I går valgte bankene å gå ut for å advare om datavirus som er laget for å stjele penger fra norske nettbankbrukere. Finansnæringens Fellesorganisasjon kunne fortelle at opp mott 2000 norske PC-er var infisert.
Tore Orderløkken, som er leder for NorSIS (Norsk senter for informasjonssikring), sier at PC-brukere uten virusbeskyttelse er spesielt utsatt.
Foto: Ida HjerkinnSelv om mange datamaskiner har viruset er det hittil ikke gjort så mange forsøk på å stjele penger fra norske nettbanker. Bare ti forsøk var registrert av bankene i går. Så vidt de kunne avdekke hadde bare to av dem lyktes.
Les også:
Likevel er det snakk om et stort og målrettet angrep mot norske nettbankbrukere.
– Stort sett alle norske nettbanker ligger inne i dette skriptet, kan Tore Orderløkken leder hos Norsk senter for informasjonssikring NorSIS fortelle om dataprogrammet som de kriminelle har laget.
Programmet kalles SpyEye, og er et slags datavirus som sprer seg ved ulike metoder til PC-er med operativsystemet Windows rundt om i hele verden. Viruset er et av mange av typen trojaner som kommer seg inn på maskinen for så å stjele informasjon.
Det spesielle nå er at noen har skrevet en egen modul helt spesifikt rettet mot norske nettbanker.
Viruset er laget slik at det endrer visningen lokalt på din maskin for bare deler av bankens nettside for å lure deg som nettbankbruker.
For infiserte PC-er vil Sparebank1s nettbank få flere felter i første innloggingsvindu. Rådet fra bankene er å holde seg unna nettbanken hvis noe er litt annerledes enn vanlig, for da kan datamaskinen ha viruset.
Foto: Sparebank1 (skjermdump)Endrer bankens nettsider for å stjele koder
Hvis du sitter på en PC som er infisert og f.eks. besøker nettsidene til landets største bank DnB NOR eller Sparebank1-kjeden vil viruset endre visningen av siden for å kunne stjele all informasjonen de kriminelle trenger for å stjele penger.
I nettleseren står fortsatt bankens adresse i adressefeltet, og siden ser tilsynelatende helt vanlig ut.
Forskjellen er at skaperne av viruset og den spesielle modulen rettet mot norske bankkunder har gjort små endringer som fort bare kan virke som justeringer i innloggingsprosedyren fra bankens side.
Nettbankbrukerne lures med grafiske elementer som bankens logo og bruk av riktige skrifttyper til å tro at justeringene hører til bankens side, men i stedet er det endringer gjort av viruset og de kriminelle.
Endringene brukes for å få nettbankbrukere til å gi fra seg innloggingsdetaljer som fødselsnummer, brukerid, passord og engangskoder. Med denne informasjonen kan de datakriminelle gjennomføre overføringer av penger fra brukerens konto.
Kommer seg forbi sikkerhetssystemer
Vi er alle blitt vant til kodekalkulatorer og passord for å komme oss inn i nettbanken. Rådet har også vært å se etter om vi er på en sikker side merket med hengelås og adresse som begynner med https.
Målet med disse sikkerhetsforanstaltningene er å øke barrierene, og gjøre det vanskelig for kriminelle eller andre uønskede gjester å kunne komme seg inn i systemene.
Alle disse sikkerhetssystemene bryter derimot de datakriminelle nå.
Ved å spesiallage ondsinnet programvare rettet mot norske bankkunder kan de kriminelle komme seg over sikkerhetsbarrierene. Disse nye spesiallagede virusene rettet mot norske bankkunder virker å få falske innlogginger til å se ut som de hører til bankenes ekte sider med sikker https-adresse.
Et annet tegn på at maskinen er infisert av viruset er beskjeder i innloggingsprosessen om å vente lengre enn vanlig for sikkerhetssjekker eller andre prosesser.
Foto: Nordea (skjermdump)Dermed klarer de å lure kunder og få tilgang til nettbanken til enkeltkunder i bankene, og kan gjennomføre pengeoverføringer. Selv om de får tilgang jobber bankene med å både stoppe ulovlige innlogginger og hindre overførsler satt i verk av datakriminelle.
Stine Neverdal i Finansnæringens Fellesorganisasjon (FNO) sier bankene jobber på mange fronter i kampen mot de datakriminelle.
Foto: FNH– Det settes nå inn ulike sikkerhets- og mottiltak for å stoppe denne kriminaliteten, og det er bankene selv som har avdekket virksomheten, sa Stine Neverdal, senior kommunikasjonsrådgiver i Finansnæringens Fellesorganisasjon (FNO) til NRK i går.
Hun ville ikke utdype hvilke tiltak som settes inn for å stanse virusangrepene, men oppfordrer publikum til å være nøye med virusoppdateringer på maskinene sine.
Les også:
Virus selges som gjør det selv-pakke
Viruset som sprer seg blant norske PC-brukere nå kommer fra utviklere som selger sine produkter til kriminelle over hele verden.
Det danske selskapet CSIS beskriver trojaneren SpyEye som et så kalt DIY crimeware kit, eller på norsk gjør det selv-pakke for datakriminelle.
For rundt 500 dollar kan kriminelle kjøpe en grunnpakke med viruset klart for spredning slik at de kan ta over så mange PC-er som mulig.
– Hackerne som før skulle vise seg fram er nå blitt utviklere som lager verktøy for en industri av datakriminelle. Verktøyene selger de til andre kriminelle og tjener penger på det, sier Tore Orderløkken ved NorSIS som kan fortelle at tidligere erfaringer fra blant annet Danmark viser at disse datakrim-utviklerne i stor grad holder til i Øst-Europa.
I tillegg til grunnpakken fra utviklerne er koden til viruset åpen for de som kjøper, og de kan dermed gjøre tilpasninger for å gjennomføre sine angrep.
Det er mest sannsynlig en slik tilpasning noen datakriminelle nå har gjort slik at varianten av viruset som nå spres har funksjoner spesielt rettet mot norske nettbanker.
Sjekk om du er infisert: Verktøy på Nordeas nettsider
SpyEye-viruset er foreløpig bare påvist på Windows og ikke på Mac eller Linux. Det dukker stadig opp nye varianter av viruset og det kan derfor være vanskelig å kjempe mot, men danske CSIS har sammen med Nordea laget et enkelt lite program som skal sjekke om en maskin er infisert.
Se også noen av bankenes egne sider om dataangrepet:
