Gratis artikkelserie

Les vår artikkelserie "Slik lykkes du i skyen".

Last ned artikkelen

Bak nøkkelhullet

LEDER: Når Heartbleed ikke etterlever "hypen", blir kritikk uunngåelig, skriver Leif Hamnes.

Les mer Les mer

ANNONSEBILAG

Bedre forankring skaper ny giv

Hos Kongsberg Maritime har Service Management fått et navn og en logo ? Matrix. Identitetsbyggingen skal skape en effektiv og felles modell for problemløsning som er forankret i ledelsen, IT-organisasjonen og hos brukerne.
 

Selvstendig eller samarbeid?

KOMMENTAR: Myndigheter og regionale helseforetak jobber med fornying på alle fronter, skriver Ahlert Hysing.

Les mer Les mer

Les CW på mobilen

Få it-nyhetene rett i lomma.

Kommer vinden i fra vest

KOMMENTAR: Nordiske it-ledere tenker annerledes enn det globale gjennomsnittet, skriver Peter Hidas.

Les mer Les mer

Computerworld kvitrer

Få it-nyhetene først.

it-kvitter på Twitter!

Digitalisering – samarbeid eller kaos?

KRONIKK: Det er store utfordringer i digitaliseringsarbeidet, skriver Lars Peder Brekk.

Les mer Les mer

 
Du er her: Computerworld >
 

Slik svindles norske bankkunder

Leif Martin Kirknes
06.09.2011 kl 07:15

DnB NORs kunder har vært utsatt for fire trojanerangrep i år. Her kan du lese om hvordan angrepene artet seg, og hvordan de ble håndtert.

Slik svindles norske bankkunder

HEKTISK VÅR: Per Morten Sandstad, teamleder på sikkerhetssiden hos DnB NOR, har hatt det travelt i første halvår 2011 ettersom bankens kunder i fire runder har vært under angrep fra trojanere. (Foto: Leif Martin Kirknes)

LARVIK/OSLO: Dnb Nor har hatt en hektisk vår når det gjelder målrettede trojanere.

- Trusselbildet endrer seg. I fjor begynte det å røre seg litt i Norge, sier Per Morten Sandstad, teamleader på sikkerhetssiden hos DnB NOR.

Han snakket om temaet på ISFs sikkerhetskonferanse i Larvik forrige uke.

Han forteller at det finnes flere typer nettbanktrojanere, de største er Spyeye og Zeus. Spyeye har den interessante funksjonen innebygd i at den avinstallerer Zeus om Zeus er på maskinen fra før.

Slike trojanere er faktisk hyllevare med et helt eget økosystem med lisenser som blant annet gir pengene tilbake om de ikke er i nærheten av å gi ønsket effekt i skurkenes lommebok.

Slik virker de

Trojanerne bruker såkalt inject-svindel mot nettbankenes brukere. Html-kode injiseres inn i bankenes webserverrespons, og dermed er det lett for brukerne å gå fem på.

Svindlernes teknikere er glupinger. De er gode med Javascript og har dybdekunnskap om den konkrete nettbanken de vil angripe. For de mest avanserte svindlene trengs også en innsider for å teste ut om trojaneren virker, altså en eksisterende kunde av banken med Bankid, konto og full pakke.

For å overføre penger til utlandet går overføringen ofte via såkalte mulldyr, som gjerne får 10 prosent av pengene som overføres. Du har sikkert sett epostene, de hevder du kan tjene X antall tusen euro i måneden på å overføre penger, overføringer som antydes å være legitime selv om de selvfølgelig foregår på den kriminelle arena. Ofte er det i eposten lenket opp til nettsider til bakselskapene, som har proff layout og design i et forsøk på å fremstå som legitim.

Februar

I februar kom det et Spyeye-angrep, skreddersydd mot flere norske nettbanker. For infiserte brukere ble det injisert inn en Logg inn-knapp over feltet der fødselsnummeret vanligvis tastes inn.

