Del : SMS
Berlingske Business

NemID-trojaner stjæler også alle kodeord

Nemid_Business
Foto:

Selv om du ikke har fået stjålet penge fra din bankkonto, så er det alligevel en god idé at tjekke, om din PC er inficeret.

Artiklen fortsætter under annoncen

Det var en usædvanligt udspekuleret trojansk bagdør, som blev brugt til at stjæle i alt 700.000 kroner fra otte kunder i Danske Bank tidligere på måneden. Det fortæller sikkerhedskonsulent Peter Kruse fra sikkerhedsfirmaet CSIS, som har analyseret det ondsindede program, skriver Version2.

»Vi har pillet koden fra hinanden stump for stump. De har gjort sig særlig umage for at ramme NemID og har lagt ekstra meget tid for at kunne lave det her realtids-phishing,« siger Peter Kruse til Version2.

Angrebet foregik ved, at brugerne først blev inficeret med en trojansk bagdør, som brugerne blev eksponeret for via 'en legitim kanal'.

Peter Kruse vil på nuværende tidspunkt ikke specificere nærmere, hvilken legitim kanal der er tale om, men CSIS har tidligere oplyst, at angrebet skete via en legitim hjemmeside. Der er altså ikke som i angrebet mod Nordea-kunder i august sidste år tale om et phishing-forsøg, hvor brugerne modtog en e-mail med et link til en falsk Nordea-side.

Peter Kruse oplyser, at trojaneren forsøgte at udnytte tre forskellige sårbarheder, alt efter hvilken browser, styresystem og hvilke plugins brugeren anvendte. Ved hjælp af sårbarhederne kunne den trojanske bagdør installeres, uden brugeren opdagede noget.

Bagmændene havde også gjort sig ekstra anstrengelser for at ramme de danske bankkunder. De fleste trojanske bagdøre, som spredes på internettet, er varianter fabrikeret ved hjælp af et sæt standard-byggeklodser, hvor man med få klik kan lave sig en ny variant af en kendt trojaner. Men altså ikke denne her:

»De har udviklet koden fra bunden. De må mene, at det er en god nok investering,« siger Peter Kruse.

Samtidig er trojaneren, som CSIS har døbt Banktexeasy, udelukkende blevet distribueret til Danmark og kunne dermed krybe under radaren for antivirussoftwaren, fordi bagmændene brugte helt ny programkode og servere, som ikke i forvejen var kendt af sikkerhedsfirmaerne.

Da først trojaneren lå på brugerens PC, så ventede programmet på, at brugeren loggede på med NemID, hvorefter bagmændene kunne opsnappe brugernavn og adgangskode. Mens brugeren var logget på, fik han vist et popup-vindue, hvor han blev bedt om at angive en ekstra NemID-nøgle.

I baggrunden havde bagmændene nemlig fra deres server forbundet til Danske Banks netbank, hvor de kunne logge på med det samme brugernavn og adgangskode. Da banken spurgte efter en NemID-nøgle, sendte bagmændene nøglenummeret videre til det popup-vindue, som dukkede op på brugerens PC.

Hvis brugeren indtastede den tilhørende nøgle fra sit papkort, blev det sendt videre til bagmændene, som kunne oplyse det til Danske Banks netbank og dermed fuldføre login'et.




Det var ingen nem opgave at analysere trojaneren, da CSIS først havde fået et eksemplar ind i laboratoriet, fordi programmet indeholdt en række krumspring, som var beregnet til at undgå debugging-værktøjer og virtuelle maskiner, som bruges til at analysere et ukendt programs opførsel.

Det vides endnu ikke, hvorvidt flere brugere end de otte Danske Bank-kunder er blevet inficeret med Banktexeasy. Men der kan være mange flere, som har fået trojaneren, men hvor bagmændene ikke har haft mulighed for at udnytte bagdøren til at stjæle penge.

Peter Kruse oplyser også, at selv om angrebet ser ud til at være overstået i denne omgang, så er det en god idé at kontrollere, om man skulle være inficeret.

»Den høster også data fra PCen. Så hvis man er inficeret, så bør man skifte brugernavn og adgangskode til de tjenester, man bruger,« siger Peter Kruse.

Der er dog ikke længere fare for, at trojaneren kan gøre mere skade på nuværende tidspunkt, fordi truslen ifølge CSIS er blevet afmonteret. Men der kan altså være sket skade, inden trojaneren blev opdaget og uskadeliggjort.

Deltag i debatten på Version2

0 Kommentarer

Business blogs Alle blogs

Forsiden lige nu

Til forsiden

Business anbefaler

Gratis breaking news på mobilen

Send BUSINESS BREAK til 1929 og modtag en SMS med en bekræftelse. Det er gratis - tilmelding koster kun almindelig takst. Du kan til hver en tid afmelde tjenesten igen.

Afmeld: sms BUSINESS BREAK STOP til 1929

Tilmeld Afmeld

Business Nyhedsbrev

Få breaking news og det bedste overblik fra Business.dk morgen og eftermiddag - eller modtag hver uge et prioriteret overblik over investorstof, privatøkonomi, ejendomme, digtal, karriere, media og vækst.

Se alle nyhedsbreve

Business i billeder

Se alle

BrandView Hvad er Brandview?

BrandView er en service fra Berlingske Media, hvor virksomheder har mulighed for at kommunikere deres specialviden direkte til brugere og læsere af Berlingske.
Dette kan gøres på print i Berlingske og Berlingske Business, eller online på b.dk og business.dk.

Ønsker du at vide mere om BrandView, bedes du kontakte content marketing afdelingen Public Impact via e-mail: info@publicimpact.dk.

<p>Henrik Olejasz Larsen</p>

Hør investeringsdirektør Henrik Olejasz fortælle hvor galt det i virkeligheden står til med Italien, og om vi er på vej mod en ny EU-krise efter nej'et ved folkeafstemningen søndag:

Business Events Se alle

Business.dk anvender cookies til at huske dine indstillinger, statistik og at målrette annoncer. Denne information deles med tredjepart. Læs mere