Sådan foregår et netbank-indbrud med NemID

Hvordan kan det lade sig gøre at stjæle over seks millioner kroner fra danske netbanker? En sikkerhedsekspert giver dig forklaringen her.

Artikel top billede

I Danmark har vi oplevet en stigning i antallet af netbank-indbrud og i de beløb, som de it-kriminelle stikker af sted med.

Sikkerhedsekspert Peter Kruse fra sikkerhedsselskabet CSIS Security Group forklarer til Computerworld, at netbank-tyverierne i mange tilfælde skyldes menneskelige uforsigtigheder snarere end tekniske problemer med eksempelvis vores NemID-loginløsning.

"Vi kan godt glemme alt om 100 procent sikkerhed. For ligegyldigt, hvilket sikkerhedssystem du stiller med, sidder det svageste led foran skærmen i form af brugeren," siger Peter Kruse.

Han illustrerer sin pointe ved at fortælle, hvordan it-kriminelle angriber de danske bankkonti i form af realtids-phishing af folks NemID-oplysninger, når vi skal til at logge på netbanken.

Historien handler i bund og grund om manglende software-opdateringer, lemfældig færden på internettet, naiv tro på autoriteter og manglende kritisk sans, når overraskende pop up-vinduer dukker op og beder om oplysninger, som en rigtig bank aldrig kunne finde på at spørge efter i en kommunikation på nettet.

Den gamle software skaber huller

Peter Kruse forklarer, at selv med en spritny computer på skrivebordet foran dig, kan du ikke vide dig sikker mod forsøg på netbanksindbrud.

Det skyldes, at mange pc'er kommer med præinstalleret software, som måske er lagt på maskinen et halvt år, før nogen køber og bruger computeren.

"Der kan ligge gamle versioner af præinstallerede tredjepartsprogrammer som Adobe Reader, Java og Quicktime, som alle har haft sårbarheder, der kan bruges til et netangreb. Det kan der naturligvis også på de computere, som folk har brugt i længere tid," forklarer Peter Kruse.

Såfremt en bruger med forældet - og dermed også sårbart - tredjeparts programmel uforvarende havner på en kompromitteret eller direkte fjendtlig hjemmeside, kan ulappede sårbarheder i eksempelvis Adobe Reader, Java eller Quicktime blive udnyttet som brohoved i et netbanks-angreb ved, at de it-kriminelle kan lægge en trojaner på din computer.

Trojaneren vil typisk lægge sig til at slumre i baggrunden på din maskine og i alt stilhed opsnappe oplysninger som eksempelvis brugernavn og password til Facebook og eventuelt adgang til FTP-servere, som mange anvender til at vedligeholde indholdet på deres websteder.

Denne type netbank-kunder går hackerne efter

Via både Facebook og på FTP-serverne vil de it-kriminelle så forsøge at plante skadelige scripts enten som links på Facebook eller indlejre det skadelige script direkte i HTML- eller PHP-kode via FTP-adgangen, hvorefter trojaneren kan blive spredt i dit firmas netværk eller downloadet af folk, der besøger din hjemmeside.

En trojaner på din computer kan også bare "nøjes" med at aflure brugernavne og password til netbanken, hvorefter disse oplysninger bliver sendt til de it-kriminelles command and control-server.

"Her skal man altså notere sig, at der i dag findes kommercielle løsninger, der helt automatisk kan installere trojanere på fremmede computere, suge brugeroplysninger til sig, logge på FTP-servere og sende fortrolige brugerdata tilbage til command and control-serveren," forklarer Peter Kruse.

Han understreger, at det med de automatiserede løsninger er blevet skræmmende nemt at blive it-kriminel på et sort marked i kraftig vækst.  

Går efter folk med store beløb

Når du først har lukket trojaneren inden for på din maskine igennem sårbarheder i uopdateret software, er der altså seriøs fare på færde med hensyn til at holde dine hemmelige login-oplysninger for dig selv.

For udover at suge data til og sende dette hjem til de it-kriminelle, kan trojaneren også holde øje med din færden i internet-browsere, ligesom flere af de sofistikerede trojanere også dræner systemet for dokumenter og et utal af logins til private netværk og tjenester samt populære online services.

Og det er nu, at udvælgelsen af ofre til de reelle netbanksindbrud finder sted.

Peter Kruse forklarer, at med udgangspunkt i data, som  trojaneren høster og sender tilbage, kan de it-kriminelle nemlig også holde øje med ens besøg på diverse hjemmesider, hvor sites på https-protokollen (Hypertext Transfer Protocol Secure - en krypteret udgave af http) er ekstra interessante.

De cyberkriminelles interesse for https skyldes, at det ofte er her, at alle de fede og tophemmelige login-oplysninger som brugernavne og passwords gemmer sig.

Disse oplysninger kan systematisk opsnappes og sendes tilbage til hackernes command og control-servere enten i klar tekst eller i krypteret form, som de it-kriminelle dog kan dekryptere og læse.

Sådan narrer de it-kriminelle NemID-nøglerne ud af folk

"Derudover får du som bruger også tildelt en unik bot-id-kode, som består af en lang, vilkårligt genereret tekststreng, der refererer direkte tilbage til din maskine hos de it-kriminelle," forklarer Peter Kruse.

Så når du logger på din netbank, der typisk vil befinde sig på et tilsyneladende sikkert https-site, vil den pågældende trojaner kunne tage skærmdumps af dine saldooplysninger, der bliver sendt tilbage til it-forbrydernes command og control-server ledsaget af det unikke bot-id.

"Når de it-kriminelle modtager disse mange kontooplysninger kan de i ro og mag udvælge deres ofre. Det vil typisk være folk med mange penge på bankkontoen," siger Peter Kruse.