Knappen førte til et falsk innloggingsvindu der du ble bedt om brukernavn, passord og engangskode. Så ble du bedt vente”mens sikkerhetsinnstillingene kontrolleres”, før du nok en gang ble bedt om å oppgi kode som trojaneren hadde intensjoner om å bruke til å gjennomføre en overføring med.

Les også: Trojaner angriper norske nettbanker

- Men denne var enkel å håndtere og forhindre, forklarer Sandstad.

Trojaneren var aktiv på denne måten også i flere andre land, og DnB NOR ble varslet av en annen internasjonal bank. Angivelig ble få norske bankkunder berørt. Media ble også varslet, slik at det var pressedekning om uhumskhetene.

April

I april ble svindelen dratt noen steg videre, også denne gangen med Spyeye. Her var det kun DnB NOR som var målet, Norges største bank med rundt én million kunder.

- Neste runde var mer avansert. Den ventet på at kunden logget inn i banken før det ble gjennomført mellommann-angrep via nettleseren. Derfor behøvde den bare å frarøve brukeren én kode, forteller Sandstad.

Les også: Banktrojaner leser engangspassord

I tillegg oppførte trojaneren seg dynamisk ved at den aldri tømte kontoen helt. Den lot det være igjen rundt 6000 kroner, så brukeren ikke skulle merke svindelen så kjapt. Teksten som ba om ekstra kode var også på forholdsvis god norsk, nokså sikkert skrevet av en med god kjennskap til vårt språk, kanskje til og med en nordmann.

- Det var en blanding av sosial manipulering og teknologi. Du var jo allerede inne på nettbanken da du ble bedt om ekstra kode, påpeker Sandstad.

Som eneste bank med kunder under angrep, stod også DnB NOR alene i bekjempelsen. Angrepskoden hadde strenge sjekkrutiner, og trojaneren spredte seg bare i Norge. Det var også konstant endring og oppdateringer i angrepskoden, og angrepet ble ikke mye omtalt i media.

Smellet i mai og kinaputten i juni

I mai var det duket for nok et angrep målrettet mot DnB NORs kunder, denne gangen via Zeus - og selvfølgelig enda mer avansert enn april-angrepet. Her ble ikke brukeropplevelsen endret i det hele tatt, injeksjonskoden var helt lik Dnb Nors nettbanklayout.

- Ingen popu-vinduer, forklarer Sandstad.

Også denne oppførte seg dynamisk, denne gangen hakket mer dynamisk enn april. Selve overføringen av penger ble i loggen for gjennomførte betalinger skjult via injeksjonskode. Saldoen ble også oppdatert. Si du hadde 40.000 kroner, og trojaneren stjal 34.000. For brukeren ville det fortsatt fremstått som om 40.000 kroner var på konto. Om brukeren betalte en regning på 100 kroner til teleselskapet, ville saldo fremstå som 39.000 selv om den i realiteten var på 5900.

Les også: Derfor skal du være paranoid

Den lurte brukere ved å late som du tastet feil under betaling av en regning. Ikke et utenkelig scenario, ettersom kodebrikken fra Bankid jo tross alt kan endre tallrekke mens du taster inn den som vises på skjermen. Den stjålne koden ble brukt til å overføre penger i det skjulte, mens ”systemet” på tilsynelatende helt vanlig vis fortalte brukeren at feil kode var tastet og ba om ny.

- Det var altså ingen unormal oppførsel for kunden, det fremstod som en helt normal brukeropplevelse, sier Sandstad.

Men hadde kunden logget inn på nettbanken på en pc som ikke var infisert, for eksempel jobb-pcen i stedet for hjemme-pcen, ville reell saldo på eksempelvis 5900 kommet til syne.

Det siste angrepet Sandstad forteller om kom i juni. Det var en ny variant av Spyeye-trojaneren. Samme angrepskode som i april, men modifisert, blant annet angrep den også andre banker. Men ifølge Sandstad voldet den ingen stor skade her til lands. Han understreker at det er kundene som har blitt angrepet, ikke Dnb Nor som sådan.

