Netbank-kunder i fare via dansk avis-annonce

Stribevis af avislæsere kan være udsat for netbank- og korttyverier efter at have besøgt jysk netavis med inficeret banner. Sikkerhedsfirma datahøster kontrolservere på jagt efter beviser.

Artikel top billede

Arkivfoto: Der er endnu ikke fuldt overblik over, hvor mange kunder og hvilke pengeinstitutter, der er berørt. Sikkerhedsfirma er på jagt efter beviser. (Foto: Torben Klint)

En inficeret bannerreklame leveret gennem Midtjyllands Avis har med høj sandsynlighed betydet tyverier af penge fra danske netbanker og misbrug af danske betalingskort.  
 
Det siger Peter Kruse fra sikkerhedsfirmaet CSIS, som netop er ved at infiltrere to russiske command and contol-servere, som blev benyttet til at indfange og kontrollere Windows-maskiner, som er blevet inficeret via et såkaldt drive-by angreb hos Midtjyllands Avis. 
 
Her leverede en inficeret reklame på avisens hjemmeside i slutningen af november ondsindet kode til avisens læsere over flere dage. Den skadelige kode er ifølge Peter Kruse en avanceret informationstyv i Carberp-familien som blev plantet ved at udnytte sårbarheder i blandt andet programmerne Adobe Reader og Java. 
 
Høster data på kontrolservere
Ifølge Peter Kruse har firmaet i lang tid håbet på at få fingre i de centrale kontrolservere, fordi i al fald den ene har været benyttet til en del forsøg på netbank-tyverier i Danmark begået af personerne bag Carberp.
 
Command and control-servere benyttes til at styre og kontrollere botnets, og det er også herfra inficerede klientmaskiner eller zombier henter og afleverer information.
 
"Derfor har vi været meget interesserede i, hvor mange maskiner de egentlig har inficeret," siger Peter Kruse. 
 
Peter Kruse fortæller, at det tirsdag formiddag lykkedes at få adgang til serverne, og at firmaet nu arbejder på at indsamle beviser på de danske netbank-tyverier ved at høste data. 
  
Dårlig kode giver adgang
Men før man har adgang til de centrale servere, kræver det en hel del analyse at finde en åben sprække i sikkerheden, forklarer Peter Kruse.
 
"Vi udnytter design-fejl som de (bagmændene, red.) begår. En af metoderne er at inficere en maskine med vilje og kigge på, hvilken trafik der så går igennem den maskine. Vi analyserer trafikken for at se, om der skulle være svagheder i den måde, designet mellem maskinen og botnettet er blevet lavet, siger Peter Kruse. 
 
Selvom fremgangsmåden lyder offensiv, mener Peter Kruse ikke, at der er tale om, at CSIS tiltvinger sig adgang til serverne.  
 
"Man må sige, at vi nok er inde i en fase, hvor man er nødt til at kigge på det på en anden måde, end man har gjort førhen. Vi kommer til at bruge mange flere honeypots (honningkrukker, red.) end tidligere," siger Peter Kruse.

høj koncentration af inficerede maskiner

Honningkrukkerne skal i form af computere, der ser ud til at tilhøre en del af et bestemt netværk, opdage og til dels modvirke forsøg på misbrug af it-systemer.  
 
Ifølge Peter Kruse analyserer man i detaljer datatransmissionen frem og tilbage imellem en inficeret maskine og kontrolserverne. 
 
"Og hvis man kan finde en fejl i måden, hvorpå serveren modtager data fra zombien på, så forsøger man at anvende det til egen fordel uden at bryde ind i serveren," siger Peter Kruse. 
 
Vasker penge hvide med julegaver
Han fortæller, at firmaet har konstateret, at bagmændene i øjeblikket handler flittigt ind til jul fra serverne. 
 
"For at hvidvaske pengene køber de varer i stedet for at bruge mulddyr og bankoverførsler," siger Peter Kruse, der fortæller, at indkøbene primært omhandler dyr elektronik.  
 
Han fortæller, at bannerangrebet mod Midtjyllands Avis har givet en høj koncentration af inficerede maskiner, som har kommunikeret med de russiske command and control-servere.
 
Ofrene er dermed koncentreret geografisk, men de er kunder i en lang række forskellige pengeinstitutter, fortæller Peter Kruse. 

Lille svind på netsalg

Hos Nets fortæller pressechef Søren Winge, at firmaet endnu ikke har opgjort tabstallene fra sidste halvår af 2010, men at misbruget af betalingskort i forbindelse med fjernsalg udgjorde 6,7 millioner kroner. Dermed udgjorde misbruget 0,05 procent af omsætningen på 14 milliarder kroner i første halvår. 
  
Hos bankernes interesseorganisation, Finansrådet, er opgørelsen over tab som følge af netbank-kriminalitet i det sidste kvartal af 2010 endnu ikke færdig.  

Event: Cyber Security Festival 2026

Sikkerhed | København

Mød Danmarks skrappeste it-sikkerhedseksperter og bliv klar til at planlægge og eksekvere en operationel og effektiv cybersikkerhedsstrategi, når vi åbner dørene for +1.700 it-professionelle. Du kan glæde dig til oplæg fra mere end 70 talere og møde mere end 50 leverandører over to dage.

18 & 19 november 2026 | Gratis deltagelse

Navnenyt fra it-Danmark

IFS Danmark A/S har pr. 1. juni 2026 ansat Lasse Hounsgaard som AI Account Executive. Lasse skal især beskæftige sig med udrulning af IFS.ai Logistics i Norden. Lasse kommer fra en stilling som Manufacturing Account Executive hos Autodesk ApS. Lasse er uddannet cand.merc. i International Virksomhedsøkonomi. Lasse har tidligere beskæftiget sig med digitalisering af danske og nordiske virksomheder. Nyt job

Lasse Hounsgaard

IFS Danmark A/S

Tinne Schjoldan Gyllich, Director, CX & Services (Customer Adoption) hos TDC Erhverv, er pr. 1. juni 2026 forfremmet til Senior Director, Head of Partnerships. Tinne skal fremover især beskæftige sig med at drive strategiske partnerskaber, styrke økosystemet og skabe vækst gennem partnerbaseret omsætning. Forfremmelse
Netip A/S har pr. 1. april 2026 ansat Claus Berg som Account Manager ved netIP's kontor i Esbjerg. Han kommer fra en stilling som Client Manager hos itm8. Nyt job

Claus Berg

Netip A/S

Den danske eID-virksomhed Idura har pr. 1. april 2026 ansat Kari Lehtimäki som Country Manager. Han skal især beskæftige sig med at styrke kendskabet til Iduras løsninger i Finland samt fremme samarbejdet med økosystemet omkring det finske Trust Network. Han kommer fra en stilling som Salgschef hos Telia Finland. Han er uddannet uddannet civilingeniør (M.Sc. Tech.) og medbringer ledelse, markedsindsigt og praktisk erfaring. Han har tidligere beskæftiget sig med salg og forretningsudvikling inden for Telias trust services-forretning. Nyt job

Kari Lehtimäki

Den danske eID-virksomhed Idura