Søg

Politi: Her er de it-kriminelles nye mål i finanssektoren

De skarpeste hackere har rettet blikket mod en helt ny indgang til bankerne. Se her, hvordan man kan forhindre hackerne adgang.

24. september 2012 kl. 11.41
Artikel top billede
Taylor Armerding Taylor Armerding

Computerworld News Service: Datakriminaliteten undergår en stadig udvikling.

Det foretrukne mål i finanssektoren er ved at forandre sig fra bankkunderne til de bankansatte.

Det oplyser USA's forbundspoliti, FBI, der advarer om, at den seneste tendens hos it-kriminielle er at få fat på bankansattes loginoplysninger ved hjælp af spam og phishing, keylogging og værktøjer til fjernadgang, såkaldte remote access trojanere (RAT).

Sådan løser man problemet

Spørgsmålet om, hvordan man bedst bekæmper it-kriminaliteten, fører direkte ind i den igangværende debat om oplæring vs. teknologi.

De fleste sikkerhedseksperter vurderer, at det er nødvendigt at bruge begge tilgange, og FBI leverer da også en liste af anbefalinger angående oplæring og regelsæt, der bør afholde medarbejderne fra at forære nøglerne til skatkammeret væk.

Visse eksperter såsom George Tubin, der er seniorsikkerhedsstrateg hos Trusteer, mener dog, at forbedret teknologi er den eneste effektive løsning.

"En del af løsningen er oplæring," medgiver han.

"Men vi har talt om det her længe i forsøget på at oplære kunder og medarbejdere. Det er blevet en af de kampe, som jeg ikke tror, vi kan vinde."

Snedige fupnumre

"Nogle af fupnumrene er så snedige, at de næsten kunne narre enhver - meget avancerede planer med web-injektion og e-mails fra venner, der får dig til at åbne en vedhæftet fil. Den eneste løsning er automatiseret teknologi, der sørger for, at folk ikke får mulighed for at reagere på den slags," siger Tubin.

Han bemærker også, at det at medarbejdere for eksempel arbejder hjemmefra, bruger deres egne telefoner og tablets til arbejde eller har lov til at surfe på nettet fra virksomhedsnetværket, "gør dem ekstremt sårbare."

Det er Brian Berger, der er vice president hos Wave Systems, enig i.

"Brugerne vil altid være brugere, ligegyldigt hvor meget man oplærer dem i god sikkerhedspraksis, så det er afgørende, at organisationer har foranstaltninger på plads, der hjælper til at mindske sådanne trusler," siger han.

"Hardware-autentifikation gennem Trusted Platform Module (TPM) gør, at de kriminelle ikke kan trænge igennem, heller ikke selvom en medarbejder begår fejltrin."

Kevin Flynn, der er senior produktleder hos Fortinet, sammenligner oplæring af medarbejdere i god sikkerhedspraksis med køreundervisning af teenagere.

"Køreundervisning hjælper til at reducere antallet af ulykker, men det gør ikke nødvendigvis teenagere til gode chauffører," siger han. "Sikkerhed er et område, der hører til netværket."

Scott Greaux, der er produktchef hos PhishMe, kommenterer dog:

"Oplæring er en organisations bedste forsvar mod disse trusler, men sådanne initiativer er nødt til at bryde med den traditionelle model for sikkerhedsoplysning og anvende kreative og medrivende undervisningsteknikker såsom phishing-øvelser, hvilket både oplyser bedre om problemstillingerne og gør, at oplysningerne huskes bedre."

Greaux afviser dog ikke, at det kan være en god idé at forbedre den teknologiske side af sagen.

Men han holder fast i, at et menneskeligt element kan forbedre sikkerheden i processerne.

"Finansinstitutioner bør implementere en kombination af tilfældige og grænseværdi-baserede evalueringer af alle elektroniske overførsler," anbefaler han.

"Dette vil føje et ekstra lag af menneskelig interaktion til overførslerne, hvilket mindsker risikoen for, at ulovlige overførsler går ubemærket igennem," siger Scott Greaux, der er produktchef hos PhishMe

Det er åbenlyst, at det kan være til stor skade, hvis medarbejderes brugeroplysninger bliver stjålet. Med sådanne oplysninger - især hvis det drejer sig om brugeroplysningerne fra adskillige medarbejdere - kan kriminelle få adgang til enhver kundes konti. FBI nævner ingen specifikke banker, men understreger, at "små og mellemstore banker og kreditforeninger har været mål for de fleste af de beskrevne angreb."

