NRK Meny
Normal

Små endringer avslører de datakriminelles nettbankvirus

Stort sett alle norske nettbanker er mål for det koordinerte angrepet som datakriminelle forsøker seg på i disse dager. Små endringer på bankens nettsider kan bety at din datamaskin er infisert.

Virus endrer DnB NORs nettsider - nettbankvirus

Dataviruset gjør små endringer i hvordan bankenes nettsider vises. Ved å legge en større innloggingsknapp en vanlig på DnB NORs nettsider lurer de brukere inn i en innlogging som ser veldig ekte ut, men er falsk.

Foto: DnB NORs nettsider (skjermdump)

I går valgte bankene å gå ut for å advare om datavirus som er laget for å stjele penger fra norske nettbankbrukere. Finansnæringens Fellesorganisasjon kunne fortelle at opp mott 2000 norske PC-er var infisert.

Tore Larsen Orderløkken

Tore Orderløkken, som er leder for NorSIS (Norsk senter for informasjonssikring), sier at PC-brukere uten virusbeskyttelse er spesielt utsatt.

Foto: Ida Hjerkinn

Selv om mange datamaskiner har viruset er det hittil ikke gjort så mange forsøk på å stjele penger fra norske nettbanker. Bare ti forsøk var registrert av bankene i går. Så vidt de kunne avdekke hadde bare to av dem lyktes.

Les også: Advarer mot angrep mot nettbank-kontoer

Likevel er det snakk om et stort og målrettet angrep mot norske nettbankbrukere.

– Stort sett alle norske nettbanker ligger inne i dette skriptet, kan Tore Orderløkken leder hos Norsk senter for informasjonssikring NorSIS fortelle om dataprogrammet som de kriminelle har laget.

Programmet kalles SpyEye, og er et slags datavirus som sprer seg ved ulike metoder til PC-er med operativsystemet Windows rundt om i hele verden. Viruset er et av mange av typen trojaner som kommer seg inn på maskinen for så å stjele informasjon.

Det spesielle nå er at noen har skrevet en egen modul helt spesifikt rettet mot norske nettbanker.

Viruset er laget slik at det endrer visningen lokalt på din maskin for bare deler av bankens nettside for å lure deg som nettbankbruker.

Sparebank1 - falsk innlogging nettbankvirus

For infiserte PC-er vil Sparebank1s nettbank få flere felter i første innloggingsvindu. Rådet fra bankene er å holde seg unna nettbanken hvis noe er litt annerledes enn vanlig, for da kan datamaskinen ha viruset.

Foto: Sparebank1 (skjermdump)

Endrer bankens nettsider for å stjele koder

Hvis du sitter på en PC som er infisert og f.eks. besøker nettsidene til landets største bank DnB NOR eller Sparebank1-kjeden vil viruset endre visningen av siden for å kunne stjele all informasjonen de kriminelle trenger for å stjele penger.

I nettleseren står fortsatt bankens adresse i adressefeltet, og siden ser tilsynelatende helt vanlig ut.

Forskjellen er at skaperne av viruset og den spesielle modulen rettet mot norske bankkunder har gjort små endringer som fort bare kan virke som justeringer i innloggingsprosedyren fra bankens side.

Nettbankbrukerne lures med grafiske elementer som bankens logo og bruk av riktige skrifttyper til å tro at justeringene hører til bankens side, men i stedet er det endringer gjort av viruset og de kriminelle.

Endringene brukes for å få nettbankbrukere til å gi fra seg innloggingsdetaljer som fødselsnummer, brukerid, passord og engangskoder. Med denne informasjonen kan de datakriminelle gjennomføre overføringer av penger fra brukerens konto.

Kommer seg forbi sikkerhetssystemer

Vi er alle blitt vant til kodekalkulatorer og passord for å komme oss inn i nettbanken. Rådet har også vært å se etter om vi er på en sikker side merket med hengelås og adresse som begynner med https.

Målet med disse sikkerhetsforanstaltningene er å øke barrierene, og gjøre det vanskelig for kriminelle eller andre uønskede gjester å kunne komme seg inn i systemene.

Alle disse sikkerhetssystemene bryter derimot de datakriminelle nå.

Ved å spesiallage ondsinnet programvare rettet mot norske bankkunder kan de kriminelle komme seg over sikkerhetsbarrierene. Disse nye spesiallagede virusene rettet mot norske bankkunder virker å få falske innlogginger til å se ut som de hører til bankenes ekte sider med sikker https-adresse.

Nordea - nettbankvirus, venteskjerm

Et annet tegn på at maskinen er infisert av viruset er beskjeder i innloggingsprosessen om å vente lengre enn vanlig for sikkerhetssjekker eller andre prosesser.

Foto: Nordea (skjermdump)

Dermed klarer de å lure kunder og få tilgang til nettbanken til enkeltkunder i bankene, og kan gjennomføre pengeoverføringer. Selv om de får tilgang jobber bankene med å både stoppe ulovlige innlogginger og hindre overførsler satt i verk av datakriminelle.

Stine Neverdal FNH

Stine Neverdal i Finansnæringens Fellesorganisasjon (FNO) sier bankene jobber på mange fronter i kampen mot de datakriminelle.

Foto: FNH

– Det settes nå inn ulike sikkerhets- og mottiltak for å stoppe denne kriminaliteten, og det er bankene selv som har avdekket virksomheten, sa Stine Neverdal, senior kommunikasjonsrådgiver i Finansnæringens Fellesorganisasjon (FNO) til NRK i går.

Hun ville ikke utdype hvilke tiltak som settes inn for å stanse virusangrepene, men oppfordrer publikum til å være nøye med virusoppdateringer på maskinene sine.

Les også: Slik beskytter du deg mot nettbank-viruset

Virus selges som gjør det selv-pakke

Viruset som sprer seg blant norske PC-brukere nå kommer fra utviklere som selger sine produkter til kriminelle over hele verden.

Det danske selskapet CSIS beskriver trojaneren SpyEye som et så kalt DIY crimeware kit, eller på norsk gjør det selv-pakke for datakriminelle.

For rundt 500 dollar kan kriminelle kjøpe en grunnpakke med viruset klart for spredning slik at de kan ta over så mange PC-er som mulig.

– Hackerne som før skulle vise seg fram er nå blitt utviklere som lager verktøy for en industri av datakriminelle. Verktøyene selger de til andre kriminelle og tjener penger på det, sier Tore Orderløkken ved NorSIS som kan fortelle at tidligere erfaringer fra blant annet Danmark viser at disse datakrim-utviklerne i stor grad holder til i Øst-Europa.

I tillegg til grunnpakken fra utviklerne er koden til viruset åpen for de som kjøper, og de kan dermed gjøre tilpasninger for å gjennomføre sine angrep.

Det er mest sannsynlig en slik tilpasning noen datakriminelle nå har gjort slik at varianten av viruset som nå spres har funksjoner spesielt rettet mot norske nettbanker.

Sjekk om du er infisert: Verktøy på Nordeas nettsider

SpyEye-viruset er foreløpig bare påvist på Windows og ikke på Mac eller Linux. Det dukker stadig opp nye varianter av viruset og det kan derfor være vanskelig å kjempe mot, men danske CSIS har sammen med Nordea laget et enkelt lite program som skal sjekke om en maskin er infisert.

Se også noen av bankenes egne sider om dataangrepet:

DnB NOR

Sparebank1

Nordea

Laster innhold, vennligst vent..
Laster innhold, vennligst vent..

SISTE NYTT

Siste meldinger