Gratis artikkelserie

Les vår artikkelserie "Slik lykkes du med skrivere".

Last ned artikkelen

Innovasjon på lavgir

LEDER: Iphone 6 bekrefter at Samsung har tenkt riktig.

Les mer Les mer

ANNONSEBILAG

Enklere servicedesk førte til bedre service

I NHO ServicePartner tar de Service-begrepet på alvor og valgte servicedesk-systemet SupportPoint for å fange opp og løse alle typer henvendelser. Selvbetjening og brukervennlighet er nøkkelen til suksess.
 

Mer av fingeren

KOMMENTAR: Vi kommer til å kreve mer av fingeren. Den vil få større betydning for å avsløre hvem vi er, på godt og vondt, skriver Ahlert Hysing.

Les mer Les mer

Les CW på mobilen

Få it-nyhetene rett i lomma.

Flatklemte Evry

PETERS PLASS: Norge største it-leverandør, Evry, er i spill. Men offshoring og nearshoring bidrar til å utarme nasjonens kompetansetilfang.

Les mer Les mer

Computerworld kvitrer

Få it-nyhetene først.

it-kvitter på Twitter!

Visdommen til små grupper

KOMMENTAR: Hvem tar de beste beslutningene, den ene eller de mange?

Les mer Les mer

 
Du er her: Computerworld >
 

Slik svindles norske bankkunder

Leif Martin Kirknes
06.09.2011 kl 07:15

DnB NORs kunder har vært utsatt for fire trojanerangrep i år. Her kan du lese om hvordan angrepene artet seg, og hvordan de ble håndtert.

Slik svindles norske bankkunder

HEKTISK VÅR: Per Morten Sandstad, teamleder på sikkerhetssiden hos DnB NOR, har hatt det travelt i første halvår 2011 ettersom bankens kunder i fire runder har vært under angrep fra trojanere. (Foto: Leif Martin Kirknes)

LARVIK/OSLO: Dnb Nor har hatt en hektisk vår når det gjelder målrettede trojanere.

- Trusselbildet endrer seg. I fjor begynte det å røre seg litt i Norge, sier Per Morten Sandstad, teamleader på sikkerhetssiden hos DnB NOR.

Han snakket om temaet på ISFs sikkerhetskonferanse i Larvik forrige uke.

Han forteller at det finnes flere typer nettbanktrojanere, de største er Spyeye og Zeus. Spyeye har den interessante funksjonen innebygd i at den avinstallerer Zeus om Zeus er på maskinen fra før.

Slike trojanere er faktisk hyllevare med et helt eget økosystem med lisenser som blant annet gir pengene tilbake om de ikke er i nærheten av å gi ønsket effekt i skurkenes lommebok.

Slik virker de

Trojanerne bruker såkalt inject-svindel mot nettbankenes brukere. Html-kode injiseres inn i bankenes webserverrespons, og dermed er det lett for brukerne å gå fem på.

Svindlernes teknikere er glupinger. De er gode med Javascript og har dybdekunnskap om den konkrete nettbanken de vil angripe. For de mest avanserte svindlene trengs også en innsider for å teste ut om trojaneren virker, altså en eksisterende kunde av banken med Bankid, konto og full pakke.

For å overføre penger til utlandet går overføringen ofte via såkalte mulldyr, som gjerne får 10 prosent av pengene som overføres. Du har sikkert sett epostene, de hevder du kan tjene X antall tusen euro i måneden på å overføre penger, overføringer som antydes å være legitime selv om de selvfølgelig foregår på den kriminelle arena. Ofte er det i eposten lenket opp til nettsider til bakselskapene, som har proff layout og design i et forsøk på å fremstå som legitim.

Februar

I februar kom det et Spyeye-angrep, skreddersydd mot flere norske nettbanker. For infiserte brukere ble det injisert inn en Logg inn-knapp over feltet der fødselsnummeret vanligvis tastes inn.

Knappen førte til et falsk innloggingsvindu der du ble bedt om brukernavn, passord og engangskode. Så ble du bedt vente”mens sikkerhetsinnstillingene kontrolleres”, før du nok en gang ble bedt om å oppgi kode som trojaneren hadde intensjoner om å bruke til å gjennomføre en overføring med.

Les også: Trojaner angriper norske nettbanker

- Men denne var enkel å håndtere og forhindre, forklarer Sandstad.

Trojaneren var aktiv på denne måten også i flere andre land, og DnB NOR ble varslet av en annen internasjonal bank. Angivelig ble få norske bankkunder berørt. Media ble også varslet, slik at det var pressedekning om uhumskhetene.

April

I april ble svindelen dratt noen steg videre, også denne gangen med Spyeye. Her var det kun DnB NOR som var målet, Norges største bank med rundt én million kunder.

