Del : SMS
Berlingske Business

Så let kan hackere omgå NemID og tømme din netbank

a
Foto:

Et plugin til 495 dollar gør det muligt at angribe en netbank direkte fra brugerens egen PC.

Artiklen fortsætter under annoncen
It-kriminelle skal blot betale 495 dollars for et plugin til en populær trojaner som eksempelvis Citadel, og så kan de omgå én af de sikkerhedsforanstaltninger, som blandt andet bruges i den danske login-løsning NemID. Det skriver Version2.

»Hvis du køber VNC-plugin'et, så kan du få fuld kontrol over brugerens desktop og interagere med hans netbank fra hans egen pc,« fortalte sikkerhedsekspert Uri Rivner fra sikkerhedsfirmaet Biocatch i en demonstration af et moderne netbankangreb på sikkerhedskonferencen RSA Conference Europe 2012.

I forvejen skal en nystartet it-kriminel blot betale 2.399 dollars for grundpakken til Citadel-trojaneren og de tilhørende værktøjer, som gør det muligt at udføre et angreb mod eksempelvis de fleste danske netbanker.

Selve trojaneren kan spredes via drive-by-downloads, hvor brugeren blot skal besøge et inficeret websted for selv at blive inficeret gennem sikkerhedshuller i browseren, Flash eller Java. Den proces kan endda være selvforstærkende, for ofte finder de kriminelle, at der er FTP-adgang fra en inficeret pc til en webserver, som derefter kan udnyttes til at inficere endnu en hjemmeside.

Det specielle ved VNC-plugin'et er, at det gør det muligt at udføre et man-in-the-browser-angreb fra brugerens egen pc. Det vil sige, at det fra bankens side vil se ud som om, alle transaktioner i netbanken sker fra brugerens pc.

Det undergraver én af de sikkerhedsforanstaltninger, som ellers skulle hjælpe med efterforskningen af misbrug af den danske NemID-løsning.

NemID benytter sig af en Java-applet, som Version2 tidligere har vist indeholder programfiler, der var skjult som umiddelbart harmløse GIF-billedfiler. Programfilerne bliver brugt til at lave en særlig checksum ud fra hardwaren i brugerens pc.

Nets DanID, der står bag NemID-løsningen, har ikke villet afsløre, præcis hvad oplysningerne bruges til, ud over at det skal hjælpe med at identificere, hvor fra en transaktion er blevet udført.

Version2 har tidligere dokumenteret, hvordan det er muligt at omgå to-faktorsikkerheden i NemID ved at udføre et såkaldt man-in-the-middle-angreb, hvor en hacker narrer brugeren til at forsøge at logge på sin netbank.

Hackeren opsnapper loginoplysningerne og viser brugeren en falsk udgave af bankens hjemmeside.

»Jeg får en besked om, at banken er ved at tjekke sine sikkerhedsindstillinger, og det kan tage lidt længere end normalt at logge på,« forklarer Uri Rivner.

I virkeligheden er hackeren i færd med at logge ind på netbanken med brugerens egne oplysninger. I det scenarie, Version2 skitserede, brugte hackeren en anden pc til angrebet, men med et plugin som det til Citadel, kan det gøres fra brugerens egen pc, uden brugeren opdager det.

»Banker, der forlader sig på at kunne genkende en bestemt enhed, står over for en ny trussel med denne type angreb,« siger Uri Rivner.

Brugeren kan snydes til at udlevere flere koder fra sin kodegenerator eller fra NemID-kortet, eller hackeren kan give brugeren en fejlmeddelelse om, at bankens hjemmeside er nede, når brugeren har udleveret sin kode.

På den måde køber hackeren sig også tid, før brugeren selv opdager, at der er flyttet penge fra kontoen.

Denne type angreb er imidlertid afhængig af, at hackeren kan ændre den hjemmeside, som brugeren får vist i browseren. Det er i dag forholdsvis trivielt for de fleste netbanker, men det er muligt at højne sikkerheden.

»En god løsning er at bruge randomization og kryptere hele netbanken. Svindlerne er afhængige af at bruge ting, der er konstante, så hvis man kan lægge noget tilfældighed ind bag kulisserne, kan man forhindre dem i at ændre siderne,« siger sikkerhedsekspert Uri Fleyder fra RSA.

Deltag i debatten på Version2

Business blogs Alle blogs

Forsiden lige nu

Til forsiden

Business anbefaler

Gratis breaking news på mobilen

Send BUSINESS BREAK til 1929 og modtag en SMS med en bekræftelse. Det er gratis - tilmelding koster kun almindelig takst. Du kan til hver en tid afmelde tjenesten igen.

Afmeld: sms BUSINESS BREAK STOP til 1929

Tilmeld Afmeld

Business Nyhedsbrev

Få breaking news og det bedste overblik fra Business.dk morgen og eftermiddag - eller modtag hver uge et prioriteret overblik over investorstof, privatøkonomi, ejendomme, digtal, karriere, media og vækst.

Se alle nyhedsbreve

Business i billeder

Se alle

BrandView Hvad er Brandview?

BrandView er en service fra Berlingske Media, hvor virksomheder har mulighed for at kommunikere deres specialviden direkte til brugere og læsere af Berlingske.
Dette kan gøres på print i Berlingske og Berlingske Business, eller online på b.dk og business.dk.

Ønsker du at vide mere om BrandView, bedes du kontakte content marketing afdelingen Public Impact via e-mail: info@publicimpact.dk.

På trods af store udfordringer med infrastrukturen i mange af de store byer har et partnerskab mellem det offentlige og private længe været en sovende kæmpe.Hør Sampensions direktør Hasse Jørgensen fo...

Business Events Se alle

Business.dk anvender cookies til at huske dine indstillinger, statistik og at målrette annoncer. Denne information deles med tredjepart. Læs mere