Inde i maskinen podcast:Microsoft har store planer for Windows 10 efter sommeren

Artikel top billede

Sådan foregår et netbank-indbrud med NemID

Hvordan kan det lade sig gøre at stjæle over seks millioner kroner fra danske netbanker? En sikkerhedsekspert giver dig forklaringen her.

I Danmark har vi oplevet en stigning i antallet af netbank-indbrud og i de beløb, som de it-kriminelle stikker af sted med.

Sikkerhedsekspert Peter Kruse fra sikkerhedsselskabet CSIS Security Group forklarer til Computerworld, at netbank-tyverierne i mange tilfælde skyldes menneskelige uforsigtigheder snarere end tekniske problemer med eksempelvis vores NemID-loginløsning.

"Vi kan godt glemme alt om 100 procent sikkerhed. For ligegyldigt, hvilket sikkerhedssystem du stiller med, sidder det svageste led foran skærmen i form af brugeren," siger Peter Kruse.

Han illustrerer sin pointe ved at fortælle, hvordan it-kriminelle angriber de danske bankkonti i form af realtids-phishing af folks NemID-oplysninger, når vi skal til at logge på netbanken.

Historien handler i bund og grund om manglende software-opdateringer, lemfældig færden på internettet, naiv tro på autoriteter og manglende kritisk sans, når overraskende pop up-vinduer dukker op og beder om oplysninger, som en rigtig bank aldrig kunne finde på at spørge efter i en kommunikation på nettet.

Den gamle software skaber huller

Peter Kruse forklarer, at selv med en spritny computer på skrivebordet foran dig, kan du ikke vide dig sikker mod forsøg på netbanksindbrud.

Det skyldes, at mange pc'er kommer med præinstalleret software, som måske er lagt på maskinen et halvt år, før nogen køber og bruger computeren.

"Der kan ligge gamle versioner af præinstallerede tredjepartsprogrammer som Adobe Reader, Java og Quicktime, som alle har haft sårbarheder, der kan bruges til et netangreb. Det kan der naturligvis også på de computere, som folk har brugt i længere tid," forklarer Peter Kruse.

Såfremt en bruger med forældet - og dermed også sårbart - tredjeparts programmel uforvarende havner på en kompromitteret eller direkte fjendtlig hjemmeside, kan ulappede sårbarheder i eksempelvis Adobe Reader, Java eller Quicktime blive udnyttet som brohoved i et netbanks-angreb ved, at de it-kriminelle kan lægge en trojaner på din computer.

Trojaneren vil typisk lægge sig til at slumre i baggrunden på din maskine og i alt stilhed opsnappe oplysninger som eksempelvis brugernavn og password til Facebook og eventuelt adgang til FTP-servere, som mange anvender til at vedligeholde indholdet på deres websteder.

Denne type netbank-kunder går hackerne efter

Via både Facebook og på FTP-serverne vil de it-kriminelle så forsøge at plante skadelige scripts enten som links på Facebook eller indlejre det skadelige script direkte i HTML- eller PHP-kode via FTP-adgangen, hvorefter trojaneren kan blive spredt i dit firmas netværk eller downloadet af folk, der besøger din hjemmeside.

En trojaner på din computer kan også bare "nøjes" med at aflure brugernavne og password til netbanken, hvorefter disse oplysninger bliver sendt til de it-kriminelles command and control-server.

"Her skal man altså notere sig, at der i dag findes kommercielle løsninger, der helt automatisk kan installere trojanere på fremmede computere, suge brugeroplysninger til sig, logge på FTP-servere og sende fortrolige brugerdata tilbage til command and control-serveren," forklarer Peter Kruse.

Han understreger, at det med de automatiserede løsninger er blevet skræmmende nemt at blive it-kriminel på et sort marked i kraftig vækst.  

Går efter folk med store beløb

Når du først har lukket trojaneren inden for på din maskine igennem sårbarheder i uopdateret software, er der altså seriøs fare på færde med hensyn til at holde dine hemmelige login-oplysninger for dig selv.

For udover at suge data til og sende dette hjem til de it-kriminelle, kan trojaneren også holde øje med din færden i internet-browsere, ligesom flere af de sofistikerede trojanere også dræner systemet for dokumenter og et utal af logins til private netværk og tjenester samt populære online services.

Og det er nu, at udvælgelsen af ofre til de reelle netbanksindbrud finder sted.

Peter Kruse forklarer, at med udgangspunkt i data, som  trojaneren høster og sender tilbage, kan de it-kriminelle nemlig også holde øje med ens besøg på diverse hjemmesider, hvor sites på https-protokollen (Hypertext Transfer Protocol Secure - en krypteret udgave af http) er ekstra interessante.

De cyberkriminelles interesse for https skyldes, at det ofte er her, at alle de fede og tophemmelige login-oplysninger som brugernavne og passwords gemmer sig.

Disse oplysninger kan systematisk opsnappes og sendes tilbage til hackernes command og control-servere enten i klar tekst eller i krypteret form, som de it-kriminelle dog kan dekryptere og læse.

Sådan narrer de it-kriminelle NemID-nøglerne ud af folk

"Derudover får du som bruger også tildelt en unik bot-id-kode, som består af en lang, vilkårligt genereret tekststreng, der refererer direkte tilbage til din maskine hos de it-kriminelle," forklarer Peter Kruse.

