbedre de systemer, som kan opdage, hvis en netbank er blevet hacket, så man kan stoppe en pengeoverførsel, før pengene eksempelvis bliver hævet og sendt ud af landet uden om det normale banksystem.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (14)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Thue Kristensen

6.3 millioner kr er lidt over en krone per dansker. Det er ikke meget i den store sammenhæng.

Når man sammenligner med hvor mange penge sikkerhedssystemerne, som fx NemID, koster, så er det stjålne beløb nærmest ingenting. Som jeg har forstået det så koster NemID en krone hver gang jeg logger ind; så efter første login så har banken allerede brugt lige så meget på sikkerhed som der i gennemsnit vil blive stjålet fra mig i løbet af et år.

Erik Bruus

Hvordan er det med virusscanner og netbankindbrud. De gange jeg har måtte yde teknisk support til syge maskiner har der slet ikke været nogen scanner installeret, og de har været voldsomt inficeret. Så mit store spørgsmål er, kan en god scanner holde tyvene væk ?. Mhv, Erik.

Ole Wolf

Jeg tør godt vove den påstand, at når Nets/DanID igen og igen siger til brugerne, at de blot skal ignorere enhver advarsel, og at NemID er åh-så-sikkert, så er de medvirkende til at indgyde brugerne en falsk tryghedsfornemmelse, som IT-kriminelle kan udnytte.

Torben Mogensen Blogger

Det kan blive endnu værre. For eksempel har der været en del sager, hvor forsikringsselskaber insisterer på, at biler med startspærre ikke kan stjæles uden en nøgle, og dermed giver ejeren skylden for ikke at have passet godt nok på deres nøgler (eller sågar sagsøger dem for forsikringssvindel). Hvis et netbanksystem påstås at være sikkert overfor angreb, kan man risikere, at bevisbyrden på samme måde skubbes over på brugerne.

Kjeld Ole Bak

I "gamle dage" (dvs. før nem-id) var det således med min netbank i Danske Bank, at man skulle generere en kode med en kodemaskine, når man afsluttede en overførsel. Dette betød maksimal sikkerhed, da en tyv, der f.eks. havde fået anbragt et tasteovervågningsprogram i baggrunden af min maskine, eller som sad som en 'man-in-the-middle" , jo ikke kunne vide, hvilke challenge numre min kodemaskine var indrettet til at reagere på. Efter indførelse af nem-id, blev det ændret til at jeg blot skal indtaste et fast password, som er det samme hele tiden, og som en tyv derfor meget hurtigt kan opsnappe. Denne mangelfulde sikkerhed ved nem-id skrev jeg om flere gange til Danske Bank, men jeg fik aldrig noget svar. Jeg formoder, at denne praksis er dikteret af nem-id.

Nu har jeg fået installeret webbank på min android telefon, og til min store tilfredshed er det i android-versionen af netbanken sådan, at jeg ganske vist går ind i netbanken blot med et password (talkode), men hvis jeg laver en eller flere pengeoverførsler, skal jeg til sidst kvittere med en nem-id kode. Altså næsten som i det gamle system. Da dette system derfor ikke har de samme svagheder som PC-udgaven af netbanken, har jeg slettet min netbank i PC-en og bruger kun min mobiltelefon.

Har jeg ret i at mene, at dette system er sikkert for både trojanske heste og man-in-the-middle angreb? En tyv kan jo ikke vide hvilke talkombinationer, der er på mit nem-id kort. Sandsynligheden for at en challenge , som han genererer tilfældigt, skulle være på mit nem-id kort, er ganske vist ca. 1,3 %, men første gang jeg får en challenge, som ikke er på kortet, ved jeg, at der er noget galt. Det kræver dog, at jeg streger brugte koder ud, da han ellers blot kunne genbruge en tidligere opsnappet challenge. Men bortset fra det kan I, kloge læsere, så se andre faremomenter ved proceduren?

Daniel Udsen

Efter indførelse af nem-id, blev det ændret til at jeg blot skal indtaste et fast password, som er det samme hele tiden, og som en tyv derfor meget hurtigt kan opsnappe. Denne mangelfulde sikkerhed ved nem-id skrev jeg om flere gange til Danske Bank, men jeg fik aldrig noget svar. Jeg formoder, at denne praksis er dikteret af nem-id.

Nok ikke direkte dikteret af NemID's politikker men mere et udslag for hvordan nemid er sat sammen på, banken har det problem at de skal betale xx øre til nets samt sende en forespørgsel til nets servere hver gang de vil verificere via nemid, mens det gamle system lå internt i bankens it infrastruktur og, hvor en verification både var gratis for banken, og lå i samme system som netbanke hvilket betyder noget i forhold til driftstabilitet og hastighed.

Papkort delen af nemid er iøvrigt sikker nok, 2 faktor logon er der ikke noget galt med problemet er centeret omkring det java snask nemid har måtte putte det ned if for at opretholde en illusion om at nemid er en digital signatur løsning.

Med en ren 2 factor løsning og gentagne verficationer af efterfølgende transaktioner er session hijacking svært at fasthole mens du med nemid har økonomiske grunde til kun at bruge det ved selve logon processen. især forde staten betegner nemid initierede sessioner som 110% sikre set rent juridisk.

Jesper Lund

Har jeg ret i at mene, at dette system er sikkert for både trojanske heste og man-in-the-middle angreb?

Kort svar: nej. Så vidt jeg ved har du også set indbrud i netbanker hvor der skal indtastes en OTP kode fra papkortet ved selve transaktionen.

Det grundlæggende problem er at en angriber kan modificere det som vises i din browser, således at du godkender en anden transaktion end den som i virkeligheden udføres (kendt som man-in-the-browser angreb).

Der er så mange som kan modificere din computer at den bør betragtes som kompromitteret. Anti-virus gør ingen forskel her. AV fanger aldrig 0-day og når først din computer er kompromitteret, er din AV software under angriberens kontrol.

En mere sikker strategi er at flytte godkendelsen af transaktionen til et eksternt tamper-proof device som ChipTan der bruges i Tyskland.

Men også her har der været succesfulde angreb, vist nok fordi man kan godkende to transaktioner på en gang, og så var den anden modificeret.

Selv det bedste sikkerhedssystem virker ikke mod social engineering.

Når man måler omfanget af netbank misbruget i forhold til en periode lige efter NemIDs indførelse, hvor de kriminelle var på efteruddannelseskursus for at blive klar til de nye udfordringer, får du selvfølgelig en "voldsom stigning".

Men reelt er 6 mill ikke særligt meget, og alle de ideer som jeg har skitseret vil koste langt mere end 6 mill og gøre det hele meget mere besværligt.

Det er meget tænkeligt at vi har den optimale netbank sikkerhed.

Medmindre du som forbruger opfører dig meget tåbeligt, er det banken som dækker tabet.

Gert Madsen

Det har været behandlet på Version2 før, så endnu en gang:

"Sikkerhedsgevinsten ved indførelsen af NemID som login til danskernes netbanker"

Selv ikke bankernes egne statistikker giver noget som helst belæg for at der skulle findes en sikkerhedsgevinst ved indførelse af NemID.

Log ind eller Opret konto for at kommentere