Artikel top billede

Arkivfoto: Der er endnu ikke fuldt overblik over, hvor mange kunder og hvilke pengeinstitutter, der er berørt. Sikkerhedsfirma er på jagt efter beviser. (Foto: Torben Klint)

Netbank-kunder i fare via dansk avis-annonce

Stribevis af avislæsere kan være udsat for netbank- og korttyverier efter at have besøgt jysk netavis med inficeret banner. Sikkerhedsfirma datahøster kontrolservere på jagt efter beviser.

En inficeret bannerreklame leveret gennem Midtjyllands Avis har med høj sandsynlighed betydet tyverier af penge fra danske netbanker og misbrug af danske betalingskort.  
 
Det siger Peter Kruse fra sikkerhedsfirmaet CSIS, som netop er ved at infiltrere to russiske command and contol-servere, som blev benyttet til at indfange og kontrollere Windows-maskiner, som er blevet inficeret via et såkaldt drive-by angreb hos Midtjyllands Avis. 
 
Her leverede en inficeret reklame på avisens hjemmeside i slutningen af november ondsindet kode til avisens læsere over flere dage. Den skadelige kode er ifølge Peter Kruse en avanceret informationstyv i Carberp-familien som blev plantet ved at udnytte sårbarheder i blandt andet programmerne Adobe Reader og Java. 
 
Høster data på kontrolservere
Ifølge Peter Kruse har firmaet i lang tid håbet på at få fingre i de centrale kontrolservere, fordi i al fald den ene har været benyttet til en del forsøg på netbank-tyverier i Danmark begået af personerne bag Carberp.
 
Command and control-servere benyttes til at styre og kontrollere botnets, og det er også herfra inficerede klientmaskiner eller zombier henter og afleverer information.
 
"Derfor har vi været meget interesserede i, hvor mange maskiner de egentlig har inficeret," siger Peter Kruse. 
 
Peter Kruse fortæller, at det tirsdag formiddag lykkedes at få adgang til serverne, og at firmaet nu arbejder på at indsamle beviser på de danske netbank-tyverier ved at høste data. 
  
Dårlig kode giver adgang
Men før man har adgang til de centrale servere, kræver det en hel del analyse at finde en åben sprække i sikkerheden, forklarer Peter Kruse.
 
"Vi udnytter design-fejl som de (bagmændene, red.) begår. En af metoderne er at inficere en maskine med vilje og kigge på, hvilken trafik der så går igennem den maskine. Vi analyserer trafikken for at se, om der skulle være svagheder i den måde, designet mellem maskinen og botnettet er blevet lavet, siger Peter Kruse. 
 
Selvom fremgangsmåden lyder offensiv, mener Peter Kruse ikke, at der er tale om, at CSIS tiltvinger sig adgang til serverne.  
 
"Man må sige, at vi nok er inde i en fase, hvor man er nødt til at kigge på det på en anden måde, end man har gjort førhen. Vi kommer til at bruge mange flere honeypots (honningkrukker, red.) end tidligere," siger Peter Kruse.

høj koncentration af inficerede maskiner

Honningkrukkerne skal i form af computere, der ser ud til at tilhøre en del af et bestemt netværk, opdage og til dels modvirke forsøg på misbrug af it-systemer.  
 
Ifølge Peter Kruse analyserer man i detaljer datatransmissionen frem og tilbage imellem en inficeret maskine og kontrolserverne. 
 
"Og hvis man kan finde en fejl i måden, hvorpå serveren modtager data fra zombien på, så forsøger man at anvende det til egen fordel uden at bryde ind i serveren," siger Peter Kruse. 
 
Vasker penge hvide med julegaver
Han fortæller, at firmaet har konstateret, at bagmændene i øjeblikket handler flittigt ind til jul fra serverne. 
 
"For at hvidvaske pengene køber de varer i stedet for at bruge mulddyr og bankoverførsler," siger Peter Kruse, der fortæller, at indkøbene primært omhandler dyr elektronik.  
 
Han fortæller, at bannerangrebet mod Midtjyllands Avis har givet en høj koncentration af inficerede maskiner, som har kommunikeret med de russiske command and control-servere.
 
Ofrene er dermed koncentreret geografisk, men de er kunder i en lang række forskellige pengeinstitutter, fortæller Peter Kruse. 

Lille svind på netsalg

Hos Nets fortæller pressechef Søren Winge, at firmaet endnu ikke har opgjort tabstallene fra sidste halvår af 2010, men at misbruget af betalingskort i forbindelse med fjernsalg udgjorde 6,7 millioner kroner. Dermed udgjorde misbruget 0,05 procent af omsætningen på 14 milliarder kroner i første halvår. 
  
Hos bankernes interesseorganisation, Finansrådet, er opgørelsen over tab som følge af netbank-kriminalitet i det sidste kvartal af 2010 endnu ikke færdig.  




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Ciklum ApS
Offshore software- og systemudvikling.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere