– Fortsetter så lenge de tjener penger på aktiviteten

– Trojanske angrep vil fortsette i Norge med ujevne mellomrom. Så lenge kriminelle tjener penger vil de forsøke lure seg inn for å misbruke folks bankkontoer, sier datavirusekspert.

Virus endrer DnB NORs nettsider - nettbankvirus

Trojaneren SpyEye gjør små endringer i hvordan bankenes nettsider vises. Ved å legge en større innloggingsknapp en vanlig på DnB NORs nettsider lurer de brukere inn i en innlogging som ser veldig ekte ut, men er falsk.

Foto: DnB NORs nettsider (skjermdump)

Sist uke gikk bankene ut og advarte om angrep av en trojaner laget av datakriminelle for å stjele penger fra norske nettbankbrukere. Finansnæringens Fellesorganisasjon fortalte at rundt 2000 norske PC-er var infisert med trojaneren SpyEye .

LES: Slik beskytter du deg mot nettbank-viruset

LES: Små endringer avslører de datakriminelles nettbankvirus

Store utfordringer i fremtiden

Både SpyEye og andre trojanere kommer til å være en stor utfordring for banker og bankkunder i årene som kommer.

Snorre Fagerland

Snorre Fagerland ved Norman Proactive ITsecur.

Foto: Privat

– Det er et skiftende bilde der de som holder på med slike trojanere angriper PC-er i landene der de enklest kan komme seg inn i nettbanker og tjene penger. Dersom de ikke tjener nok penger vil de forflytte seg til andre geografiske områder, sier Snorre Fagerland, senior virusanalytiker i Norman Proativ IT-sikkerhet til NRK.no.

LES: Frykter langt flere målretta nettbankangrep

Han forklarer at i tiden som er gått siden det forrige trojaner-angrepet i Norge for fem år siden har bankene skjerpet sikkerheten, dermed har utviklerne av trojanere flyttet aktiviteten til andre deler av verden.

– Slike angrep går i bølger. Nå er Norge under angrep igjen, og vi vil helt sikkert oppleve det med ujevne mellomrom i tiden som kommer. Det er ikke noe som tyder på at dette angrepet vil bli langvarig og hardt akkurat nå. Det er ganske få banker som har dårlig sikkerhet. Men så lenge de kriminelle tjener på det økonomisk, vil det fortsette, sier Snorre Fagerland.

De fleste nettbankene advarer på sine nettsider mot viktigheten av å ha oppdatert virusbeskyttelse og såkalt anti-spyware på sine PC-er, og oppfordrer kundene til å ta kontakt dersom de ser noe unormalt med innloggingssidene til sine kontoer.

– Vi er et lite land

– Årsaken til at vi ikke har hatt flere angrep av denne typen i Norge vet vi ikke. De fleste land har hatt mange slike trojanske angrep, også i Norden. Foruten angrepet i Norge i 2006 er dette ganske nytt her. Det kan ha å gjøre med at vi er et lite land med et lite språk, kanskje er våre løsninger vanskelig å bryte seg inn i, eller kanskje vi bare har vært heldige, sier Knut Kvalheim, daglig leder i Bankenes Standardiseringskontor (BSK).

Det var bankene selv som oppdaget trojaneraktiviteten på kundenes PC-er og de påfølgende innbruddene i nettbanker, og de har klart å avsløre de fleste nettbankinnbruddene før noen transaksjon er gjennomført.

– Bankene demonstrerer med det at de har god kontroll på sikkerheten i nettbankene, og at løsningene de bruker er tilfredsstillende. Men det er selvsagt viktig med oppfølging og oppdatering av sikkerhetssystemer fremover, sier Kvalheim.

Virusanalytiker Snorre Fagerland er enig i at bankene har gode interne systemer for å oppdage ulovlig aktivitet. Men han tror ikke bankene vil snakke så høyt om hva de egentlig gjør.

LES: Professor Kjell Jørgen Hole mener banksikkerheten er for dårlig.

Sparebank1 - falsk innlogging nettbankvirus

For infiserte PC-er vil Sparebank1s nettbank få flere felter i første innloggingsvindu. Rådet fra bankene er å holde seg unna nettbanken hvis noe er litt annerledes enn vanlig, for da kan datamaskinen ha viruset.

Foto: Sparebank1 (skjermdump)

– De blir stadig flinkere

Virusanalytikeren mener at noe av det spesielle med SpyEye er at angrepene skjer på PC-ene til publikum og er vanskelig å oppdage.

– Det er ikke lett å se og forstå at man har blitt angrepet. Når man logger seg på nettbanken så ser man et innloggingsbilde som ligner på det man er vant til å se, men det finurlige er at man ved å bruke det gir fra seg både brukernavn, passord og engangspassord til kriminelle, uten egentlig å merke det, sier Snorre Fagerland.

Fagerland antar at sikkerhetsprogrammene, både for PC-brukerne og i nettbankene, vil utvikle seg og kunne hindre tilgang for denne trojaneren.

– Men verktøyene i trojaner-programmene blir også stadig bedre, og programmererne kan relativt enkelt endre på trojaneren slik et den likevel lurer seg inn på PC-er som har oppdaterte anti-virus og anti-spyware-programmer. Vi vil nok se lignende trojanere i lang tid fremover, sier han.

Fagerland sier SpyEye-programvaren kan kjøpes for omlag 7000 kroner, og må programmeres noe om til å virke på norske forhold.

Han tror det er én gruppe i Norge som står bak de trojanske angrepene nå.

– Vi prøver å samarbeide med bankene om å identifisere hvem som er angrepet, og om hva bankene gjør for å hindre at ulovlige transaksjoner gjennomføres. Dessuten prøver vi å informere folk om hva de må gjøre for å hindre kriminelle tilgang til kontoene deres, sier Fagerland.

Fire vellykkede angrep

Antallet PC-er som er infisert med trojaneren SpyEye fortsetter å øke, men i en lavere takt enn i forrige uke og det er fortsatt få nettbank-kontoer som er misbrukt.

– Det er nå fire nettbank-kontoer der trojaneren har klart å gjennomføre betalinger. Omtrent 20 transaksjoner er forsøkt gjennomført, men bankene har klart å stanse disse. Vi har ikke sett noe mønster i at det er bestemte banker som er mer utsatt enn andre, sier Knut Kvalheim i BSK.

Den versjonen av trojaneren SpyEye som nå spres til norske PC-er skal være utviklet spesielt for norske nettbanker, og kan gi uvedkommende adgang til nettbank-kontoer ved å lure brukeren til en falsk innloggingsside som gir passord og engangskoder til kriminelle.

De får dermed få muligheten til å logge seg inn og utføre transaksjoner, før kunden selv rekker å logge seg inn og oppdage transaksjonene som er utført.

LES: – Banksikkerheten er fortsatt for dårlig

SpyEye er foreløpig bare påvist på Windows og ikke på Mac eller Linux.

Nyhetstips 03030

Er du der det skjer eller vet noe vi burde vite? Ta kontakt på 915 03030 eller 03030@nrk.no