- Neste runde var mer avansert. Den ventet på at kunden logget inn i banken før det ble gjennomført mellommann-angrep via nettleseren. Derfor behøvde den bare å frarøve brukeren én kode, forteller Sandstad.

Les også: Banktrojaner leser engangspassord

I tillegg oppførte trojaneren seg dynamisk ved at den aldri tømte kontoen helt. Den lot det være igjen rundt 6000 kroner, så brukeren ikke skulle merke svindelen så kjapt. Teksten som ba om ekstra kode var også på forholdsvis god norsk, nokså sikkert skrevet av en med god kjennskap til vårt språk, kanskje til og med en nordmann.

- Det var en blanding av sosial manipulering og teknologi. Du var jo allerede inne på nettbanken da du ble bedt om ekstra kode, påpeker Sandstad.

Som eneste bank med kunder under angrep, stod også DnB NOR alene i bekjempelsen. Angrepskoden hadde strenge sjekkrutiner, og trojaneren spredte seg bare i Norge. Det var også konstant endring og oppdateringer i angrepskoden, og angrepet ble ikke mye omtalt i media.

Smellet i mai og kinaputten i juni

I mai var det duket for nok et angrep målrettet mot DnB NORs kunder, denne gangen via Zeus - og selvfølgelig enda mer avansert enn april-angrepet. Her ble ikke brukeropplevelsen endret i det hele tatt, injeksjonskoden var helt lik Dnb Nors nettbanklayout.

- Ingen popu-vinduer, forklarer Sandstad.

Også denne oppførte seg dynamisk, denne gangen hakket mer dynamisk enn april. Selve overføringen av penger ble i loggen for gjennomførte betalinger skjult via injeksjonskode. Saldoen ble også oppdatert. Si du hadde 40.000 kroner, og trojaneren stjal 34.000. For brukeren ville det fortsatt fremstått som om 40.000 kroner var på konto. Om brukeren betalte en regning på 100 kroner til teleselskapet, ville saldo fremstå som 39.000 selv om den i realiteten var på 5900.

Les også: Derfor skal du være paranoid

Den lurte brukere ved å late som du tastet feil under betaling av en regning. Ikke et utenkelig scenario, ettersom kodebrikken fra Bankid jo tross alt kan endre tallrekke mens du taster inn den som vises på skjermen. Den stjålne koden ble brukt til å overføre penger i det skjulte, mens ”systemet” på tilsynelatende helt vanlig vis fortalte brukeren at feil kode var tastet og ba om ny.

- Det var altså ingen unormal oppførsel for kunden, det fremstod som en helt normal brukeropplevelse, sier Sandstad.

Men hadde kunden logget inn på nettbanken på en pc som ikke var infisert, for eksempel jobb-pcen i stedet for hjemme-pcen, ville reell saldo på eksempelvis 5900 kommet til syne.

Det siste angrepet Sandstad forteller om kom i juni. Det var en ny variant av Spyeye-trojaneren. Samme angrepskode som i april, men modifisert, blant annet angrep den også andre banker. Men ifølge Sandstad voldet den ingen stor skade her til lands. Han understreker at det er kundene som har blitt angrepet, ikke Dnb Nor som sådan.

Farlige annonser

Dnb Nor har like fullt gjort en rekke erfaringer av angrepene i første halvår 2011. Blant annet ser de at brukerne har blitt infisert via annonser på helt vanlige, norske, legitime nettsider. Felles for dem er også at de har kjørt utdatert programvare. Infeksjoner har også kommet via Facebook

Les også: MSN-ofre maktesløse

DnB NORs utstrakte sikkerhetsarm Incident Response Team var ifølge Sandstad også godt forberedt. Han er ikke veldig konkret i alle detaljene om hvordan banken håndterte angrepet på kundene, men har noen overordnede forklaringer.

- Det gjelder å ha god etterretningsinformasjon, å vite hva som rører seg gjennom overvåkning av nettverk, sier han.

I kulissene er god kommunikasjon med andre banker og et godt samarbeid med Kripos viktig.

Det har vært viktig å få innsyn i trojanerens kode, og kartlegging av omfang og spredningsmetode.

- Man må vite hva hackeren gjør, hva som endres i injeksjonsangrepene også videre.

Tiltak gir mottiltak

Banken har også gått langt i å utveksle informasjon med andre, for eksempel ideelle interesseorganisasjoner bestående av ildsjeler som også kjemper for et tryggere nettsamfunn. Ved å dele informasjon om seg som er til organisasjonenes nytte, har de også fått nyttig informasjon tilbake fra samme organisasjoner.

Banken har også sporet opp kjente mulldyr-kontoer, skurkene bruker gjerne samme mulldyr om og om igjen. Å finne dem som har solgt seg ut som trojanertester på innsiden har de også klart ved å sjekke hvilke konti som matcher trojanermønsteret, bare på et tidligere stadium enn selve storutbruddet.

