Lukket netbank: På høje tid at oplyse ordentligt

Af Dorte Toft 20

Tusindvis af danskere har fået lukket for deres netbankadgang, men ikke jeg. Det er imidlertid også tre uger siden, jeg sidst loggede på min netbank i Danske Bank.

Hvis jeg logger på nu, risikerer jeg da at få en mail eller et brev om, at man lukker for min netbank, fordi min pc er inficeret?

Eller er faren drevet over. Har lukningen af pc’ernes adgang lukket for problemet?

Sikkert ikke. Men vi hører intet, og det begrundes således: “Af hensyn til efterforskningen.” Man vil tilsyneladende hellere underminere tilliden til de danske netbanker.

Vi ved fra Finansrådets pressemeddelelse, at 8.000 pc’er angiveligt er smittet med en ondartet kode, der kan udgøre en risiko for sikkerheden i netbanken.

Vi ved, at Danske Bank og Nykredit har lukket netbankkonti og adviseret kunderne. Danske Bank kræver tilmed, at folk skal geninstallere Windows.

Vi ved omsider også, at det ikke er den kode, der ellers raserer verden over lige nu. Det er ikke Downadup/Conflicker-varianter, der er årsag til de danske bankers bekymring.

Men hvad er det så for en ondartet kode. Hvad er karakteristika?

Hvad er smittekilden? Er det f.eks. bilag til mails, eller en tur på populære websider, der kvitterer med download af gift?

Reaktioner på lukninger af netbankadgang viser, at der blandt de ramte er mange, der altid kører på helt opdateret antivirus (det sker jo pr. automatik på de fleste produkter).Vi ved også, at antiviruspakker har forskellige styrker og svagheder.

Er nogle af markedets antivirusprodukter i stand til at opsnuse og eliminere koden, og i givet fald nøjagtig hvilke? 

Vi får at vide, at der “Af hensyn til efterforskningen” ikke gives flere informationer.

Har den massive omtale af de 8.000 smittede pc’er ikke allerede fortalt bagmændene alt?

Vi ved, at IP-adresser (vores “adresser” på nettet) tilsyneladende spiller en rolle i opklaringen af, hvilke pc’er, der er inficeret. Nykredit skriver således i sine breve, at der er sendt “fortrolige oplysninger” fra den pågældendes IP-adresse.

Hvilken rolle spiller IP-adresserne?

Vi ved, at IP adresser ofte deles i boligforeninger og firmaer. Vi ved, at folk, der bruger mobilt bredbånd, skifter IP-adresse hver 24. time. (I hvert fald hos 3).

Hvor sikker en identifikator er IP-adresser?

Vi ved, at internationale sikkerhedsfirmaer (antivirus m.v.) råder over den ypperligste ekspertise på disse områder.

I hvilket omfang har de danske banker involveret de internationale firmaers topforskere?

Der er mange andre spørgsmål. Et har jeg dog ikke, og det er hvorfor der synes at være et meget lokalt islæt i dette.

Danskerne er jo blandt de allermest netbank-brugende i verden. Og så kan man kun gætte på, at det også spiller en rolle, at vi nok også har de mest ensartede sikkerhedsforanstaltninger for netbanker.

Jyske Bank og lidt andre holder sig udenfor standarden endnu. Advarer de kunder lige nu?

Er også danske bankers udenlandske datterselskaber udsat?

Hvilke spørgsmål har du til din bank?

Finansrådet anbefaler, at man tjekker sin pc på opdaterdinpc.dk hos TDC Online. Giver dette sted det ypperligste tjek på markedet?

Overgår hemmelighedskræmmeriets ulemper  fordelene på nuværende tidspunkt?

Det brev, som en kilde har sikret mig fra Danske Bank, er afsendt allerede den 21. januar.

I øvrigt har jeg længe ønsket mig en lille dims, der kun kan en eneste ting, nemlig netbanken. Ikke surfe, ikke tjekke mail, ikke Facebook’e, ikke spille film. Og ja, ulemperne ved en ekstradims med sikker kode tager jeg gerne med. Hvad med dig?

20 kommentarer RSS

  1. Af Claus Sønderkøge

    -

    Du mener intranet mellem banken og kunden?

  2. Af Maciej Szeliga

    -

    Første spg. til banken ville være: Hvordan kan jeg være ramt af virus X når virus X kun kører på Windows ?

    Identifikation på IP-adr. kan ikke bruges til noget som helst, lige så snart man er bag en router med “private adresser” på indersiden ses kun routerens adresse, det ved bankerne også godt.
    Jeg tror at bankerne har et eller andet check kørende i deres webapplikationer måske bare så simpelt som at checke OS og browser version (f.eks. “alle som ikke har sp3, IE7 og Java 1.6.xx er virusbefængte”). Hvis de ramte personer fortalte hvilke versioner de har og om de bruger ActivCard eller e-Safekey vil det nok være meget tydeligt.

    Personligt råd til dig: gå i DanskeBank og bestil et ActivCard derefter er der to alternatver:
    1.) download og brænd Ubuntu (eller whatever som har en LiveCD), boot CD og gå glad & sikker i banken.
    2.) køb en Mac (kør Windows i VMware, hvis du skal bruge det)

    DB siger OK til Linux men giver ikke support.

    Extra bonus: med ActivCard er du ikke bundet til nogen fast computer, du skal bare have kortet med dig så kan du gå i banken.

  3. Af Torben Vendelev

    -

    Okayyyy- en dims?! Jamen er det ikke det vi har, os i Jyske Bank? Et snottet sikkerheds-papkort som fungerer uanset om Windows gør det.
    Prøv det.

  4. Af Henrik Corneliussen

    -

    “…Man vil tilsyneladende hellere underminere tilliden til de danske netbanker…”

    Jeg må sige at tilliden til de danske netbanker, for mit vedkommende, allerede inden denne sag opstod, er forsvindende lille.

    I forbindelse med mit arbejde har jeg efterhånden forsøgt at installere samtlige varianter af danske netbankløsninger, og jeg må sige, at jeg ikke er imponeret. Mange af løsningerne kan ikke installeres hvis man ikke er administrator, og på Vista kræver mange sågar at man slår UAC fra. De vejledninger som bankerne giver deres brugere, er ganske enkelt et studie i omgåelse af sikkerhed!

    Måske skulle bankerne feje for egen dør, og ikke bare give andre skylden for hullerne i deres glashuse. Se at få lavet nogle netbankapplikationer der er tidsvarende, og ikke har basis i gamle Windows 95 løsninger.

  5. Af Erik Trolle

    -

    Der er mange måder at lave systemer på, men en af dem jeg ser ved disse netbanker er at ID og det hele ligger på samme apparat.

    I min svenske bank har jeg en lille regnemaskine udseende dims til at lave koder med. Det er lidt langsomt, men jeg føler mig sikker. Og så den fuldstændig platform uafhængig.

    Jeg har sammen med en kammerat tidligere lavet et system, hvor man brugte en telefon til at åbne sikre tunneller over internettet. Det vigtige er for mig at man adskiller ID-koderne fra PC’en.

    Der er sikker mange andre måder, at gøre det på. Jeg har læst at der er en Svensk bank hvor hver kunde får en USB læser til chipkort.

    Der må være bedre og sikre måder at gøre det på, end at have nøgle filer på den maskine, som også laver forbindelsen.

  6. Af Bo Rasmussen

    -

    JYSKE BANK – er mig bekendt, den eneste bank i Danmark, som ikke har haft sikkerhedsbrud på deres netbank – endnu i hvert fald. Det skyldes med al sansynlighed netop den af Dorthe Toft efterlyste “dims” (læs: sikkerhedskoder-rullende koder). Et uhyre simpelt system, som bare er så top sikkert.

    Man kan da godt give alle computere og alverdens styre systemer skylden, men sandheden er: At det er div. bankers sikkerhed i selve opbygningen af deres netank, der indeholder svagheden.

    Så et råd til alle dem som er usikre på netop deres bank´s sikkerhed omkring netbank :

    Skift til Jyske Bank – hvor svært kan det være ?

    Med venlig hilsen
    Bo Rasmussen

  7. Af Hans J. Pedersen

    -

    Kære BO RASMUSSEN.
    Jeg er selv kunde i JB.
    Dog må jeg tilføje at jeg syntes at din PLATTE reklame for JB er helt ude i HAMPEN.
    Hvad er betalingen eller er du ansat?

  8. Af Bo Rasmussen

    -

    Til Hans J. Pedersen ;-))

    Jeg må desværre bedrøve dig Hans. Jeg er hverken ansat eller på reklame indtægt fra Jyske Bank.

    Jeg er såmend bare en rigtig glad bruger /kunde i Jyske Bank, og i særdeleshed glad for deres store sikkerhed, omkring deres netbank.

    Du skriver i dit “indspark”, at du selv er kunde i Jyske Bank, og intet andet………

    Det kunne være rart, hvis du havde løst til at kommentere din mening/holdning til netbank i Jyske Bank, eller andre banker. Det er jo lige som det, der bliver talt/skrevet om her på blokken………………smil lidt til verden, så smiler den som regel tilbage til dig ;-))

    Med venlig hilsen
    Bo Rasmussen

  9. Af Dorte Toft

    -

    @Hans J. Pedersen. Jyske Bank fremhæves gang på gang, når der debatteres netbanksikkerhed og ikke blot her. Det er på alle netsteder, hvor emnet drøftes.

