Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 25. juni 2004.
I kølvandet på landets første indbrud i en netbank giver Nordea kunderne mulighed for at vælge engangskoder.
Kriminalitet
Nordea, der sidste uge måtte erkende indbrud i en netbank, vil gøre hackernes liv mere besværligt ved at tilbyde kunderne engangskoder som password. Vælger bankkunden at bruge den løsning frem for den traditionelle, vil det ikke være muligt at opsnappe et brugbart password til netbankkontoen.
- Folk, der rejser meget og bruger deres netbank på rejsen, har også efterlyst engangskoder, forklarer Jens Bekke, informationschef i Nordea. Den store nordiske bank tilbyder allerede engangskoder - koder, der skifter for hver gang, man går i netbanken - i Sverige og Finland.
Herhjemme bliver der ikke tale om tvungen brug, oplyser Jens Bekke. Kunderne kan vælge at fastholde den traditionelle løsning med et permanent password. Og det får ingen indflydelse på selvrisikoen.
- Lige som med Dankortet dækker vi, hvis hændelsen er sket uforvarende, siger Jens Bekke.
Afventede opklaring
Netbanktyveriet skete den 13. maj, men blev først offentliggjort i sidste uge, da den politimæssige opklaring var fuldt ud på plads. Kunden opdagede tyveriet af 25.000 kroner den 14. maj og kontaktede banken, der sporede pengeoverførslen til en 20-årig hackers egen konto i Nordea i Nakskov. Få timer efter var han anholdt af politiet i Nakskov.
Tyveriet var muligt, fordi det var lykkedes for hackeren at få installeret software til "aflytning" af tastetryk på Nordea-kundens pc. Kundens søn havde ladet sig friste af hackerens snak i et chatrum om "sjove programmer" og en lænke til hackerens hjemmeside. Da sønnen foretog et download fra hjemmesiden, var den ledsaget af kode i form en såkaldt trojansk hest, der åbner en bagdør til pc'en. Hackerne kunne derefter hente de opsnappede koder via bagdøren.
At advarselslamperne ikke lyste hos Nordea selv skyldes dels, at der var dækning på kontoen, dels beløbets relativt ringe størrelse.
- Vi har rutiner, der ser på afvigende kontoforløb og transaktioner. Det er vi også forpligtede til som følge af loven om hvidvaskning af penge, oplyser chefjurist Niels Bolt Jørgensen, Nordea. De konkrete rutiner offentliggøres ikke.
Banken har efterfølgende i breve til alle netbankkunder anmodet dem om at få en firewall installeret som værn, hvis den ikke allerede er på plads.
Bokse:
Netbanktyveri en enlig svale
Netbanktyveriet den 13. maj er tilsyneladende det første og eneste netbanktyveri, der er sket i Danmark. Hos Rigspolitiets såkaldte it-politi, der assisterer de lokale politikredse, betragtes netbanktyveriet også som en enlig svale.
Umiddelbart efter tyveriet blev offentliggjort kunne it-sikkerhedseksperten, Ulf Munkedal, administrerende direktør for Fort Consult, ellers fortælle, at han havde kendskab til flere sager. Det viste sig efterfølgende ikke at være tilfældet.
Da Rigspolitiets it-politi betragtede Nordea-tyveriet som en principiel sag, havde efterforskeren, Tom Henriksen, anmodet Fort Consult om hvad han kalder en "second opinion". Kun de datamæssige spor blev videregivet. Ikke nærmere information om bank og kunde. Da Nordea-sagen nogen tid efter blev kendt, formodede Ulf Munkedahl, at der var tale om flere sager.
- Det er vigtigt at få stoppet rygtet om flere sager, siger Tom Henriksen.
- Og der er ingen grund til panik, tilføjer han. toft
Tyveri af digital signatur
En hacker kan stjæle en digital signatur på samme måde, som for nylig blev brugt til at lænse en Nordea-bankkonto for 25.000 kroner. Sikkerhedsniveauet i de digitale signaturer er det samme som netbankernes.
Den digitale signatur, der har samme juridiske gyldighed som en underskrift på papir, kan stjæles, uanset om den er udstedt af banken eller TDC, der står for den offentlige digitale signatur i Danmark.
Opklaringsarbejdet bliver imidlertid vanskeligere. Hvor netbanktyven bliver nødt til at opgive det kontonummer, hvor pengene skal overføres til, er der ved tyveri af signatur ingen kontonumre i brug.
- Det kan i princippet ske for et vilkårligt adgangssystem, som fungerer på denne måde. Derfor kan det også ske for Net-ID, siger Johnny Bennedsen, direktør i PBS, som leverer Net-ID-løsningen til bankerne. sandal