Gratis artikkelserie

Les vår artikkelserie "Slik lykkes du med skrivere".

Last ned artikkelen

Populismens bakside

LEDER: Regjeringen bør være opptatt av å etablere noenlunde like konkurransevilkår mellom norske og utenlandske bedrifter.

Les mer Les mer

ANNONSEBILAG

Her er POB G6

POB G6 har et imponerende ytre og mye spennende funksjonalitet, men teknologidirektør Atle Nilssen er minst like stolt av det som ligger bak det moderne brukergrensesnittet.
 

På vei til nettskyen

KOMMENTAR: Felles plattform skaper grunnlaget for fremtidige løsninger, skriver Ahlert Hysing.

Les mer Les mer

Les CW på mobilen

Få it-nyhetene rett i lomma.

Østenfor sol og vestenfor måne

PETERS PLASS: Vil vi ha et kompetansesamfunn med it i topp og bunn, gjelder det å planlegge nå. Ikke om femten år, skriver Peter Hidas.

Les mer Les mer

Computerworld kvitrer

Få it-nyhetene først.

it-kvitter på Twitter!

Visdommen til små grupper

KOMMENTAR: Hvem tar de beste beslutningene, den ene eller de mange?

Les mer Les mer

 
Du er her: Computerworld >
 

Slik svindles norske bankkunder

Leif Martin Kirknes
06.09.2011 kl 07:15

DnB NORs kunder har vært utsatt for fire trojanerangrep i år. Her kan du lese om hvordan angrepene artet seg, og hvordan de ble håndtert.

Slik svindles norske bankkunder

HEKTISK VÅR: Per Morten Sandstad, teamleder på sikkerhetssiden hos DnB NOR, har hatt det travelt i første halvår 2011 ettersom bankens kunder i fire runder har vært under angrep fra trojanere. (Foto: Leif Martin Kirknes)

LARVIK/OSLO: Dnb Nor har hatt en hektisk vår når det gjelder målrettede trojanere.

- Trusselbildet endrer seg. I fjor begynte det å røre seg litt i Norge, sier Per Morten Sandstad, teamleader på sikkerhetssiden hos DnB NOR.

Han snakket om temaet på ISFs sikkerhetskonferanse i Larvik forrige uke.

Han forteller at det finnes flere typer nettbanktrojanere, de største er Spyeye og Zeus. Spyeye har den interessante funksjonen innebygd i at den avinstallerer Zeus om Zeus er på maskinen fra før.

Slike trojanere er faktisk hyllevare med et helt eget økosystem med lisenser som blant annet gir pengene tilbake om de ikke er i nærheten av å gi ønsket effekt i skurkenes lommebok.

Slik virker de

Trojanerne bruker såkalt inject-svindel mot nettbankenes brukere. Html-kode injiseres inn i bankenes webserverrespons, og dermed er det lett for brukerne å gå fem på.

Svindlernes teknikere er glupinger. De er gode med Javascript og har dybdekunnskap om den konkrete nettbanken de vil angripe. For de mest avanserte svindlene trengs også en innsider for å teste ut om trojaneren virker, altså en eksisterende kunde av banken med Bankid, konto og full pakke.

For å overføre penger til utlandet går overføringen ofte via såkalte mulldyr, som gjerne får 10 prosent av pengene som overføres. Du har sikkert sett epostene, de hevder du kan tjene X antall tusen euro i måneden på å overføre penger, overføringer som antydes å være legitime selv om de selvfølgelig foregår på den kriminelle arena. Ofte er det i eposten lenket opp til nettsider til bakselskapene, som har proff layout og design i et forsøk på å fremstå som legitim.

Februar

I februar kom det et Spyeye-angrep, skreddersydd mot flere norske nettbanker. For infiserte brukere ble det injisert inn en Logg inn-knapp over feltet der fødselsnummeret vanligvis tastes inn.

Knappen førte til et falsk innloggingsvindu der du ble bedt om brukernavn, passord og engangskode. Så ble du bedt vente”mens sikkerhetsinnstillingene kontrolleres”, før du nok en gang ble bedt om å oppgi kode som trojaneren hadde intensjoner om å bruke til å gjennomføre en overføring med.

Les også: Trojaner angriper norske nettbanker

- Men denne var enkel å håndtere og forhindre, forklarer Sandstad.

Trojaneren var aktiv på denne måten også i flere andre land, og DnB NOR ble varslet av en annen internasjonal bank. Angivelig ble få norske bankkunder berørt. Media ble også varslet, slik at det var pressedekning om uhumskhetene.

April

I april ble svindelen dratt noen steg videre, også denne gangen med Spyeye. Her var det kun DnB NOR som var målet, Norges største bank med rundt én million kunder.

