Banknæringen i Norge har slått alarm og kommer med nye tiltak etter at svindlere rundt juletider slo til mot flere banker. Men hvordan kunne svindlerne komme seg inn?
Det er en kjent sak at såkalte ”phishere” sender ut e-poster og prøver å lure folk til å oppgi sensitiv informasjon, slik som koden for innlogging i nettbanken. Det oppsiktsvekkende i nettbanksvindlene den siste tiden er at de ikke hadde dette. For de trengte ikke å kjenne kodene.
Les mer om nettbanksvindelen i Norge:
For naivt til å være lov
Frastjålet 95.000 i nettbanken
Tappet 14.000 fra nettbank-konto
Full alarm i banksektoren
Kripos bekrefter blindpassasjerer
Svindlerne hektet seg nemlig på som blindpassasjer når kundene selv logget seg inn, bekrefter Erik Mostue, politiadvokat i Kripos. Dermed kunne de uten passord legge inn sin ”skyggetransaksjon”.- Det er når kunden gjennomfører kontakten med banken at skyggetransaksjonen blir lagt inn, bekrefter han.
Svindlerne trengte ikke passord fordi de allerede hadde klart å legge inn skadelige programmer hos brukerne, såkalte trojanske hester. Disse programmene kan ligge og vente uten å gjøre noe, inntil brukeren logger seg på nettbanken, og taster inn alle kodene selv, både de man skal huske og engangskodene.
Disse programmene kan snike seg inn som vedlegg til e-poster eller lastes inn fra nettsider som brukeren gjerne blir lokket til av e-poster.
Ikke forsvarsløse
Hackerne var dermed inne, og kunne sette i gang egne betalinger. Dette er en avansert svindelform, og en skummel utvikling. For det betyr at nye koder for å logge seg inn i nettbanken, slik som Skandiabanken nylig innførte, ikke nødvendigvis stopper angriperne. Men helt fritt frem var det likevel ikke, forteller Eivind Grønnstad, informasjonsdirektør i DnB Nor.
- Hos oss var det én betaling som gikk gjennom av tre eller fire. Resten ble fanget opp før de ble gjennomført, sier han.
Banken har mer sikkerhet på lager, som skal avsløre mistenkelige transaksjoner og mønstre.
Manglet oppdateringer
Men var det tilfeldig hvem som ble angrepet?
- Angrepene utnyttet et gammelt sikkerhetshull i Microsoft-programvare. Det var sendt ut oppdateringer som fikset dette, men de var ikke installert på disse maskinene, sier Knut Kvalheim, ved Bankenes standardiseringskontor.
Hullene som ble utnyttet gjorde at svindlerne kunne ta over nettbanksesjonen og utføre egne betalinger. En oppdatert datamaskin er med andre ord ofte vanskeligere å angripe. Ifølge digi.no var det dessuten en versjon av trojaneren "Alvabrig.b" som ble benyttet, og den skal oppdaterte virusprogramvare kunne luke ut.
Stengte hull
Skaden ble uansett begrenset av at Kripos og bankene raskt grep inn.
- Vi fikk inn datamaskiner til analyse umiddelbart og har sjekket 13-14 av dem, forteller Mostue i Kripos.
Trojaneren ble identifisert og teknikken den brukte ble raskt sperret fra bankenes side. Angrep senere i jula og nyttårshelgen kunne dermed stoppes, forteller Grønnstad i DnB NOR. Informasjonsdeling mellom bankene var en stor hjelp.
- Man fant ut hvordan trojaneren fungerte, og fikk fjernet den muligheten, sier Jan Digranes, avdelingsdirektør for betalingsformidling i Sparebankforeningen.
Er løsningen dobbeltsignering?
Det at svindlerne kan komme seg inn uten å kjenne kodene er en skummel utvikling, men det går an å gjøre det vanskeligere. DnBNor har for eksempel fulgt andres eksempel, og innført signering med kode når man godkjenner betalinger, i tillegg til ved innlogging.
Men gir slik ”ut-signering” fullkommen sikkerhet? Det ville stoppet denne typen angrep, men løser ikke alt.
- Det er kattens lek med musen. Vi kan få trojanere som også håndterer pinkode ut, sier Mostue.
Digranes er enig.
- Vi kan ikke vite hvordan noen vil prøve seg i morgen, sier han.
Bankene kan innføre stadig flere sikkerhetstiltak som brukerne må gjennom, men faren må også veies mot problemene de skaper.
- Alle sikkerhetstiltak man gjennomfører i nettbankene vil redusere mulighetene for kriminelle, men du kan nå en grense der det knapt nok er mulig å bruke nettbanken, selv om den er helt sikker, påpeker Digranses.
Kan oppdage svindel selv
Nettbanksvindel har blitt aktualisert av flere innbrudd i Sverige og Norge, men problemet er fremdeles langt mindre enn kort-svindel er, og sjekk-svindel en gang var.
Hvis man mistenker svindel, kan det være greit å ringe banken raskt. Men vanligvis er det lett å sjekke selv.
- Man oppdager det hvis man ser på siste bevegelser på nettbanken. Skal de klare å få ut pengene må saldoen ned. Så selv om man klarer å svindle, blir det gjerne oppdaget veldig fort, sier Digranes.(Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.