Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 13. maj 2005.
Den danske banksektor stiller større krav om adgangsinformation end de fleste andre landes bankvæsener gør.
Den danske netbankkunde kan glæde sig over, at bankvæsenet valgte at satse på både seler og livrem, da netbankerne kom til verden. At det ikke er nok at logge sig ind med brugernavn og pinkode, udgør i sig selv en beskyttelse mod den nye form for netkriminalitet phishing.
- Vi er i en lidt anden situation end nogle af vore kolleger specielt i USA og England. Vi kræver, at der også skal være installeret et særligt digitalt certifikat - en Net-ID - på pc'en. Alternativt skal brugeren anvende et engangskodeord, siger vicedirektør Peter Schleidt, Danske Bank.
Det batter altså ikke, hvis den kriminelle via en e-mail får lokket bankkunden til at klikke sig ind på et fupwebsted for at "opdatere" sine kontooplysninger. En indbrud i netbanken forudsætter information, som den kriminelle ikke kan få via phishing.
Men den danske storbank har alligevel fået phishing-problemet ind på livet gennem to irske banker, som koncernen har opkøbt.
- De har ikke tilbudt samme sikkerhedsniveau, som vi tilbyder vore kunder i Danmark, Norge og Sverige. Det er en af de ting, der skal på plads i forbindelse med it-integrationen, siger Peter Schleidt.
De irske bankkunder skal levere brugernavn, pinkode samt svaret på et hemmeligt spørgsmål, som kun kunden selv kender, såsom "hvad er min mors pigenavn?". Men alle tre oplysninger vil kunne "fiskes".
At danske netbankkunder ikke kan phishes, er dog ikke ensbetydende med, at kriminelle ikke kan bryde ind i netbanken. Danmarks første og foreløbig eneste indbrud i en netbank skete i sommeren 2004, hvor det var en Nordea-kundes konto, som blev plyndret for 25.000 kroner.
Gerningsmanden blev dog pågrebet, da han forsøgte at hæve pengene, og Nordea tilbyder nu også deres kunder, at de kan få passwords, der kun kan anvendes én gang hver. Dermed vil den kriminelle i værste fald kun evne at stjæle det digitale certifikat og brugernavnet, og det forudsætter tilmed, at bankkunden har undladt at beskytte sin pc med antivirus og firewall.
Også den danske bank tilbyder engangspasswords, der i første gang blev rettet mod folk, der havde behov for at bruge netbanken på farten, samt folk med en Mac. Men alle kan vælge engangskoden, hvis ønsket, oplyser Peter Schleidt.
Billedtekst:
Lænkeløse - Vi sender ikke mails ud, der rummer lænker ind til netbanken. Kunderne ved,
at kommunikationen med netbanken sker i netbank-miljøet, siger vicedirektør Peter Schleidt, Danske Bank.
Boks:
Kreditkort-info kan fiskes
Den godtroende dansker, der lader sig narre af en phishing-mail til at udlevere kreditkortinfo, er alligevel beskyttet.
- Dansk retspraksis siger, at hvis man har afleveret informationerne i god tro, og informationerne misbruges, så holdes man skadesfri, siger Per Hviid, der er udviklingsdirektør i Danske Bank med ansvar for bankens kortprodukter.
Han sammenligner phishing-ofret med de mennesker, der har brugt kortet i en falsk front på benzinstationens betalingsautomat - en front, der kopierer magnetstriben og opsnapper pinkoden. De mennesker blev kompenseret for deres tab.
Udviklingsdirektøren er ikke bekendt med, at bankens kunder har været udsat for phishing-forsøg.
- Og jeg har tjekket hos både teknikere og jurister, tilføjer Per Hviid.
Han ser frem til den dag, hvor brugen af indbyggede chip i kreditkortene er udbredt, da det vil eliminere phishing-delen af netkriminaliteten.
Boks:
Giftigere form for phishing
En mere giftig form for phishing ses i stigende grad. Her springes e-mailen over som madding på krogen. Brugeren, der taster sig korrekt ind på et websted - for eksempel netbanken, ender alligevel på et fupwebsted.
Den diskrete omdirigering foregår, ved at de kriminelle manipulerer med internettets mange "omstillingsborde" - domain name servere (DNS). En DNS oversætter domænenavnet, for eksempel www.visa.com, til tal - til den rette IP-adresse. Bedragerne sørger for en forkert oversættelse.
De mest centrale DNS'er er godt sikret mod den type manipulation, der også kaldes DNS-poisoning - forgiftning. Men for at øge hastigheden og mindske trafikken til det centrale steder, findes der også DNS-kopier, og de er ikke altid tilstrækkeligt sikre.
Boks:
Sådan undgår du phishing
Herhjemme er phishing knap kommet på dagsordenen hos de sikkerhedsorganisationer, der orienterer bredt. Man finder således hverken råd mod at blive snydt hos regeringens Rådet for It-sikkerhed (www.rfits.dk), eller hos sikkerhedsorganisationen DK-Cert (www.cert.dk).
Til gengæld findes der mange engelsprogede websteder med vejledninger. Tjek for eksempel www.antiphishing.org/ consumer_recs.html, som tilhører organisationen The Anti-Phishing Working Group.
En god beskrivelse af et typisk phishing-forsøg finder man hos PayPal - en amerikansk betalingsformidling. Tjek www.paypal.com - klik på "Protect yourself from fraudulent emails" under "What's New".
Her anbefales også, at man tager antiphishing-software i brug. Det fulde udbud af den type sofware kan ses på webstedet www.antiphishing.org. Man er dog i et vist omfang sikret mod phishing, hvis ens mail filtreres af antispam-software.
Boks:
Ordet "phishing"
At "fiske" er udgangspunktet for ordet "phishing". De kriminelle "fisker" efter passwords og finansielle data, og de bruger typisk en link i en e-mail som "krogen", den intetanende mail-modtager skal bide på.
Ordet phishing blev først set på nettet i januar 1996 i en nyhedsgruppe, som hackere stod bag, fortæller organisationen The Anti-Phishing Working Group. Da stjal hackere folks adgangskoder til deres AOL-konti (America Online-internettjenester med e-mails og meget andet).
Årsagen til, at ordet blev "phishing" og ikke "fishing", er, at bogstavet "f" i hackersamfundet ofte erstattes med "ph". Det sker som en gestus over for den oprindelige form for hackeraktivitetet fra starten af 70'erne kaldet "phreaking". Her gjaldt det måder at bryde ind i telefonsystemet, så man kunne foretage langdistanceopkald gratis eller læsse regningen over på andre.
