Artikel top billede

Arkivfoto: Der er endnu ikke fuldt overblik over, hvor mange kunder og hvilke pengeinstitutter, der er berørt. Sikkerhedsfirma er på jagt efter beviser. (Foto: Torben Klint)

Netbank-kunder i fare via dansk avis-annonce

Stribevis af avislæsere kan være udsat for netbank- og korttyverier efter at have besøgt jysk netavis med inficeret banner. Sikkerhedsfirma datahøster kontrolservere på jagt efter beviser.

En inficeret bannerreklame leveret gennem Midtjyllands Avis har med høj sandsynlighed betydet tyverier af penge fra danske netbanker og misbrug af danske betalingskort.  
 
Det siger Peter Kruse fra sikkerhedsfirmaet CSIS, som netop er ved at infiltrere to russiske command and contol-servere, som blev benyttet til at indfange og kontrollere Windows-maskiner, som er blevet inficeret via et såkaldt drive-by angreb hos Midtjyllands Avis. 
 
Her leverede en inficeret reklame på avisens hjemmeside i slutningen af november ondsindet kode til avisens læsere over flere dage. Den skadelige kode er ifølge Peter Kruse en avanceret informationstyv i Carberp-familien som blev plantet ved at udnytte sårbarheder i blandt andet programmerne Adobe Reader og Java. 
 
Høster data på kontrolservere
Ifølge Peter Kruse har firmaet i lang tid håbet på at få fingre i de centrale kontrolservere, fordi i al fald den ene har været benyttet til en del forsøg på netbank-tyverier i Danmark begået af personerne bag Carberp.
 
Command and control-servere benyttes til at styre og kontrollere botnets, og det er også herfra inficerede klientmaskiner eller zombier henter og afleverer information.
 
"Derfor har vi været meget interesserede i, hvor mange maskiner de egentlig har inficeret," siger Peter Kruse. 
 
Peter Kruse fortæller, at det tirsdag formiddag lykkedes at få adgang til serverne, og at firmaet nu arbejder på at indsamle beviser på de danske netbank-tyverier ved at høste data. 
  
Dårlig kode giver adgang
Men før man har adgang til de centrale servere, kræver det en hel del analyse at finde en åben sprække i sikkerheden, forklarer Peter Kruse.
 
"Vi udnytter design-fejl som de (bagmændene, red.) begår. En af metoderne er at inficere en maskine med vilje og kigge på, hvilken trafik der så går igennem den maskine. Vi analyserer trafikken for at se, om der skulle være svagheder i den måde, designet mellem maskinen og botnettet er blevet lavet, siger Peter Kruse. 
 
Selvom fremgangsmåden lyder offensiv, mener Peter Kruse ikke, at der er tale om, at CSIS tiltvinger sig adgang til serverne.  
 
"Man må sige, at vi nok er inde i en fase, hvor man er nødt til at kigge på det på en anden måde, end man har gjort førhen. Vi kommer til at bruge mange flere honeypots (honningkrukker, red.) end tidligere," siger Peter Kruse.

høj koncentration af inficerede maskiner

Honningkrukkerne skal i form af computere, der ser ud til at tilhøre en del af et bestemt netværk, opdage og til dels modvirke forsøg på misbrug af it-systemer.  
 
Ifølge Peter Kruse analyserer man i detaljer datatransmissionen frem og tilbage imellem en inficeret maskine og kontrolserverne. 
 
"Og hvis man kan finde en fejl i måden, hvorpå serveren modtager data fra zombien på, så forsøger man at anvende det til egen fordel uden at bryde ind i serveren," siger Peter Kruse. 
 
Vasker penge hvide med julegaver
Han fortæller, at firmaet har konstateret, at bagmændene i øjeblikket handler flittigt ind til jul fra serverne. 
 
"For at hvidvaske pengene køber de varer i stedet for at bruge mulddyr og bankoverførsler," siger Peter Kruse, der fortæller, at indkøbene primært omhandler dyr elektronik.  
 
Han fortæller, at bannerangrebet mod Midtjyllands Avis har givet en høj koncentration af inficerede maskiner, som har kommunikeret med de russiske command and control-servere.
 
Ofrene er dermed koncentreret geografisk, men de er kunder i en lang række forskellige pengeinstitutter, fortæller Peter Kruse. 

Lille svind på netsalg

Hos Nets fortæller pressechef Søren Winge, at firmaet endnu ikke har opgjort tabstallene fra sidste halvår af 2010, men at misbruget af betalingskort i forbindelse med fjernsalg udgjorde 6,7 millioner kroner. Dermed udgjorde misbruget 0,05 procent af omsætningen på 14 milliarder kroner i første halvår. 
  
Hos bankernes interesseorganisation, Finansrådet, er opgørelsen over tab som følge af netbank-kriminalitet i det sidste kvartal af 2010 endnu ikke færdig.  




IT-JOB
Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Højer og Lauritzen ApS
Distributør af pc- og printertilbehør.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Fremtidens digitale kraftværk: Tag styringen med dit ERP-system

I dag ligger moderne ERP-platforme i skyen og opdateres adskillige gange årligt. Samtidig får man nærmest pr. automatik adgang til en omfattende portefølje af integrationer, add-ons, 3. partsmoduler, BI og avancerede funktioner til AI/ML-understøttelse af forretningsprocesser. På denne dag går vi derfor i dybden med, hvad det betyder for din virksomhed. Uanset om I har migreret til en cloudbaseret platform eller planlægger at gøre det indenfor en overskuelig fremtid.

21. november 2024 | Læs mere


Sådan bruger du aktivt AI til at styrke din cybersikkerhedsindsats

Kan AI styrke din cybersikkerhed og forebygge f.eks. ransomwareangreb? Ja – og endda særdeles effektivt! På denne konference kan du blive klogere på, hvordan du i praksis anvender AI til at styrke dit sikkerhedsniveau – og gøre cyberbeskyttelsen mere fleksibel.

27. november 2024 | Læs mere


Styrk din virksomhed med relevant, pålidelig og ansvarlig AI integration med SAP

Kom og få indsigt i, hvordan du bruger AI til at transformere og effektivisere dine arbejdsgange. Vi kigger nærmere på AI-assistenten Joule, der vil revolutionere måden, brugerne interagere med SAP’s forretningssystemer. Og så får du konkret viden om, hvordan du kommer i gang med at bruge AI til at booste din forretningsudvikling.

03. december 2024 | Læs mere