- Neste runde var mer avansert. Den ventet på at kunden logget inn i banken før det ble gjennomført mellommann-angrep via nettleseren. Derfor behøvde den bare å frarøve brukeren én kode, forteller Sandstad.

Les også: Banktrojaner leser engangspassord

I tillegg oppførte trojaneren seg dynamisk ved at den aldri tømte kontoen helt. Den lot det være igjen rundt 6000 kroner, så brukeren ikke skulle merke svindelen så kjapt. Teksten som ba om ekstra kode var også på forholdsvis god norsk, nokså sikkert skrevet av en med god kjennskap til vårt språk, kanskje til og med en nordmann.

- Det var en blanding av sosial manipulering og teknologi. Du var jo allerede inne på nettbanken da du ble bedt om ekstra kode, påpeker Sandstad.

Som eneste bank med kunder under angrep, stod også DnB NOR alene i bekjempelsen. Angrepskoden hadde strenge sjekkrutiner, og trojaneren spredte seg bare i Norge. Det var også konstant endring og oppdateringer i angrepskoden, og angrepet ble ikke mye omtalt i media.

Smellet i mai og kinaputten i juni

I mai var det duket for nok et angrep målrettet mot DnB NORs kunder, denne gangen via Zeus - og selvfølgelig enda mer avansert enn april-angrepet. Her ble ikke brukeropplevelsen endret i det hele tatt, injeksjonskoden var helt lik Dnb Nors nettbanklayout.

- Ingen popu-vinduer, forklarer Sandstad.

Også denne oppførte seg dynamisk, denne gangen hakket mer dynamisk enn april. Selve overføringen av penger ble i loggen for gjennomførte betalinger skjult via injeksjonskode. Saldoen ble også oppdatert. Si du hadde 40.000 kroner, og trojaneren stjal 34.000. For brukeren ville det fortsatt fremstått som om 40.000 kroner var på konto. Om brukeren betalte en regning på 100 kroner til teleselskapet, ville saldo fremstå som 39.000 selv om den i realiteten var på 5900.

Les også: Derfor skal du være paranoid

Den lurte brukere ved å late som du tastet feil under betaling av en regning. Ikke et utenkelig scenario, ettersom kodebrikken fra Bankid jo tross alt kan endre tallrekke mens du taster inn den som vises på skjermen. Den stjålne koden ble brukt til å overføre penger i det skjulte, mens ”systemet” på tilsynelatende helt vanlig vis fortalte brukeren at feil kode var tastet og ba om ny.

- Det var altså ingen unormal oppførsel for kunden, det fremstod som en helt normal brukeropplevelse, sier Sandstad.

Men hadde kunden logget inn på nettbanken på en pc som ikke var infisert, for eksempel jobb-pcen i stedet for hjemme-pcen, ville reell saldo på eksempelvis 5900 kommet til syne.

Det siste angrepet Sandstad forteller om kom i juni. Det var en ny variant av Spyeye-trojaneren. Samme angrepskode som i april, men modifisert, blant annet angrep den også andre banker. Men ifølge Sandstad voldet den ingen stor skade her til lands. Han understreker at det er kundene som har blitt angrepet, ikke Dnb Nor som sådan.

Farlige annonser

Dnb Nor har like fullt gjort en rekke erfaringer av angrepene i første halvår 2011. Blant annet ser de at brukerne har blitt infisert via annonser på helt vanlige, norske, legitime nettsider. Felles for dem er også at de har kjørt utdatert programvare. Infeksjoner har også kommet via Facebook

Les også: MSN-ofre maktesløse

DnB NORs utstrakte sikkerhetsarm Incident Response Team var ifølge Sandstad også godt forberedt. Han er ikke veldig konkret i alle detaljene om hvordan banken håndterte angrepet på kundene, men har noen overordnede forklaringer.

- Det gjelder å ha god etterretningsinformasjon, å vite hva som rører seg gjennom overvåkning av nettverk, sier han.

I kulissene er god kommunikasjon med andre banker og et godt samarbeid med Kripos viktig.

Det har vært viktig å få innsyn i trojanerens kode, og kartlegging av omfang og spredningsmetode.

- Man må vite hva hackeren gjør, hva som endres i injeksjonsangrepene også videre.

Tiltak gir mottiltak

Banken har også gått langt i å utveksle informasjon med andre, for eksempel ideelle interesseorganisasjoner bestående av ildsjeler som også kjemper for et tryggere nettsamfunn. Ved å dele informasjon om seg som er til organisasjonenes nytte, har de også fått nyttig informasjon tilbake fra samme organisasjoner.