Nogle få store banker har dog også været mål for angreb.

Stjålet millioner af kroner

I disse tilfælde har kriminelle været i stand til at gennemføre uautoriserede elektroniske overførsler ud af landet.

FBI oplyser, at det her drejer sig om beløb på mellem 2,3 og 5,2 millioner kroner.

I mindst ét tilfælde "hævede gerningsmanden beløbsgrænsen for elektroniske overførsler fra kundens konto, så det var muligt at overføre et større beløb."

Sådanne angreb medfører dog også andre end de umiddelbare økonomiske skadevirkninger.

Det er ifølge Tubin én ting, at en kunde bliver hacket eller falder for et svindelnummer, men det er noget "helt andet," hvis det er selve finansinstitutionen, der kompromitteres.

"Skaden mod en stor institutions omdømme kan være katastrofal. At blive kompromitteret er det sidste en bank har brug for."

Sådan kan banker og finans-verdenen sikre sig

Ligegyldig hvilken teknologi, man anvender, så anbefaler FBI adskillige grundlæggende forholdsregler, som pengeinstitutterne og finansvirksomheder bør følge.

Det drejer sig blandt andet om følgende:

- Oplær medarbejderne til ikke at åbne vedhæftede filer eller klikke på links i uopfordrede e-mails.

- Lad ikke medarbejderne få fri adgang til internettet eller personlig eller arbejdsrelateret e-mail på de samme computere, der har forbindelse til betalingssystemer.

- Giv ikke medarbejderne adgang til administrative brugerkonti fra hjemmecomputere eller bærbare forbundet til hjemmenetværk.

- Sørg for, at medarbejderne ikke efterlader USB-tokens i computere, der er forbundet til betalingssystemer.

- Overvåg, når medarbejdere logger ind uden for normal arbejdstid.

- Begræns på hvilke tidspunkter af døgnet, der kan logges ind på brugerkonti med adgang til betalingssystemer.

- Begræns adgangen til indstillingerne for beløbsgrænser for elektroniske overførsler.

Roger Thompson, der er chefanalytiker for nye trusler hos ICSA Labs, understreger, at både oplæring og teknologi er helt afgørende for sikkerheden: "Den bedste måde at forholde sig til sikkerheden på er at forestille sig en schweizerost. Ethvert lag har masser af huller, men hvis du arrangerer dine skiver af ost på den rigtige måde, så kan lagene dække hinandens huller. Med andre ord behøver hvert lag i sikkerheden ikke at være perfekt, så længe der er nok lag."

Oversat af Thomas Bøndergaard

Seneste nyt

|Vis seneste uge

Læses lige nu

    Annonce

    Computerworld Events

    Vi samler hvert år mere end 6.000 deltagere på mere end 70 events for it-professionelle.

    Ekspertindsigt – Lyt til førende specialister og virksomheder, der deler viden om den nyeste teknologi og de bedste løsninger.
    Netværk – Mød beslutningstagere, kolleger og samarbejdspartnere på tværs af brancher.
    Praktisk viden – Få konkrete cases, værktøjer og inspiration, som du kan tage direkte med hjem i organisationen.
    Aktuelle tendenser – Bliv opdateret på de vigtigste dagsordener inden for cloud, sikkerhed, data, AI og digital forretning.
    Roundtable: Hybrid og cloud – sikre og strategiske it-valg i en ustabil verden

    Infrastruktur | Frederiksberg

    Roundtable: Hybrid og cloud – sikre og strategiske it-valg i en ustabil verden

    Eksklusive danske digitale ledere mødes til rundbordssamtale om balancen mellem fart, sikkerhed og compliance. Hør hvordan CIO’er bygger robuste hybrid cloud-strategier, der skaber reel forretningsværdi og styrker modstandskraften.

    Strategisk It-sikkerhedsdag 2026 - København

    Sikkerhed | København

    Strategisk It-sikkerhedsdag 2026 - København

    Få overblik over cybersikkerhedens vigtigste teknologier, trusler og strategiske valg. Hør skarpe oplæg om AI-risici, forsvar, compliance og governance. Vælg mellem to spor og styrk både indsigt og netværk. Deltag i København 20. januar.