Farlige annonser

Dnb Nor har like fullt gjort en rekke erfaringer av angrepene i første halvår 2011. Blant annet ser de at brukerne har blitt infisert via annonser på helt vanlige, norske, legitime nettsider. Felles for dem er også at de har kjørt utdatert programvare. Infeksjoner har også kommet via Facebook

Les også: MSN-ofre maktesløse

DnB NORs utstrakte sikkerhetsarm Incident Response Team var ifølge Sandstad også godt forberedt. Han er ikke veldig konkret i alle detaljene om hvordan banken håndterte angrepet på kundene, men har noen overordnede forklaringer.

- Det gjelder å ha god etterretningsinformasjon, å vite hva som rører seg gjennom overvåkning av nettverk, sier han.

I kulissene er god kommunikasjon med andre banker og et godt samarbeid med Kripos viktig.

Det har vært viktig å få innsyn i trojanerens kode, og kartlegging av omfang og spredningsmetode.

- Man må vite hva hackeren gjør, hva som endres i injeksjonsangrepene også videre.

Tiltak gir mottiltak

Banken har også gått langt i å utveksle informasjon med andre, for eksempel ideelle interesseorganisasjoner bestående av ildsjeler som også kjemper for et tryggere nettsamfunn. Ved å dele informasjon om seg som er til organisasjonenes nytte, har de også fått nyttig informasjon tilbake fra samme organisasjoner.

Banken har også sporet opp kjente mulldyr-kontoer, skurkene bruker gjerne samme mulldyr om og om igjen. Å finne dem som har solgt seg ut som trojanertester på innsiden har de også klart ved å sjekke hvilke konti som matcher trojanermønsteret, bare på et tidligere stadium enn selve storutbruddet.

Men for mye detalj vil altså Sandstad ikke gå.

- Ethvert tiltak blir møtt med mottiltak. Derfor er usynlige mottiltak best, sier han.

Han kan likevel avsløre såpass at det er snakk om tiltak i bakgrunnen som kan slås på behov. En mulighet er for eksempel å varsle kunder på sms ved utenlandsbetaling, selv om Sandstad sier Dnb Nor foreløpig ikke har benyttet dette.

Les også: Bankid oppgraderer sikkerheten

På jakt etter ny jobb?

Last ned gratis whitepaper

blog comments powered by Disqus

Det smidige sykehuset

I dag er behandlingen oppstykket. I 2016, når det nye sykehuset i Østfold åpner, skal det være gjort endringer i arbeidsprosessene. Pasienter skal møte smidig behandling.

Les mer om dette Les mer

Høy omsetning med gamle produkter

Apple selger mer og tjener grovt i andre kvartal.

Les mer om dette Les mer

Evry vant minibanken

Vant kontrakt om å levere minibanktjenester til britiske Changegroup.

Les mer om dette Les mer

VMware med tosifrete resultater

Rapporterer en vekst på 14 prosent i omsetning og 51 prosent i resultat.

Les mer om dette Les mer

Creed til Eniro Norge

John Creed er nyansatt viseadministrerende direktør i Eniro.

Les mer om dette Les mer

Ny rådgiver i Primesource

Leif Knutsen er nyansatt rådgiver og konsulent i konsulentselskapet Primesource.

Les mer om dette Les mer

Trådløst fastnett - godt alternativ i hytte-Norge

I vinter var vi blant de heldige som fikk installert trådløst fastnett på hytta. Her er erfaringene så langt.

Les mer om dette Les mer

It-makt i Norge 2014: Topp 100

Her er Computerworlds liste over it-Norges 100 mektigste.