Banken har også sporet opp kjente mulldyr-kontoer, skurkene bruker gjerne samme mulldyr om og om igjen. Å finne dem som har solgt seg ut som trojanertester på innsiden har de også klart ved å sjekke hvilke konti som matcher trojanermønsteret, bare på et tidligere stadium enn selve storutbruddet.

Men for mye detalj vil altså Sandstad ikke gå.

- Ethvert tiltak blir møtt med mottiltak. Derfor er usynlige mottiltak best, sier han.

Han kan likevel avsløre såpass at det er snakk om tiltak i bakgrunnen som kan slås på behov. En mulighet er for eksempel å varsle kunder på sms ved utenlandsbetaling, selv om Sandstad sier Dnb Nor foreløpig ikke har benyttet dette.

Les også: Bankid oppgraderer sikkerheten

På jakt etter ny jobb?

Last ned gratis whitepaper

blog comments powered by Disqus

- Ikke en situasjon vi kan slå oss til ro med

Datatilsynest mener at apper gir for dårlig informasjon.

Les mer om dette Les mer

Over 300.000.000 smartmobiler i kvartalet

Andre kvartal på rad verden ser slike salgsvolumer. Samsung dominerer stadig stort.

Les mer om dette Les mer

- Maktmisbruk!

Markedsplassen Justcoin legges ned. Bankene har skylden, mener bitcoin-bruker.

Les mer om dette Les mer

Youtube med HD-kvalitet

Google har innført støtte for videoklipp med en bildefrekvens på 60 bilder per sekund. Se video her!

Les mer om dette Les mer

Brainstorming med kunden

KRONIKK: Brukeradopsjon trenger ikke å være komplisert hvis den startes i tide, skriver Øyvind Grøndalen.

Les mer om dette Les mer

Facebook gir bort internt overvåkingsverktøy

Egenutviklet verktøy for å sjekke operativsystemer for ytelse og sikkerhetsbrudd.

Les mer om dette Les mer

Norsk programvaresuksess

Norskutviklet programvare med internasjonal suksess.

Les mer om dette Les mer

Min side IDG

Dataforeningen
18. sep 2014 - Hele landet

Syscom
14. okt 2014 - SYSCOM AS, OSLO

Dataforeningen
29. okt 2014 - Bergen

Dataforeningen
30. okt 2014 - Oslo

Dataforeningen
05. nov 2014 - Oslo

Watchcom
05. nov 2014 - Oslo

Dataforeningen
07. nov 2014 - Trondheim

Watchcom
10. nov 2014 - Oslo

Dataforeningen
12. nov 2014 - Trondheim

Dataforeningen
12. nov 2014 - Oslo

Dataforeningen
13. nov 2014 - Oslo

Dataforeningen
13. nov 2014 - Oslo

CIO Forum
13. nov 2014 - Oslo Kongressenter Folkets Hus

Dataforeningen
17. nov 2014 - Oslo

Dataforeningen
18. nov 2014 - London

Dataforeningen
18. nov 2014 - Oslo

Syscom
18. nov 2014 - SYSCOM AS, OSLO

Watchcom
19. nov 2014 - OSLO

Dataforeningen
20. nov 2014 - Oslo

Dataforeningen
25. nov 2014 - Oslo

Dataforeningen
26. nov 2014 - Oslo

CIO Forum
27. nov 2014 - Oslo Kongressenter Folkets Hus

Dataforeningen
27. nov 2014 - Oslo

Watchcom
27. nov 2014 - Oslo

Dataforeningen
01. des 2014 - Trondheim

Dataforeningen
01. des 2014 - Oslo

Syscom
03. des 2014 - SYSCOM AS, OSLO

Watchcom
03. des 2014 - Oslo

Watchcom
04. des 2014 - Oslo

Watchcom
11. des 2014 - Bergen

Dataforeningen
08. jan 2015 - Oslo

Dataforeningen
19. jan 2015 - Oslo

Dataforeningen
20. jan 2015 - Oslo

Dataforeningen
11. feb 2015 - Oslo

Dataforeningen
10. mar 2015 - Trondheim

Energyworld
12. mar 2015 - Stavanger Forum

Dataforeningen
05. mai 2015 - Trondheim

Dataforeningen
04. jun 2015 - Oslo

Dataforeningen
24. sep 2015 - Oslo

Dataforeningen
02. nov 2015 - Oslo

Dataforeningen
10. feb 2016 - Oslo


Copyright 2014 IDG Magazines Norge AS. All rights reserved

Postboks 9090 Grønland – 0133 OSLO / idg@kundetjeneste.no / Telefon 22053000

Ansvarlig redaktør Henning Meese / Utviklingsansvarlig Ulf H. Helland / Salgsdirektør Jon Thore Thorstensen

Kommentarer