Så når du logger på din netbank, der typisk vil befinde sig på et tilsyneladende sikkert https-site, vil den pågældende trojaner kunne tage skærmdumps af dine saldooplysninger, der bliver sendt tilbage til it-forbrydernes command og control-server ledsaget af det unikke bot-id.

"Når de it-kriminelle modtager disse mange kontooplysninger kan de i ro og mag udvælge deres ofre. Det vil typisk være folk med mange penge på bankkontoen," siger Peter Kruse.

It-forbryderne smøger ærmerne op

Efter trojaneren har udført sit automatiserede arbejde med at indsamle og sende data fra intetanende danskeres computere, er det for alvor nu, at de it-kriminelle smøger ærmerne op og skal i gang med det manuelle arbejde - det reelle indbrud i netbanken.

Peter Kruse fortæller, at det typisk sker ved, at den it-kriminelle via den unikke bot-id-kode holder øje med, hvornår en given bruger logger på sin netbank med et brugernavn og password, der for længst er blevet opsnappet og sendt i hænderne på hackeren via trojaneren.

Udfordringen for den it-kriminelle er nu, hvordan engangskodene på NemID-papkortet kan aflures og bruges til at logge på ofrets netbank med.

For at knække den nød kaster hackeren sig ud i social engineering med eksempelvis en popup-chat, hvor en tilsyneladende bankansat forsøger at massere brugerens kritiske sans væk med smalltalk og efterfølgende sikkerhedsspørgmål, så engangskoden bliver afleveret i de helt forkerte hænder i løbet af chatten.

"Hvis den it-kriminelle kan få fat i engangsnøglen, logger han simultant på sammen med brugeren, og han kan derefter styre pengene lige derhen, hvor han ønsker det," forklarer Peter Kruse.

Typisk vil pengene blive sendt til konti hos såkaldte muldyr.

Muldyrene er mere eller mindre intetanende om netforbrydelserne, da de ofte er almindelige mennesker, der tror, at de har et helt legitimt job med at modtage store pengesummer og sende dem videre via pengeoverførelsesservices som eksempelvis Western Union, hvor pengestrømmene ikke kan spores så let som ved en bankoverførsel.

På denne måde har den it-kriminelle fra en kompromitteret hjemmeside plantet en trojaner via sårbarheder i tredjepartssoftware, fået tilsendt brugerdata og kontooversigter, hvorefter det rigtige netbanks-indbrud foregår via en chat eller anden kommunikation, mens brugeren er ved at logge på sin netbank.

Læs også:

Efter stigning i netbank-indbrud - er din netbanksikker?

Antal af indbrud i danske net-banker vokser vildt.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Alfapeople Nordic A/S
Rådgivning, implementering, udvikling og support af software og it-løsninger indenfor CRM og ERP.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Brand din forretning og skab nye leads med Microsoft Dynamics 365 til marketing

Vidste du, at Microsoft Dynamics også byder på stærk funktionalitet til marketingafdelingen? På kun 1 1/2 time inspirerer vi dig til, hvordan du kan bruge Dynamics 365 Marketing til at brande din forretning og skabe nye leads.

17. maj 2021 | Læs mere


Vælg den rigtige infrastruktur og it-arkitektur

Få indblik i, hvordan du kan sikre sammenhæng og overblik i et it-landksab, der konstant ændres. Dette kan blandt andet gøres med de rette strategisk og teknologiske vlag, så effektiviteten, stabiliteten og sikkerheden opretholdes. Den rigtige infrastruktur og it-arkitektur kan uden tvivl hjælpe dig med at skabe overblikket over dit it-landskab.

18. maj 2021 | Læs mere


Digital transformation og innovation: Inspiration til digitale succeshistorier

Kom ind bag facaden hos nogle af Danmarks bedste it-folk, og lær hvordan de arbejder med digital transformation og innovation. Du får muligheden for at høre, hvordan du kan bruge den nye teknologi til at få etableret det mest effektive udviklings- og innovationsmilø.

19. maj 2021 | Læs mere






CIO
Har du rost din mellemleder i dag? Snart er de uddøde - og det er et tab
Computerworld mener: Mellemledere lever livet farligt: Topledelsen får konstant ideer med skiftende hold i virkeligheden, og moden går mod flade agile organisationer. Men mellemlederen er en overset hverdagens helt med et kæmpe ansvar. Her er min hyldest til den ofte latterliggjorte mellemleder.
Job & Karriere
Eva Berneke stopper som topchef i KMD og flytter til Paris: Her er KMD's nye topchef
Efter syv år på posten som topchef for KMD forlader Eva Berneke selskabet. Nu flytter hun med familien til Paris, hvor hun vil fortsætte sit bestyrelsesarbejde. KMD har allerede afløser på plads.
White paper
Ryk SAP-workloads i skyen – og tag alle de kendte fordele med
SAP-kunder verden over har gennem de seneste 15 år draget fordel af løsninger baseret på NetApps ONTAP-data management-platform. Herunder en mere sikker og stabil drift samt forenklet administration, hvilket er afgørende for at gennemføre projekter effektivt og for at reducere deres risikoprofil. Gennem de seneste år er det i høj grad også blevet muligt at rykke SAP-workloads i skyen, og det ønsker mange virksomheder rimeligvis at drage fordel af – men uden at sige farvel til mulighederne med NetApp ONTAP. I dette whitepaper stiller vi skarpt på mulighederne for at indarbejde NetApp Cloud Volumes ONTAP and Azure NetApp Files som del af en SAP-strategi baseret på Microsoft Azure.