Les mer om dette Les mer

  
Mest anbefalt
Digitalisering - samarbeid eller kaos?
 Digitalisering - samarbeid eller kaos?
  Facebook:51   Twitter:9
Kommer vinden i fra vest
 Kommer vinden i fra vest
  Facebook:53   Twitter:0
Mening i mylderet
 Mening i mylderet
  Facebook:5   Twitter:20
Sykehuspartner friskmelder seg selv
 Sykehuspartner friskmelder seg selv
  Facebook:8   Twitter:6
Selvstendig eller samarbeid?
 Selvstendig eller samarbeid?
  Facebook:7   Twitter:2
Sjefen mens vi venter
 Sjefen mens vi venter
  Facebook:1   Twitter:5
Kvitt deg med Apple - gratis og miljøvennlig
 Kvitt deg med Apple - gratis og miljøvennlig
  Facebook:5   Twitter:1
Høy omsetning med gamle produkter
 Høy omsetning med gamle produkter
  Facebook:4   Twitter:1

Min side IDG

Dataforeningen
01. apr 2014 - Hele landet

Dataforeningen
23. apr 2014 - Stavanger

Dataforeningen
28. apr 2014 - Oslo

Dataforeningen
30. apr 2014 - Oslo

Dataforeningen
05. mai 2014 - Oslo

Dataforeningen
06. mai 2014 - Bergen

Affecto
06. mai 2014 - Oslo Kongressener Folkets Hus

Dataforeningen
07. mai 2014 - Oslo

Dataforeningen
07. mai 2014 - Hurtigruta og Brønnøysund

CIO Forum
08. mai 2014 - Oslo Kongressenter Folkets Hus

Dataforeningen
13. mai 2014 - Oslo

Dataforeningen
13. mai 2014 - Trondheim

Dataforeningen
13. mai 2014 - Bergen

Dataforeningen
13. mai 2014 - Oslo

Dataforeningen
14. mai 2014 -

Dataforeningen
21. mai 2014 - Oslo

Dataforeningen
26. mai 2014 - Bergen

Dataforeningen
26. mai 2014 - Monaco

Dataforeningen
27. mai 2014 - Tromsø

CIO Forum It-helse
28. mai 2014 - Oslo Kongressenter Folkets Hus

Dataforeningen
01. jun 2014 - Oslo

Dataforeningen
03. jun 2014 - Oslo

Dataforeningen
04. jun 2014 - Oslo

Dataforeningen
04. jun 2014 - Oslo

Dataforeningen
11. jun 2014 - Stavanger

CIO Forum
12. jun 2014 - Oslo Kongressenter Folkets Hus

Dataforeningen
12. jun 2014 - Oslo

Dataforeningen
17. jun 2014 - Trondheim

Dataforeningen
31. aug 2014 -

Dataforeningen
04. sep 2014 - Oslo

Dataforeningen
11. sep 2014 - Oslo

Dataforeningen
16. sep 2014 - Oslo

Dataforeningen
24. sep 2014 - Oslo

Dataforeningen
25. sep 2014 - Oslo

Dataforeningen
13. okt 2014 - Oslo

Dataforeningen
13. okt 2014 - Oslo

Dataforeningen
15. okt 2014 - Oslo

Dataforeningen
16. okt 2014 - Oslo

Dataforeningen
20. okt 2014 - Trondheim

Dataforeningen
30. okt 2014 - Oslo

Dataforeningen
13. nov 2014 - Oslo

Dataforeningen
26. nov 2014 - Oslo

Dataforeningen
11. feb 2015 - Oslo

Dataforeningen
24. sep 2015 - Oslo

Dataforeningen
02. nov 2015 - Oslo

Dataforeningen
10. feb 2016 - Oslo


Copyright 2014 IDG Magazines Norge AS. All rights reserved

Postboks 9090 Grønland – 0133 OSLO / idg@kundetjeneste.no / Telefon 22053000

Ansvarlig redaktør Henning Meese / Utviklingsansvarlig Ulf H. Helland / Salgsdirektør Jon Thore Thorstensen

Kommentarer