    Executive Conversations: Fra hype til afkast – her er vinderne af AI-ræset

    Andre events | København

    Executive Conversations: Fra hype til afkast – her er vinderne af AI-ræset

    Få et klart overblik over AI’s reelle effekt i danske virksomheder. Arrangementet giver unge talenter og ambitiøse medarbejdere viden, der løfter karrieren, skærper beslutninger og gør dig klar til at præge den digitale udvikling. Læs mere og...

    Se alle vores events inden for it

    KMD A/S

    SAP-arkitekt

    Nordjylland

    Lægemiddelstyrelsen

    Sektionsleder for Digital Udvikling – bliv en del af ledelsen af Lægemiddelstyrelsens IT-projekter, udvikling og arkitektur

    Københavnsområdet

    Jyske Bank

    Strategisk og samarbejdsorienteret Chief Product Owner til Net- og Mobilbank Privat

    Midtjylland

    Styrelsen for Danmarks Fængsler

    Souschef til tekniske projekter og arkitektur

    Københavnsområdet

    Se flere it-stillinger

    Navnenyt fra it-Danmark

    IT Confidence A/S har pr. 1. oktober 2025 ansat Henrik Thøgersen som it-konsulent med fokus på salg. Han skal især beskæftige sig med rådgivende salg, account management og udvikling af kundeporteføljer på tværs af it-drift, sikkerhed og cloud-løsninger. Han kommer fra en stilling som freelancer i eget firma og client manager hos IT Relation og IT-Afdelingen A/S. Han er uddannet elektromekaniker. Han har tidligere beskæftiget sig med salg af it-løsninger, account management, it-drift og rådgivning samt undervisning og ledelse. Nyt job

    Henrik Thøgersen

    IT Confidence A/S

    IT Confidence A/S har pr. 1. oktober 2025 ansat Johan Léfelius som it-konsulent. Han skal især beskæftige sig med med support, drift og vedligeholdelse af kunders it-miljøer samt udvikling af sikre og stabile løsninger. Han kommer fra en stilling som kundeservicemedarbejder hos Telia Company Danmark A/S. Han er uddannet (under uddannelse) som datatekniker med speciale i infrastruktur. Han har tidligere beskæftiget sig med kundeservice, salg og teknisk support. Nyt job

    Johan Léfelius

    IT Confidence A/S

    Netip A/S har pr. 15. september 2025 ansat Peter Holst Ring Madsen som Systemkonsulent ved netIP's kontor i Holstebro. Han kommer fra en stilling som Team Lead hos Thise Mejeri. Nyt job

    Peter Holst Ring Madsen

    Netip A/S

    VisionBird har pr. 1. november 2025 ansat Kelly Lyng Ludvigsen, 38 år, som Seniorrådgiver. Hun skal især beskæftige sig med Rådgivning og undervisning i Contract Management. Hun kommer fra en stilling som Contract Manager hos Novo Nordisk. Hun er uddannet Cand. jur. og BS fra CBS. Hun har tidligere beskæftiget sig med Contract Management i flere roller i både det private, offentlige og som konsulent. Nyt job

    Kelly Lyng Luvigsen

    VisionBird

    Se mere fra navnenyt

    Computerworld

    Opinion

    Annonce

    Mest læste

    1 En ny ChatGPT er sluppet løs: Derfor er den så meget bedre
    2 Netværkstest: Denne ekstreme WiFi 7-router brillerer i test og er lige nu sat ned til kup-pris
    3 Stress, sygemeldinger og “frygt for mentalt helbred” var hverdag i dansk it-kæmpe: Direktør stoppede for få uger siden
    4 Nørgaard: Tving dem over i clouden, hæv prisen voldsomt… og, vent! Satans! EU har nogle regler! Øv!
    5 Morgen-briefing: Apple lapper to alvorlige sikkerhedshuller - både iPhones og iPads er berørt / Vandskade får Danske Spils app og hjemmeside til at gå i sort / Google risikerer at få indefrosset 800 millioner ovenpå russisk dom
    6 Nu reagerer tidligere CEO Thomas Jensen efter pludselig Milestone-exit
    7 Nordisk Google-chef: Her er vores største fordel over konkurrenterne
    8 Regeringen skrottede skattefradrag på software: Nu vil den lave reglerne om igen - med tilbagevirkende kraft

    Se seneste uge