It-forbryderne smøger ærmerne op

Efter trojaneren har udført sit automatiserede arbejde med at indsamle og sende data fra intetanende danskeres computere, er det for alvor nu, at de it-kriminelle smøger ærmerne op og skal i gang med det manuelle arbejde - det reelle indbrud i netbanken.

Peter Kruse fortæller, at det typisk sker ved, at den it-kriminelle via den unikke bot-id-kode holder øje med, hvornår en given bruger logger på sin netbank med et brugernavn og password, der for længst er blevet opsnappet og sendt i hænderne på hackeren via trojaneren.

Udfordringen for den it-kriminelle er nu, hvordan engangskodene på NemID-papkortet kan aflures og bruges til at logge på ofrets netbank med.

For at knække den nød kaster hackeren sig ud i social engineering med eksempelvis en popup-chat, hvor en tilsyneladende bankansat forsøger at massere brugerens kritiske sans væk med smalltalk og efterfølgende sikkerhedsspørgmål, så engangskoden bliver afleveret i de helt forkerte hænder i løbet af chatten.

"Hvis den it-kriminelle kan få fat i engangsnøglen, logger han simultant på sammen med brugeren, og han kan derefter styre pengene lige derhen, hvor han ønsker det," forklarer Peter Kruse.

Typisk vil pengene blive sendt til konti hos såkaldte muldyr.

Muldyrene er mere eller mindre intetanende om netforbrydelserne, da de ofte er almindelige mennesker, der tror, at de har et helt legitimt job med at modtage store pengesummer og sende dem videre via pengeoverførelsesservices som eksempelvis Western Union, hvor pengestrømmene ikke kan spores så let som ved en bankoverførsel.

På denne måde har den it-kriminelle fra en kompromitteret hjemmeside plantet en trojaner via sårbarheder i tredjepartssoftware, fået tilsendt brugerdata og kontooversigter, hvorefter det rigtige netbanks-indbrud foregår via en chat eller anden kommunikation, mens brugeren er ved at logge på sin netbank.

Læs også:

Efter stigning i netbank-indbrud - er din netbanksikker?

Antal af indbrud i danske net-banker vokser vildt.

Computerworld Events

Vi samler hvert år mere end 6.000 deltagere på mere end 70 events for it-professionelle.

Ekspertindsigt – Lyt til førende specialister og virksomheder, der deler viden om den nyeste teknologi og de bedste løsninger.
Netværk – Mød beslutningstagere, kolleger og samarbejdspartnere på tværs af brancher.
Praktisk viden – Få konkrete cases, værktøjer og inspiration, som du kan tage direkte med hjem i organisationen.
Aktuelle tendenser – Bliv opdateret på de vigtigste dagsordener inden for cloud, sikkerhed, data, AI og digital forretning.

Jura | København Ø

Compliance Day 2025

Få de nyeste indsigter fra eksperter om, hvordan du navigerer i et komplekst compliance-landskab, når vi samler viden om alt fra NIS2, AI Act, CRA, DORA til GDPR og SCHREMS2.

Sikkerhed | Klampenborg

Digitaliseringen skaber muligheder – og sårbarheder. Beredskab er løsningen.

Digitalisering skaber både muligheder og sårbarheder. Hele Danmark Øver styrker virksomhedernes beredskab gennem praktiske øvelser, indsigt og samarbejde. Deltag og lær, hvordan din organisation står stærkere, når cyberangrebet rammer.

Sikkerhed | Klampenborg

Årets CISO 2025

Danmarks stærkeste program om cybersikkerhed. Mød finalisterne til Årets CISO 2025, hør aktuelle oplæg og få skarpe indsigter i sikkerhed, systemer og ledelse. Tilmeld dig og bliv opdateret på it-sikkerhed i praksis.

Se alle vores events inden for it

Navnenyt fra it-Danmark

Netip A/S har pr. 1. september 2025 ansat Jannie Rossell Holst som medarbejder i Product Sales ved afd. Aarhus. Hun kommer fra en stilling som medarbejder i Licensteamet hos Atea. Nyt job
IT Confidence A/S har pr. 1. oktober 2025 ansat Henrik Thøgersen som it-konsulent med fokus på salg. Han skal især beskæftige sig med rådgivende salg, account management og udvikling af kundeporteføljer på tværs af it-drift, sikkerhed og cloud-løsninger. Han kommer fra en stilling som freelancer i eget firma og client manager hos IT Relation og IT-Afdelingen A/S. Han er uddannet elektromekaniker. Han har tidligere beskæftiget sig med salg af it-løsninger, account management, it-drift og rådgivning samt undervisning og ledelse. Nyt job

Henrik Thøgersen

IT Confidence A/S

Norriq Danmark A/S har pr. 1. september 2025 ansat Birthe Kamstrup som Data & AI Consultant. Hun skal især beskæftige sig med at optimere datadrevne beslutningsprocesser til glæde for Norriq's kunder. Hun kommer fra en stilling som Teamlead/Senior Insight Specialist hos CompanYoung. Hun er uddannet i sociologi og har en bachelor i erhvervsøkonomi på Aarhus universitet. Nyt job

Birthe Kamstrup

Norriq Danmark A/S

Norriq Danmark A/S har pr. 1. oktober 2025 ansat Rasmus Stage Sørensen som Operations Director. Han kommer fra en stilling som Partner & Director, Delivery hos Impact Commerce. Han er uddannet kandidat it i communication and organization på Aarhus University. Han har tidligere beskæftiget sig med med at drive leveranceorganisationer. Nyt job

Rasmus Stage Sørensen

Norriq Danmark A/S