Hopp til innhold

– Banksikkerheten er fortsatt for dårlig

– Et angrep som dette er ikke overraskende, sier professor Kjell Jørgen Hole ved Universitetet i Bergen om de siste dagers angrep mot norske bankkunders PC-er. Han mener sikkerheten til nettbankene fortsatt ikke er god nok.

Sparebank1 - falsk innlogging nettbankvirus

For infiserte PC-er vil Sparebank1s nettbank få flere felter i første innloggingsvindu. Rådet fra bankene er å holde seg unna nettbanken hvis noe er litt annerledes enn vanlig, for da kan datamaskinen ha viruset.

Foto: Sparebank1 (skjermdump)

– Når de store bankene går såpass bredt ut som nå og advarer mot trojaneren SpyEye som kan gi kriminelle tilgang til nettbank-kontoer, tyder det på at sikkerheten ikke er god nok, sier Hole.

Trojaneren SpyEye har i det siste infisert flere tusen norske pc-er, og gitt kriminelle tilgang til nettbankkontoer. Hittil er minst tre transaksjoner gjennomført, ifølge Knut Kvalheim i Bankenes standardiseringskontor, mens flere titalls har blitt avverget. Antallet har steget noe i forhold til i går.

LES: Slik beskytter du deg mot nettbank-viruset

LES: Frykter langt flere målretta nettbankangrep

LES: Hva er en trojaner

Ikke tilfeldig angrep

Professor Kjell Jørgen Hole mener det ikke er tilfeldig at et slikt angrep nå skjer i Norge.

– I Norge har vi fått BankID som en nasjonal løsning for innlogging i de aller fleste nettbanker samt en del offentlige nettsider. Dermed kan de som ønsker å få tilgang til folks kontoer på forskjellige nettsider konsentrere seg om én løsning, nemlig BankID, sier Hole.

BankID er en personlig og elektronisk legitimasjon for identifisering og signering på nett.

– BankID som et felles program for innlogging gjør at det er enklere og billigere for de kriminelle å operere i Norge, de trenger ikke å bryte seg inn i mange forskjellige systemer, sier Hole.

Han forteller at de kriminelle går etter det svakeste punktet for å lure seg inn i banken, nemlig folks PC-er.

– Folks PC-er er ikke så vanskelig å bryte seg inn på. Og bankene har ikke kontrollen med folks datamaskiner, legger han til.

Knytter svindelen til BankID

Knut Kvalheim i Bankenes standardiseringskontor hevder denne trojaneren ikke er knyttet direkte til BankID. Men han kan ikke si hvilke innloggingsmetoder som er brukt av svindlerne for å komme seg på kontoene.

– BankID har ikke noe med dette å gjøre. Svindlerne kopierer sidene til bankene og lurer innloggingsdetaljer fra kundene, sier Kvalheim.

Kjell Jørgen Hole er på sin side rimelig sikker på at det er knyttet opp mot BankID.

– Det er over hundre banker som bruker BankID til innlogging, blant dem Norges største bank, DnBNor. Her autentiserer man seg ved bruk av BankID. Jeg er rimelig sikker på at svindelen er knyttet til BankID, sier Hole.

Det er i dag mer enn 2,4 millioner personer med BankID.

– Et angrep som utnytter svakheter i BankID er derfor mer alvorlig enn angrep som bare kan fungere mot en enkelt bank. På BankIDs egne sider kan vi lese om trojaner-aktivitet rettet mot norske PC-er. Denne omtalen antyder også at vi snakker om angrep som klarer å omgå autentiseringen til BankID, sier Hole.

En datamaskin som er infisert med SpyEye vil vise en falsk nettside som er nesten helt identisk med nettsiden til banken når man skriver inn nettadressen. Her blir kundene lurt til å skrive inn brukernavn, passord og eventuelt BankID-kode som svindlere får tak i, og dermed får tilgang til kontoen før kunden kommer seg inn i banken.

– Sikkerhetshull burde være kjent

Hole og forskerkolleger slo alarm om bruk av BankID som en sentral innloggingsløsning allerede i 2008.

– Vi demonstrerte den gang at dette var mulig. Det burde være kjent for nettbankene og de ansvarlige for BankID. Dessuten er lignende misbruk kjent fra utlandet, og man har hatt tid til å forberede slike angrep i Norge. Men de ansvarlige for sikkerheten ligger etter de kriminelle, sier Hole.

– Og de ansvarlige syntes vel det var billigere å drifte og vedlikeholde en felles løsning for innlogging enn mange forskjellige, sier Hole.

Han legger vekt på at det er viktig å ligge i forkant av utviklingen, men at det vil være et spørsmål om kostnader kontra risikovurdering.

LES: Kontoen din kan bli sperra av andre

– Vet ikke hvem som er infisert

– Angrep som dette er sjeldne i Norge, men på grunn av den utstrakte bruken av BankID, får angrepet langt større rekkevidde og går ut over mange flere brukere enn det ville ha gjort uten et slikt felles program, sier Hole.

Fordi det ikke er enkelt å finne ut hvilke PC-er som er infiserte, kan trojaneren derfor i lang tid lure seg inn i folks bankkontoer, mener han.

– Og selv om bankene og virusbeskyttelse vil stanse denne trojaneren er de mulig å lage nye ondsinnede trojanere, og PC-ene og nettbankene vil ikke nødvendigvis være sikret mot nye angrep i fremtiden, sier Hole.

Det er ifølge Hole ingen mekanismer hos nettbankene som plukker opp ondsinnede innlogginger. Dermed må bankene se etter unormal aktivitet eller unormale transaksjoner inne på kundenes kontoer for å avsløre misbruk.

– Råd til kundene om å se etter hengelåssymbol eller om webadressen starter med «https» er gått ut på dato. Dette har programmerere lett klart å kopiere, sier Hole.

SpyEye-viruset er foreløpig bare påvist på Windows og ikke på Mac eller Linux. Det dukker stadig opp nye varianter av viruset og det kan derfor være vanskelig å kjempe mot, men danske CSIS har sammen med Nordea laget et enkelt lite program som skal sjekke om en maskin er infisert.

AKTUELT NÅ