Gratis artikkelserie

Les vår artikkelserie "Slik lykkes du med skrivere".

Last ned artikkelen

Blekk eller piksler

LEDER: Er den trykte bok historie, spør Henning Meese

Les mer Les mer

ANNONSEBILAG

Tilnærming til «tjenesteorientering» hos Arrive

Smak litt på overskriften «Tjenesteorientering». Hva ligger egentlig bak? Dersom overskriften hadde vært «Tjenestekatalog» ville tilnærmingen i dette prosjektet hos Arrive ha vært en helt annen enn hva det virkelig ble.
 

Tynt her, kraftig der

AHLERTS HJØRNE: Tynt og kraftig er stikkordene for de nærmeste ti årene. Datarommet representerer det kraftige. Brukerne vil ha det tynnest mulig.

Les mer Les mer

Les CW på mobilen

Få it-nyhetene rett i lomma.

Det er sååå 2013!

KOMMENTAR: "It i praksis 2014" ble en øvelse i tomgang, skriver Peter Hidas.

Les mer Les mer

Computerworld kvitrer

Få it-nyhetene først.

it-kvitter på Twitter!

Digitalisering for alle

DEBATT: Digitalisering og UU er to sider av samme sak, skriver Ingelin Killengreen.

Les mer Les mer

 
Du er her: Computerworld >
 

Slik svindles norske bankkunder

Leif Martin Kirknes
06.09.2011 kl 07:15

DnB NORs kunder har vært utsatt for fire trojanerangrep i år. Her kan du lese om hvordan angrepene artet seg, og hvordan de ble håndtert.

Slik svindles norske bankkunder

HEKTISK VÅR: Per Morten Sandstad, teamleder på sikkerhetssiden hos DnB NOR, har hatt det travelt i første halvår 2011 ettersom bankens kunder i fire runder har vært under angrep fra trojanere. (Foto: Leif Martin Kirknes)

LARVIK/OSLO: Dnb Nor har hatt en hektisk vår når det gjelder målrettede trojanere.

- Trusselbildet endrer seg. I fjor begynte det å røre seg litt i Norge, sier Per Morten Sandstad, teamleader på sikkerhetssiden hos DnB NOR.

Han snakket om temaet på ISFs sikkerhetskonferanse i Larvik forrige uke.

Han forteller at det finnes flere typer nettbanktrojanere, de største er Spyeye og Zeus. Spyeye har den interessante funksjonen innebygd i at den avinstallerer Zeus om Zeus er på maskinen fra før.

Slike trojanere er faktisk hyllevare med et helt eget økosystem med lisenser som blant annet gir pengene tilbake om de ikke er i nærheten av å gi ønsket effekt i skurkenes lommebok.

Slik virker de

Trojanerne bruker såkalt inject-svindel mot nettbankenes brukere. Html-kode injiseres inn i bankenes webserverrespons, og dermed er det lett for brukerne å gå fem på.

Svindlernes teknikere er glupinger. De er gode med Javascript og har dybdekunnskap om den konkrete nettbanken de vil angripe. For de mest avanserte svindlene trengs også en innsider for å teste ut om trojaneren virker, altså en eksisterende kunde av banken med Bankid, konto og full pakke.

For å overføre penger til utlandet går overføringen ofte via såkalte mulldyr, som gjerne får 10 prosent av pengene som overføres. Du har sikkert sett epostene, de hevder du kan tjene X antall tusen euro i måneden på å overføre penger, overføringer som antydes å være legitime selv om de selvfølgelig foregår på den kriminelle arena. Ofte er det i eposten lenket opp til nettsider til bakselskapene, som har proff layout og design i et forsøk på å fremstå som legitim.

Februar

I februar kom det et Spyeye-angrep, skreddersydd mot flere norske nettbanker. For infiserte brukere ble det injisert inn en Logg inn-knapp over feltet der fødselsnummeret vanligvis tastes inn.

Knappen førte til et falsk innloggingsvindu der du ble bedt om brukernavn, passord og engangskode. Så ble du bedt vente”mens sikkerhetsinnstillingene kontrolleres”, før du nok en gang ble bedt om å oppgi kode som trojaneren hadde intensjoner om å bruke til å gjennomføre en overføring med.

Les også: Trojaner angriper norske nettbanker

- Men denne var enkel å håndtere og forhindre, forklarer Sandstad.

Trojaneren var aktiv på denne måten også i flere andre land, og DnB NOR ble varslet av en annen internasjonal bank. Angivelig ble få norske bankkunder berørt. Media ble også varslet, slik at det var pressedekning om uhumskhetene.

April

I april ble svindelen dratt noen steg videre, også denne gangen med Spyeye. Her var det kun DnB NOR som var målet, Norges største bank med rundt én million kunder.

- Neste runde var mer avansert. Den ventet på at kunden logget inn i banken før det ble gjennomført mellommann-angrep via nettleseren. Derfor behøvde den bare å frarøve brukeren én kode, forteller Sandstad.

Les også: Banktrojaner leser engangspassord

I tillegg oppførte trojaneren seg dynamisk ved at den aldri tømte kontoen helt. Den lot det være igjen rundt 6000 kroner, så brukeren ikke skulle merke svindelen så kjapt. Teksten som ba om ekstra kode var også på forholdsvis god norsk, nokså sikkert skrevet av en med god kjennskap til vårt språk, kanskje til og med en nordmann.

- Det var en blanding av sosial manipulering og teknologi. Du var jo allerede inne på nettbanken da du ble bedt om ekstra kode, påpeker Sandstad.

Som eneste bank med kunder under angrep, stod også DnB NOR alene i bekjempelsen. Angrepskoden hadde strenge sjekkrutiner, og trojaneren spredte seg bare i Norge. Det var også konstant endring og oppdateringer i angrepskoden, og angrepet ble ikke mye omtalt i media.

Smellet i mai og kinaputten i juni

I mai var det duket for nok et angrep målrettet mot DnB NORs kunder, denne gangen via Zeus - og selvfølgelig enda mer avansert enn april-angrepet. Her ble ikke brukeropplevelsen endret i det hele tatt, injeksjonskoden var helt lik Dnb Nors nettbanklayout.

- Ingen popu-vinduer, forklarer Sandstad.

Også denne oppførte seg dynamisk, denne gangen hakket mer dynamisk enn april. Selve overføringen av penger ble i loggen for gjennomførte betalinger skjult via injeksjonskode. Saldoen ble også oppdatert. Si du hadde 40.000 kroner, og trojaneren stjal 34.000. For brukeren ville det fortsatt fremstått som om 40.000 kroner var på konto. Om brukeren betalte en regning på 100 kroner til teleselskapet, ville saldo fremstå som 39.000 selv om den i realiteten var på 5900.

Les også: Derfor skal du være paranoid

Den lurte brukere ved å late som du tastet feil under betaling av en regning. Ikke et utenkelig scenario, ettersom kodebrikken fra Bankid jo tross alt kan endre tallrekke mens du taster inn den som vises på skjermen. Den stjålne koden ble brukt til å overføre penger i det skjulte, mens ”systemet” på tilsynelatende helt vanlig vis fortalte brukeren at feil kode var tastet og ba om ny.

- Det var altså ingen unormal oppførsel for kunden, det fremstod som en helt normal brukeropplevelse, sier Sandstad.

Men hadde kunden logget inn på nettbanken på en pc som ikke var infisert, for eksempel jobb-pcen i stedet for hjemme-pcen, ville reell saldo på eksempelvis 5900 kommet til syne.

Det siste angrepet Sandstad forteller om kom i juni. Det var en ny variant av Spyeye-trojaneren. Samme angrepskode som i april, men modifisert, blant annet angrep den også andre banker. Men ifølge Sandstad voldet den ingen stor skade her til lands. Han understreker at det er kundene som har blitt angrepet, ikke Dnb Nor som sådan.

Farlige annonser

Dnb Nor har like fullt gjort en rekke erfaringer av angrepene i første halvår 2011. Blant annet ser de at brukerne har blitt infisert via annonser på helt vanlige, norske, legitime nettsider. Felles for dem er også at de har kjørt utdatert programvare. Infeksjoner har også kommet via Facebook

Les også: MSN-ofre maktesløse

DnB NORs utstrakte sikkerhetsarm Incident Response Team var ifølge Sandstad også godt forberedt. Han er ikke veldig konkret i alle detaljene om hvordan banken håndterte angrepet på kundene, men har noen overordnede forklaringer.

- Det gjelder å ha god etterretningsinformasjon, å vite hva som rører seg gjennom overvåkning av nettverk, sier han.

I kulissene er god kommunikasjon med andre banker og et godt samarbeid med Kripos viktig.

Det har vært viktig å få innsyn i trojanerens kode, og kartlegging av omfang og spredningsmetode.

- Man må vite hva hackeren gjør, hva som endres i injeksjonsangrepene også videre.

Tiltak gir mottiltak

Banken har også gått langt i å utveksle informasjon med andre, for eksempel ideelle interesseorganisasjoner bestående av ildsjeler som også kjemper for et tryggere nettsamfunn. Ved å dele informasjon om seg som er til organisasjonenes nytte, har de også fått nyttig informasjon tilbake fra samme organisasjoner.

Banken har også sporet opp kjente mulldyr-kontoer, skurkene bruker gjerne samme mulldyr om og om igjen. Å finne dem som har solgt seg ut som trojanertester på innsiden har de også klart ved å sjekke hvilke konti som matcher trojanermønsteret, bare på et tidligere stadium enn selve storutbruddet.

Men for mye detalj vil altså Sandstad ikke gå.

- Ethvert tiltak blir møtt med mottiltak. Derfor er usynlige mottiltak best, sier han.

Han kan likevel avsløre såpass at det er snakk om tiltak i bakgrunnen som kan slås på behov. En mulighet er for eksempel å varsle kunder på sms ved utenlandsbetaling, selv om Sandstad sier Dnb Nor foreløpig ikke har benyttet dette.

Les også: Bankid oppgraderer sikkerheten

På jakt etter ny jobb?

Last ned gratis whitepaper

blog comments powered by Disqus

Tryggere i Skandinavia

Personvernundersøkelse gir antydling av hva "folk flest" tenker om digitalt personvern.

Les mer om dette Les mer

Mobilen er nøkkelen

Hilton-konsernet frir til teknologer og gjester med dårlig tid, lavt blodsukker og jetlag.

Les mer om dette Les mer

Russland vil knekke Tor

Har lovet å bla opp nesten en million kroner til den som klarer å knekke sikkerheten i Tor og avsløre identitet og lokasjon av Tor-brukere.

Les mer om dette Les mer

Slik vil hackere skaffe gratis nett til alle

Open Wireless Movement åpner opp trådløsnettene - og håper du vil gjøre det samme.

Les mer om dette Les mer

Forsker med mobilspill

Big data fra skreddersydde mobilspill gir ny innsikt i impulsivitet og risikofylt adferd.

Les mer om dette Les mer

Oppdaget brist i populær plugin

Wordpress-blogger rammet av omfattende sikkerhetshull.

Les mer om dette Les mer

TEST: Rimelig og smart

Lumia 630 gir deg mye telefon for pengene, så lenge du ikke er avhengig av å ta bilder av deg selv.

Les mer om dette Les mer hos PC World

Hvem skal gi telefonkioskene wifi?

New York oppgraderer sine gamle telefonkiosker. Nå står telegigantene i kø med forslag til hvordan.

Les mer om dette Les mer

Mest anbefalt
Sykehuspartner friskmelder seg selv
 Sykehuspartner friskmelder seg selv
  Facebook:9   Twitter:6
Sjefen mens vi venter
 Sjefen mens vi venter
  Facebook:1   Twitter:5

Min side IDG

Dataforeningen
27. aug 2014 - Oslo

Mobile Trender
28. aug 2014 - Oslo Kongressenter Folkets Hus

Dataforeningen
31. aug 2014 -

Dataforeningen
01. sep 2014 - Oslo

Dataforeningen
09. sep 2014 - Oslo

Dataforeningen
09. sep 2014 - Trondheim

Healthworld
10. sep 2014 - Radisson Blu Plaza Hotel

Dataforeningen
11. sep 2014 - Oslo

Dataforeningen
16. sep 2014 - Oslo

Dataforeningen
16. sep 2014 - Oslo

Dataforeningen
17. sep 2014 - Trondheim

Dataforeningen
18. sep 2014 - Hele landet

CIO Forum
18. sep 2014 - Ullevål Business Class

Dataforeningen
22. sep 2014 - Oslo

Telecomworld
23. sep 2014 - Quality Hotel Expo, Fornebu

Dataforeningen
24. sep 2014 - Oslo

CIO Forum
25. sep 2014 - Oslo Kongressenter Folkets Hus

Dataforeningen
25. sep 2014 - Oslo

Dataforeningen
29. sep 2014 - Bergen

Dataforeningen
30. sep 2014 - Oslo

Dataforeningen
07. okt 2014 - Oslo

Dataforeningen
13. okt 2014 - Oslo

Dataforeningen
13. okt 2014 - Oslo

Dataforeningen
15. okt 2014 - Oslo

Dataforeningen
15. okt 2014 - Oslo

Dataforeningen
16. okt 2014 - Oslo

Dataforeningen
20. okt 2014 - Trondheim

Dataforeningen
27. okt 2014 - Trondheim

It-trender
28. okt 2014 - Ullevål Business Class

Dataforeningen
29. okt 2014 - Bergen

Dataforeningen
30. okt 2014 - Oslo

Dataforeningen
12. nov 2014 - Trondheim

Dataforeningen
13. nov 2014 - Oslo

Dataforeningen
18. nov 2014 - Oslo

Dataforeningen
26. nov 2014 - Oslo

Dataforeningen
01. des 2014 - Trondheim

Dataforeningen
11. feb 2015 - Oslo

Dataforeningen
10. mar 2015 - Trondheim

Dataforeningen
05. mai 2015 - Trondheim

Dataforeningen
04. jun 2015 - Oslo

Dataforeningen
24. sep 2015 - Oslo

Dataforeningen
02. nov 2015 - Oslo

Dataforeningen
10. feb 2016 - Oslo


Copyright 2014 IDG Magazines Norge AS. All rights reserved

Postboks 9090 Grønland – 0133 OSLO / idg@kundetjeneste.no / Telefon 22053000

Ansvarlig redaktør Henning Meese / Utviklingsansvarlig Ulf H. Helland / Salgsdirektør Jon Thore Thorstensen

Kommentarer