Artikel top billede

Sådan kan NemID lukke af for netbank-tyvene

De it-kriminelle bliver hele tiden dygtigere til at bryde bankernes sikkerhedsværn og har NemID som et klart angrebs-mål. Sikkerhedsfolk giver deres bud på det bedste forsvar.

Læs også:

Så mange netbanktyve slap forbi NemID i 2011

Sådan fik danske bankkunder lænset deres konti

Selvom tal fra Finansrådet viser, at der i de første ni måneder af 2011 kun har været otte udbytterige netbankindbrud, mener hverken sikkerhedsspecialist Peter Kruse fra CSIS Group eller FortConsult-direktør Ulf Munkedal, at danskerne skal føle sig alt for trygge. 

"Det er langt fra sikkert, at vi kan holde så pæne tal i fremtiden. De it-kriminelle finder hele tiden nye måder at komme ind på," siger Peter Kruse fra CSIS. 

Også Ulf Munkedal mener, at vi skal passe på med at føle os for sikre. 

Løbende våbenkapløb

"Det er et løbende våbenkapløb. Angriberne bliver hele tiden dygtigere til at komme igennem, så vi bliver nødt til hele tiden at opruste vores sikkerhedsløsninger," siger Ulf Munkedal, der er direktør i FortConsult. 

Peter Kruse sammenligner våbenkapløbet med en mur. 

"Vi bygger en mur, som, vi vurderer, er høj nok til at holde tyvene ude. Men det er den kun, indtil de bygger en stige, der er lidt højere," siger han til Computerworld. 

Og skurkene er allerede i gang. Mens de tidligere typisk hackede sig direkte ind i bankernes onlinesystemer, fortæller Ulf Munkedal, at den oftest anvendte metode i dag er en helt anden. 

"Det nye er man in the middle. Det vil sige, at netbanktyven stiller sig et sted, hvor han kan aflure netbankbrugernes koder eller snyde dem til selv at udlevere dem," forklarer Ulf Munkedal. 

Det er da også denne metode, der blev anvendt ved de otte netbankindbrud her i 2011. 

Få en nærmere beskrivelse af den anvendte fremgangsmåde her.

Vi ved, at tyvene bliver dygtigere

Da først de it-kriminelle lærte at bryde ind i de danske netbanker i 2006, gik det stærkt. De blev enten hurtigt flere eller dygtigere. 

I hvert fald steg antallet og udbyttet af netbankindbrud eksplosivt frem til slutningen af år 2009. Her blev de forgående adgangsløsninger til netbankerne erstattet af NemID, og indbrudstyvene stod nu over for en ny udfordring.

I 2010 var der da også kun seks succesfulde netbankindbrud. 

Men allerede før 2011 er afsluttet, har tyvene overgået sidste års tal. Ved udgangen af september 2011 havde otte netbankkunder mistet penge til en it-kriminel. 

Så selvom NemID tilsyneladende har haft stor effekt, og tallene fra 2011 er lave i forhold til tiden før NemID, tror sikkerhedsrådgiverne ikke, at NemID holder stand for evigt. 

"Det er ligesom Egon Olsen, der i Olsenbanden går efter Franz Jäger-pengeskabe. Dem kender han, og han er inde på bare få sekunder. Er det noget, tyvene kender, bryder de nemt ind i det, mens nye sikkerhedsforanstaltninger gør det sværere og mere tidskrævende," forklarer Ulf Munkedal. 

Sådan kan vi undgå sikkerhedsbrølere

Konklusionen fra Peter Kruse og Ulf Munkedal er enstemmig. På sigt skal de nuværende sikkerhedstiltag opgraderes. 

Med Peter Kruses terminologi skal muren bygges højere, før tyvenes stige rager op over toppen. Dog er det alligevel ikke helt så simpelt. 

"Sikkerheden er stor nu, og der er en god balance mellem brugervenlighed og sikkerhedsniveau. Hvornår truslen er så stor, at vi skal bygge muren højere, skal altid afvejes i forhold til, hvor meget mere besværligt det bliver for brugerne," fortæller Peter Kruse. 

Pressechefen fra Nets, der er NemID's skaber, er ikke uenig med de to sikkerhedsrådgivere.

Søren Winge fortæller på vegne af Nets, at virksomheden selvfølgelig hele tiden holder øje med sikkerhedstruslerne og er klar med sikkerhedsmæssige tiltag, når det bliver aktuelt.

"Sikkerhed er ikke en absolut størrelse," siger Søren Winge.

Her er Nets' plan

Han er i lighed med Peter Kruse og Ulf Munkedal ikke i tvivl om, at truslen mod NemID vil vokse i fremtiden, men lige nu er han og Nets godt tilfredse med papkortet og de dertilhørende koder.

"Mere sikkerhed koster på brugervenligheden, men når vi ser eksempler på, at svindlerne i større stil finder det interessant at misbruge NemID, vil vi selvfølgelig være klar til at lave de sikkerhedsmæssige ændringer, der skal til. Men som det er nu, ser vi ikke nogen anledning til at lave ændringer."

Selvom NemID's bagmænd ikke planlægger tekniske ændringer i sikkerhedssystemet, arbejder de stadig på at øge sikkerheden omkring brugen af NemID til netbank og lignende.

"De eksempler, vi har set indtil nu, er såkaldt phishing, hvor en stribe mails kommer ud til forskellige kunder, som i nogle tilfælde har afgivet deres fortrolige NemID-data," forklarer Søren Winge.

Han oplyser til Computerworld, at Nets i øjeblikket arbejder på at opdrage banker, kreditkortfirmaer og offentlige myndigheder til aldrig at udbede sig kunders oplysninger på mail.

På den måde håber selskabet, at danskerne vil blive klar over, at de aldrig vil blive udbedt NemID-oplysninger via mails.

Derved skulle svindlerne gerne få sværere ved at franarre danskerne deres login-oplysninger, eftersom anbefalingen i så fald er klar.

"Lad vær med at give dine NemID-oplysninger på mail til nogen som helst. Det vil de aldrig bede om. Det skal du ikke gøre," siger Søren Winge.

Bagmændene følger altså udviklingen i antallet af angreb på NemID-beskyttede ydelser på nettet og lover opgraderinger, så snart det bliver relevant.

Hvilke opgraderinger, der er tale om, vil Søren Winge dog ikke løfte sløret for. Han mener ikke, der er nogen grund til at give svindlerne tid til at forberede sig på kommende sikkerhedstiltag.

Læs også:

Så mange netbanktyve slap forbi NemID i 2011

Sådan fik danske bankkunder lænset deres konti




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Konica Minolta Business Solutions Denmark A/S
Salg af kopimaskiner, digitale produktionssystemer og it-services.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere