NemID-trojanerens offer: Sådan faldt jeg i. Sådan ødelagde den også Windows

Af Dorte Toft 14

En utålmodig sjæl, der fik givet en NemID-nøgle en gang for meget, hjælper nu med at afdække, hvorledes hans bankkonto kunne lænses, og hvad den ondartede kode gjorde af skade udover at nuppe pengene. Det er it-konsulent Simon Jonassen, som kommenterede på mit forrige blogindlæg med overskriften “Danske Bank: NemID’s sikkerhed skal skærpes, men aktuel fare overstået”.

Det var den 6. februar. Simon Jonassen, der var logget ind på netbanken, skulle blot udskrive nogle kontoudskrifter fra sin erhvervskonto, da han ikke kunne komme videre. Op på skærmen var pludselig poppet et vindue, der igen afkrævede ham en nøgle fra NemID-papkortet, og han gav sig.

Men da han om eftermiddagen var inde i sin netbank igen, så han, at alle pengene på kontoen var væk. Den lærerige fortælling findes hos Ingeniørens it-medie Version2.

Slettede sine spor

Simon Jonassen fortæller også, at det ikke blev ved den skade. Da han forsøgte at spore overførslen af pengene, begyndte styresystemet Windows at reagere helt tosset, indtil pc’en til sidst var nærmest lammet, og en genstart var umulig.

Den ondartede kode, den såkaldte trojaner, som pc’en var smittet med, var nemlig kodet til at ødelægge sporerne efter sig selv. Formålet er blandt andet at besværliggøre efterforskningen af virkemåden, herunder, hvor den oprindelige smitte var kommet fra.

Smitte fra legitime websider

Ifølge it-sikkerhedsfirmaet CSIS, der er Finansrådets rådgiver, blev smitten overført fra “legitime” websider, men der er ingen information om, hvorvidt det f.eks. var via flash-baserede reklamer.

Det tog Simon Jonassen en uge at få sin pc i gang igen.

Læren? Uha, der er en masse, og jeg skøjter foreløbig på overfladen.

Læren for dig med NemID

Læren for borgeren med en NemID må være, at man bremser helt op, hvis man pludselig afkræves en NemID-nøgle, hvor man aldrig tidligere er blevet afkrævet den.

Hvis det er din bankkonto, du er inde på, så ring straks til banken. Brug ikke mus, ikke tastatur. Rør intet. Via fjernovervågning kan der sandsynligvis taget et “billede” af situationen, men om det også udløser ødelæggelse er ikke til at vide. Overførslen kan dog forhindres.

Men hvornår ved man i skyndingen, om mønstret afviger fra normalen? Der bliver jo stadig flere steder, hvor man kan logge ind via NemID, og allerede nu ses jo forskelle i, hvornår banker afkræver selve nøglen fra papkortet. Og hvordan er situationen alle de steder hos det offentlige, hvor man logger ind via NemID, hos forsikringsselskaber med videre?

Sporing af muligt bedrageri

Når lignende angreb forsøges, vil de kriminelle dog næppe kunne slippe afsted med så store summer, som sidst. Danske Bank har genindført det kontrolsystem, der varsler om muligt bedrageri, hvis der er atypisk mønstre i overførsler. Det er der mere om i mit tidligere blogindlæg.

Læren for banken, Finansrådet med rådgiver

Hold op med jeres “hat og blå briller” fortielse af, hvad der er sket. Ellers ender det med, at I også får undergravet tilliden til NemID som adgangen til de offentlige registre, og så er den offentlige digitaliseringssstrategi ikke det papir værd, den er nedfældet på.

Jeg har over tid hørt, at “diskretionen” ved netbankangreb skyldes to ting. 1. At der ikke skal skabes unødig uro, idet skaden, der sker er meget begrænset. 2. At “the bad guys” ikke må informeres, før “the good guys” har haft tid til efterforskningen.

Det holder ikke længere. Nu var der denne gang andre sager, som medierne i samlet trop rendte efter denne gang, men så heldig er bankerne måske ikke næste gang.

Tidsaspektet

Efter Simon Jonassen har informeret, ved vi, at i hvert fald allerede den 6. februar vidste Danske Bank og de andre finansaktører, hvad angrebsformen var.

Altså, at der popper et felt op – efter man er logget hele vejen igennem. I dette felt, der er en kopi af det vante, anmodes igen om en nøgle fra NemID-papkortet.

Først den 10. februar informeres offentligheden om trojaneren og dens virkemåde.

Hvilken dato fik man lukket for den forbindelse, der var mellem trojaner og de kriminelles server. Det var den bagdør til de kriminelle, som trojaneren åbnede, og hvor først det aflyttede brugernavn og adgangskode blev formidlet, og senere det ekstra nøglekortnummer.

Læs kommentarfeltet

Til slut. Læs kommentarfeltet under mit tidligere blogindlæg. Det er lærerigt på flere måder.

14 kommentarer RSS

  1. Af Torben Pedersen

    -

    Som bankansat i et pengeinstitut, har vi oplevet en del kunder bande over et tillægssystem til den almindelige webbank, hvor kunderne skal opgive et mobilnummer. Dette bruges så til at varsko kunderne pr. SMS i tilfælde af usædvanlige overførsler. Dette kunne være meget store overførsler eller overførsler til udlandet. Hvis kunden ikke pr. SMS-tilsendt kode bekræfter overførslen, gennemføres den ikke. Det havde stoppet disse sager i fødslen.

  2. Af Keld Simonsen

    -

    Der findes en del banker der ikke benytter nemid til deres netbank, bla JAK andelskasserne. Brug dem og bliv fri for nemid-problemer!

  3. Af Lisa Olsson

    -

    Måske man skulle gå tilbage til dengang, hvor man ordnede sine banksager offline, så kunne man sende sine oplysninger via krypteret forbindelse, hvor der evt. sendes en sms besked ved hver overførsel, som man verificerer. Det kræver en mobiltelefon, men det har jo snart alle idag. Det er nok vigtigt at gøre sig klart, at man må gå med livrem og seler, hvis man vil være mere sikker. Hackere er simpelthen for dygtige.

  4. Af Michael Jensen

    -

    Skidt da med pengene! NemID er bankernes system og som sådan er der kun pengene bankerne er bekymrede for. Simon m.fl. har jo også fået deres penge igen uden diskussion, hvilket ikke undrer. Bankerne vil gerne have sagen dysset ned, så der ikke bliver stillet spørgsmålstegn ved selve konstruktionen.

    NemID som login til bankerne? Fint! I laver sikkerhedaniveauet og dækket tabene.

    NemID som offentligt login? No way! Så længe det er bankernes system og de blot skal dække økonomiske tab er det helt forrykt, hvad NemId giver adgang til at gøre, når man tænker på at et angreb af ovennævnte type er så let at gennemføre. Næste gang vil vi måske i stedet se identitetstyveri, offentliggørelse af patientjournaler og huse sat til salg.

    At det denne gang blot er penge, er da til at leve med.

  5. Af O Andersen

    -

    Ja, når Bankerne ikke engang arbejder sammen, så har plattenslagere og kriminelle jo let spil…
    Det er sågu da så nemt: en idiot lænser min konto for kr. 100.000 og overfører dem til en konto i Kina. Dette kan ses direkte af den Danske Bank og Interpol. De kan se den konto som pengene er indsat på. Banken i Kina ved hvem der ejer den konto og hvem der har hævet pengene.
    Arrester forbryderen og put ham i spjældet i 10 år…
    Så er der ikke mere svindel.

  6. Af Dorte Toft

    -

    @ O. Andersen. Den modtagende bank vil vel normalt anmode sin kunde om dokumentation af berettigelsen af pengene, der er kommet ind på kontoen, og der kan nok laves mange julelege, desuden kan svindleren jo have hævet pengene INDEN alarmen sker fra Danmark. Men ja. Man kan ønske sig, at Interpol gør en effektiv forskel.

    @Torben Pedersen. Det er svært at finde balance mellem sikkerhed og service. Tak fordi du er med til at illustrere det.

    @ Lisa Olsson. Mobilen… tja, tja. Jeg er selv nervøs for, at den får for stor en rolle ved betalinger, for der stjæles/glemmes ligegodt flere mobiler end pengepunge (med papirer).

    @ Keld Simonsen. Det vidste jeg ikke, men tak for informationen. Dog er der nok folk, der ikke kun har NemID som overvejelse, når det gælder at have en bank.

    @Michael Jensen. Burde være to nøgler (mindst) enig. Hvad der er farligst – penge eller data hos det offentlige? Nok individuel opfattelse. Men som jeg også forsøger at sige gang på gang, så skylder det offentlige danskerne hurtigst muligt at etablere en organisation, om central eller kommunal, der yder 1. hjælp ved identitetstyveri og lignende. Det er helt uforsvarligt, hvis borgeren selv skal slås med at få alt spolet tilbage.

  7. Af T Hansen

    -

    “Op på skærmen var pludselig poppet et vindue, der igen afkrævede ham en nøgle fra NemID-papkortet, og han gav sig. ”

    Så beder man også om det !

  8. Af T Hansen

    -

    “Op på skærmen var pludselig poppet et vindue, der igen afkrævede ham en nøgle fra NemID-papkortet, og han gav sig. ”

    Så beder man også om, at blive snydt.

  9. Af Jacob Christensen

    -

    Der mangler vist noget forklaring.
    Du kan enten logge ind på din bank uden nemid eller med nemid. I hvert fald med de to banker jeg bruger.
    At logge ind uden nem id kræver password og kodeord, men ikke nem id nummeret.
    Så kan du se kontobevægelser, betalingsservice, ect, alt hvad der ikke kræver endelig godkendelse. Overførsel, betaling o.lign.
    Det der er problemet, er, at du nu kan logge ind uden at bruge nem id nummeret.
    Så bliver det sværere at holde styr på hvor mange gange du skal opgive dit nem id nummer.
    Hvis bankerne og andre aktøre kunne blive enige om at du kun skal logge ind en gang med dit nem id nummer, så bliver det en mere naturlig forretningsgang. Og ingen vil spørge om dit nem id nummer.
    Du skal selvfølgelig følge aktørernes råd om at lukke browseren, når du er færdig med det du nu skal på pågældende websted.

  10. Af Dorte Toft

    -

    @ T Hansen. Det bliver endnu værre når netbanken for alvor tilgås via mobiler. I hvert fald at dømme efter, hvad der sker på min mobil. Advarsel på advarsel når man går ind på Facebook og på mængder af andre sider, så til sidst får man tendens til bare at klikke “accepter” eller lignende. Og måske udløser det også en hovedrystende accept af, at nu vil mobilen sgu også have endnu en NemID-nøgle.
    Forhåbentlig er jeg for sortsynet.

    @Jacob Christensen. Godt at du igen drager en manglende fast standard frem. Der burde kun være én måde at bruge NemID på, og så skidt være med at man vil differentiere sig fra konkurrenterne. Nu øger man blot risikoen via denne differentiering.

  11. Af Dorte Toft

    -

    @ alle. Der er også indløbet en del gode kommentarer på det forrige blogindlæg, så tjek dem eventuelt.
    http://bizzen.blogs.business.dk/2012/02/21/danske-bank-faren-er-vaek-men-sikkerhed-for-nemid-skaerpes

  12. Af Carsten Niemann

    -

    Det undrer mig hvordan hackeren kunne vide hvilket nemid nr han skulle bede om som det næste, er den algoritme som finder næste nr virkelig så nem at gennemskue. Hvis det er tilfældet så vil jeg mene at nemid har et virkeligt seriøst problem med deres system.

  13. Af Christian Nobel

    -

    @T
    “Så beder man også om, at blive snydt.”

    Nåeh ja, og hvordan forholder du dig så til når DanIDs support siger at man bare skal ignorere en vigtig advarsel, fordi DanID ikke engang kan finde ud af at holde styr på certifikater:

    http://www.version2.dk/artikel/danids-support-se-bort-fra-sikkerhedsadvarsel-44433

  14. Af » Wake up, regering/banker! Hjælp borgerne mod NemID-misbrug - Bizzen – IT & Business

    -

    [...] Hvis ikke folk har på rygraden, at 1-2-3 sådan er det altså altid, vil de heller ikke være på vagt overfor andre mønstre, andre skærmbilleder. Bankers argumentation med “kundevenlighed” er ris til systemets behind, og en af konsekvenserne af den manglende standard har jeg tidligere skrevet om her. [...]

Skriv kommentar

Kun fornavn og efternavn bliver vist i forbindelse med kommentaren. Dog skal alle felter med * (stjerne) udfyldes

Læs vilkår for kommentarer og debat på Berlingske Tidendes websites

RETNINGSLINJER

Berlingske ønsker at sikre, at debatten på b.dk føres i en ordentlig tone, som gør det inspirerende og udfordrende for alle at bidrage og deltage. Vi efterlyser gerne klare, skarpe, holdningsmæssige stærke indlæg med stor bredde og mangfoldighed og kritisk blik på sagen. Men vi accepterer ikke indlæg, som er åbenlyst injurierende, racistiske, personligt nedgørende. Sådanne indlæg vil fremover blive slettet. Det samme gælder indlæg, der ikke er forsynet med fuldt og korrekt navn på afsenderen, men som indeholder forkortede navne, opdigtede eller falske navne.

Vi opfordrer samtidig alle debattører til at gøre redaktionen opmærksom på indlæg, som ikke overholder disse retningslinjer.

Redaktionen

Yderligere info