    Bankens valg af sikkerhedsforanstaltninger synes hidtil (så vidt jeg ved)at have medvirket til, at der endnu ikke er tømt en netbank der, men tager jeg fejl, så skriv endelig.

    Når nogen roser JB tager jeg det derfor ikke for reklame, men mere som en slags forbrugervejledning på dette punkt.

    Du ved fra anden sammenhæng, at jeg sætter pris på dine bidrag her, men indimellem er du altså lige lovlig hurtig ved havedøren med din mistænkeliggørelse af andre. Det kan give skår i den ellers ret gode stemning på bloggen, så please…

  10. Af Michael Larsen

    -

    For alle de udenforstående. Os der er netbankkunder i Jyske får tilsendt et papkort (kaldet nøglekort) med 80 talkoder. Jyskes netbank beder os om at indtaste nøglekortnummeret (det kunne f.eks. være AB 4321)når vi logger på, plus f.eks. talkode nummer 40 som kunne være 1234. For hver betaling skal man yderligere indtaste en talkode. Når koderne er opbrugt får man et nyt papkort med 80 nye talkoder tilsendt. Med andre ord skal man være i besiddelse af papkortet, kende kodeordet samt brugerens personnummer for at hæve penge fra netbanken.

  11. Af Hans J. Pedersen

    -

    OK-jeg giver jer ret-JYSKE BANKS SIKKERHED på deres NETBANKSIDE er OK og SUVERÆN.
    Det som DAGLIG irriterer mig er at jeg for at logge mig ud af siden bliver konfronteret med bankens OVERFLØDIGE og TALENTLØSE REKLAME-TV-side.
    Iøvrigt har jeg i disse tider svært ved at BEGEJSTRES over noget som helst som har med banker at gøre da de har skabt ret så mange problemer for grupper af uskyldige og sagesløse mennesker.
    På den front er jeg meget NEGATIV-rigtig set!

  12. Af Allan Skovmand

    -

    HSBC har en sjov løsning hvor der er et grafisk tastatur på skærmen, hvor man “klikker” med musen – hvor tasterne vel at mærke skifter placering ved hvert login. På den måde kan man ikke “sniffe” koden der indtastes.

    Det er langt smartere end Jyske Banks løsning (ja jeg er kunde i banken) fordi man ikke skal huske sit “nøglekort”. Men JB Privat er en fin løsning.

    Lad være med at nævne JB erhverv som er den dårligste netbank i Kongeriget Danmark. Og så koster den endda penge. Men JB skulle jo også lige lave en “TV-station” og købe 1.000 cappuchino-maskiner til filialerne først (sjov prioritering).

  13. Af Arne Jacobsen

    -

    Danske Bank lægger ansvaret fra sig og over på kunderne. DB’s krav til kunderne om at formattere og reinstallere styresytemer og alle programmerne på deres computere er for det første helt urimeligt, for det andet er det ikke en løsning på problemerne omkring sikkerheden vedrørende adgangen til netbank.
    Den private bruger kommer aldrig til at kunne holde sin PC helt fri for virus, spyware, malware m.m. ligegyldigt hvor mange foranstaltninger han/hun sætter i værk på computeren for at holde stadsen ude. Et hvilket som helst anti-virusprogram og en hvilken som helst sikkerhedsopdatering vil altid være på bagkant med de nye trusler der spreder sig uophørligt på nettet.
    Læg dertil, at langt den største del af de private brugere i dagens Danmark ikke har nogen som helst teknisk indsigt i mekanikken under tastaturet, og derfor aldig vil evne at holde deres PC bare nogenlunde “jomfruelig”. Ej heller vil nok så selvopdaterende software kunne garantere en infektionsfri computer.

    Det må selvfølgelig være bankerne selv der må sørge for at have egen sikkerhed i orden. Så deres netbank-systemer ikke lader sig påvirke af kundernes mere eller mindre virus-inficerede maskiner. Logon-sikringer der forhindrer orme, trojanske heste og alskens andre “baciller” i at sprede sig fra kundernes computere og ind i bankernes pengeboxe.
    Smøg ærmerne op Danske Bank og gør noget ved jeres sikkerhed!

  14. Af Christian A

    -

    Jeg har lige været på opdaterdinpc.dk, og her kan jeg ikke finde mit antivirusprogram – som er Bullgard.

    Er det fordi Bullgard ikke er sikkert nok ?

  15. Af Dorte Toft

    -

    Information om, hvad der virkelig er sket, kommer ikke til at ske styret. Nu begynder der så småt at sive detaljer.