Men for mye detalj vil altså Sandstad ikke gå.

- Ethvert tiltak blir møtt med mottiltak. Derfor er usynlige mottiltak best, sier han.

Han kan likevel avsløre såpass at det er snakk om tiltak i bakgrunnen som kan slås på behov. En mulighet er for eksempel å varsle kunder på sms ved utenlandsbetaling, selv om Sandstad sier Dnb Nor foreløpig ikke har benyttet dette.

Les også: Bankid oppgraderer sikkerheten

På jakt etter ny jobb?

Last ned gratis whitepaper

blog comments powered by Disqus

Nå kommer Kickstarter til Norge

Verdens største spleiselag kan finansiere ditt prosjekt.

Les mer om dette Les mer

Fortryllende Apple-evangelist

Slik sjarmerte Guy Kawasaki publikum under sitt foredrag på IT-tinget i forrige uke.

Les mer om dette Les mer

Oj, vi ser mye på Netflix!

Telenor har offentliggjort splitter ny nett-statistikk. Netflix står for 20 prosent av trafikken.

Les mer om dette Les mer

Her er nyhetene i Office 16

Neste Office-versjon byr på nytt tema, ny hjelpfunksjon og bedre mailsynkronisering i Outlook.

Les mer om dette Les mer

Greenbird åpner i Stavanger

Konsulent- og programvareselskapet vokser, og åpner ny avdeling i Stavanger. Senere står Trondheim for tur.

Les mer om dette Les mer

Slik skal Facebook bli mer relevant

Ved hjelp av en ny algoritme skal Facebook vise mer relevant innhold fra vennene dine og fra sidene du følger.

Les mer om dette Les mer

Nytt klientkonsept

Torsdag lanserte Evry sitt nye produkt "Client as a service".

Les mer om dette Les mer

Min side IDG

Dataforeningen
18. sep 2014 - Hele landet

Dataforeningen
22. sep 2014 - Oslo

Telecomworld
23. sep 2014 - Quality Hotel Expo, Fornebu

Dataforeningen
24. sep 2014 - Oslo

CIO Forum
25. sep 2014 - Oslo Kongressenter Folkets Hus

Dataforeningen
25. sep 2014 - Oslo

Dataforeningen
29. sep 2014 - Bergen

Dataforeningen
30. sep 2014 - Oslo

Dataforeningen
07. okt 2014 - Oslo

CIO Forum
09. okt 2014 - Ullevål Business Class

Dataforeningen
13. okt 2014 - Oslo

Dataforeningen
13. okt 2014 - Oslo

Dataforeningen
15. okt 2014 - Oslo

Dataforeningen
15. okt 2014 - Oslo

Dataforeningen
16. okt 2014 - Oslo

Dataforeningen
16. okt 2014 - Oslo

CIO Forum
CRM
16. okt 2014 - Ullevål Business Class

Dataforeningen
20. okt 2014 - Trondheim

Dataforeningen
27. okt 2014 - Trondheim

It-trender
28. okt 2014 - Ullevål Business Class

Dataforeningen
29. okt 2014 - Bergen

Dataforeningen
30. okt 2014 - Oslo

Dataforeningen
05. nov 2014 - Oslo

Dataforeningen
07. nov 2014 - Trondheim

Dataforeningen
12. nov 2014 - Trondheim

Dataforeningen
13. nov 2014 - Oslo

Dataforeningen
13. nov 2014 - Oslo

Dataforeningen
17. nov 2014 - Oslo

Dataforeningen
18. nov 2014 - London

Dataforeningen
18. nov 2014 - Oslo

Dataforeningen
20. nov 2014 - Oslo

Dataforeningen
25. nov 2014 - Oslo

Dataforeningen
26. nov 2014 - Oslo

Dataforeningen
01. des 2014 - Trondheim

Dataforeningen
19. jan 2015 - Oslo

Dataforeningen
20. jan 2015 - Oslo

Dataforeningen
11. feb 2015 - Oslo

Dataforeningen
10. mar 2015 - Trondheim

Energyworld
12. mar 2015 - Stavanger Forum

Dataforeningen
05. mai 2015 - Trondheim

Dataforeningen
04. jun 2015 - Oslo

Dataforeningen
24. sep 2015 - Oslo

Dataforeningen
02. nov 2015 - Oslo

Dataforeningen
10. feb 2016 - Oslo


Copyright 2014 IDG Magazines Norge AS. All rights reserved

Postboks 9090 Grønland – 0133 OSLO / idg@kundetjeneste.no / Telefon 22053000

Ansvarlig redaktør Henning Meese / Utviklingsansvarlig Ulf H. Helland / Salgsdirektør Jon Thore Thorstensen

Kommentarer