    Her forklares på Version2 om en særlig mappe, som den ondartede kode opretter:
    http://www.version2.dk/artikel/9755-internetudbyder-haever-tavshed-om-hemmeligholdt-netbank-angreb

    På comon.dk ses både kritik og støtte fra sikkerhedsfolk vedr. hemmelighedsholdelsen. Men her kan man også læse, at der tilsyneladende er noget undervejs til netbankkunder. Et værktøj, der gør, at de kan scanne deres computer for lige netop den problematiske ondartede kode. Artiklen er her:
    http://www.version2.dk/artikel/9755-internetudbyder-haever-tavshed-om-hemmeligholdt-netbank-angreb.

    computeworld.dk har på nuværende tidspunkt nøjedes med den gamle konstatering af, at 8.000 pc’er ifølge Finansrådet var inficeret.

  16. Af Bizzen - IT & Business » Blogarkiv » “Russere” angriber de danske netbanker

    -

    [...] har anslået, at 8.000 danske pc’er er ramt, og som jeg tidligere har skrevet, har Danske Bank og Nykredit meddelt kunder, at de låses ude fra deres netbank. Der er også [...]

  17. Af Jens Peter

    -

    Nu har jeg heldigvis ikke selv været udsat, da jeg benytter en mindre bank – men det kunne jo lige så godt have ramt dem. Og ofte er der en windows-pc på besøg i mit trådløse netværk, det kunne jo have triggered en blokering, selvom min mac ikke har mulighed for at blive ramt. Hvis det var tilfældet, ville jeg nok have taget en dialog med min bankrådgiver og skiftet bank, hvis ikke de kunne af-blokere min ip.

    Og hvis de “ramte” brugere så reinstallere windows, vil de så anden gang være i stand til, ikke at få virus?

    Dorthe, en dims kun til netbank? Det må vel være en af de små netbooks med linux, som kun startes for at gå i netbanken. Sådan en koster vel omkring 1000 kr? Alternativt, så koster en live-cd det at downloade+brænde til cd + list fritid.

  18. Af Dorte Toft

    -

    @Jens Peter. Det er ikke en netbook, jeg kan forestille mig. Og ikke noget standard operativsystem. Men en dims, der kunne ligne en iPhone, så man kan bruge den trykfølsomme skærm som tastatur. Og så skal der være en lille chipkortlæser indbygget.

    Men altså vigtigt. Kun til at gå i netbanken. Den skal absolut ikke kunne andet. At bruge pc’en – jamen er det ikke lidt som at ville bruge en bankboks også til sko, tøj, lagner etc? Åbne lukke i en uendelighed.

    Alternativet er måske en ganske specielt designet USB-dims med chipkortlæser, der i sig selv er en “fuld” computer med helt eget styresystem. Og denne skal bevæge sig helt uden om PC’ens egen software, men tillade skærm og tastatur-brug.

    Alt-i-en tanken bør forlades efterhånden som penge er helt elektroniske. Det er mit bud, men om realistisk, ved jeg ikke.

  19. Af Bizzen - IT & Business » Blogarkiv » DK er mål for cyberangreb, men uden ordentligt beredskab

    -

    [...] meget fra Finansrådet, som jeg konstaterede tidligere her på bloggen. Det viste sig at være et angreb fra russisktalende hackere målrettet danske [...]

  20. Af » Håbløs DanID giver frit spil for dybt skadelige udsagn om NemID - Bizzen - IT & Business

    -

    [...] for eksempel primo 2009, hvor banker lukkede for flere tusinde borgeres netbank efter et angreb UDEN at informere på ordentlig [...]

Skriv kommentar

Kun fornavn og efternavn bliver vist i forbindelse med kommentaren. Dog skal alle felter med * (stjerne) udfyldes

Læs vilkår for kommentarer og debat på Berlingske Tidendes websites

RETNINGSLINJER

Berlingske ønsker at sikre, at debatten på b.dk føres i en ordentlig tone, som gør det inspirerende og udfordrende for alle at bidrage og deltage. Vi efterlyser gerne klare, skarpe, holdningsmæssige stærke indlæg med stor bredde og mangfoldighed og kritisk blik på sagen. Men vi accepterer ikke indlæg, som er åbenlyst injurierende, racistiske, personligt nedgørende. Sådanne indlæg vil fremover blive slettet. Det samme gælder indlæg, der ikke er forsynet med fuldt og korrekt navn på afsenderen, men som indeholder forkortede navne, opdigtede eller falske navne.

Vi opfordrer samtidig alle debattører til at gøre redaktionen opmærksom på indlæg, som ikke overholder disse retningslinjer.

Redaktionen

Yderligere info