Artikel top billede

Sådan kan NemID lukke af for netbank-tyvene

De it-kriminelle bliver hele tiden dygtigere til at bryde bankernes sikkerhedsværn og har NemID som et klart angrebs-mål. Sikkerhedsfolk giver deres bud på det bedste forsvar.

Læs også:

Så mange netbanktyve slap forbi NemID i 2011

Sådan fik danske bankkunder lænset deres konti

Selvom tal fra Finansrådet viser, at der i de første ni måneder af 2011 kun har været otte udbytterige netbankindbrud, mener hverken sikkerhedsspecialist Peter Kruse fra CSIS Group eller FortConsult-direktør Ulf Munkedal, at danskerne skal føle sig alt for trygge. 

"Det er langt fra sikkert, at vi kan holde så pæne tal i fremtiden. De it-kriminelle finder hele tiden nye måder at komme ind på," siger Peter Kruse fra CSIS. 

Også Ulf Munkedal mener, at vi skal passe på med at føle os for sikre. 

Løbende våbenkapløb

"Det er et løbende våbenkapløb. Angriberne bliver hele tiden dygtigere til at komme igennem, så vi bliver nødt til hele tiden at opruste vores sikkerhedsløsninger," siger Ulf Munkedal, der er direktør i FortConsult. 

Peter Kruse sammenligner våbenkapløbet med en mur. 

"Vi bygger en mur, som, vi vurderer, er høj nok til at holde tyvene ude. Men det er den kun, indtil de bygger en stige, der er lidt højere," siger han til Computerworld. 

Og skurkene er allerede i gang. Mens de tidligere typisk hackede sig direkte ind i bankernes onlinesystemer, fortæller Ulf Munkedal, at den oftest anvendte metode i dag er en helt anden. 

"Det nye er man in the middle. Det vil sige, at netbanktyven stiller sig et sted, hvor han kan aflure netbankbrugernes koder eller snyde dem til selv at udlevere dem," forklarer Ulf Munkedal. 

Det er da også denne metode, der blev anvendt ved de otte netbankindbrud her i 2011. 

Få en nærmere beskrivelse af den anvendte fremgangsmåde her.

Vi ved, at tyvene bliver dygtigere

Da først de it-kriminelle lærte at bryde ind i de danske netbanker i 2006, gik det stærkt. De blev enten hurtigt flere eller dygtigere. 

I hvert fald steg antallet og udbyttet af netbankindbrud eksplosivt frem til slutningen af år 2009. Her blev de forgående adgangsløsninger til netbankerne erstattet af NemID, og indbrudstyvene stod nu over for en ny udfordring.

I 2010 var der da også kun seks succesfulde netbankindbrud. 

Men allerede før 2011 er afsluttet, har tyvene overgået sidste års tal. Ved udgangen af september 2011 havde otte netbankkunder mistet penge til en it-kriminel. 

Så selvom NemID tilsyneladende har haft stor effekt, og tallene fra 2011 er lave i forhold til tiden før NemID, tror sikkerhedsrådgiverne ikke, at NemID holder stand for evigt. 

"Det er ligesom Egon Olsen, der i Olsenbanden går efter Franz Jäger-pengeskabe. Dem kender han, og han er inde på bare få sekunder. Er det noget, tyvene kender, bryder de nemt ind i det, mens nye sikkerhedsforanstaltninger gør det sværere og mere tidskrævende," forklarer Ulf Munkedal. 

Sådan kan vi undgå sikkerhedsbrølere

Konklusionen fra Peter Kruse og Ulf Munkedal er enstemmig. På sigt skal de nuværende sikkerhedstiltag opgraderes. 

Med Peter Kruses terminologi skal muren bygges højere, før tyvenes stige rager op over toppen. Dog er det alligevel ikke helt så simpelt. 

"Sikkerheden er stor nu, og der er en god balance mellem brugervenlighed og sikkerhedsniveau. Hvornår truslen er så stor, at vi skal bygge muren højere, skal altid afvejes i forhold til, hvor meget mere besværligt det bliver for brugerne," fortæller Peter Kruse. 

Pressechefen fra Nets, der er NemID's skaber, er ikke uenig med de to sikkerhedsrådgivere.

Søren Winge fortæller på vegne af Nets, at virksomheden selvfølgelig hele tiden holder øje med sikkerhedstruslerne og er klar med sikkerhedsmæssige tiltag, når det bliver aktuelt.

"Sikkerhed er ikke en absolut størrelse," siger Søren Winge.

Her er Nets' plan

Han er i lighed med Peter Kruse og Ulf Munkedal ikke i tvivl om, at truslen mod NemID vil vokse i fremtiden, men lige nu er han og Nets godt tilfredse med papkortet og de dertilhørende koder.

"Mere sikkerhed koster på brugervenligheden, men når vi ser eksempler på, at svindlerne i større stil finder det interessant at misbruge NemID, vil vi selvfølgelig være klar til at lave de sikkerhedsmæssige ændringer, der skal til. Men som det er nu, ser vi ikke nogen anledning til at lave ændringer."

Selvom NemID's bagmænd ikke planlægger tekniske ændringer i sikkerhedssystemet, arbejder de stadig på at øge sikkerheden omkring brugen af NemID til netbank og lignende.

"De eksempler, vi har set indtil nu, er såkaldt phishing, hvor en stribe mails kommer ud til forskellige kunder, som i nogle tilfælde har afgivet deres fortrolige NemID-data," forklarer Søren Winge.

Han oplyser til Computerworld, at Nets i øjeblikket arbejder på at opdrage banker, kreditkortfirmaer og offentlige myndigheder til aldrig at udbede sig kunders oplysninger på mail.

På den måde håber selskabet, at danskerne vil blive klar over, at de aldrig vil blive udbedt NemID-oplysninger via mails.

Derved skulle svindlerne gerne få sværere ved at franarre danskerne deres login-oplysninger, eftersom anbefalingen i så fald er klar.

"Lad vær med at give dine NemID-oplysninger på mail til nogen som helst. Det vil de aldrig bede om. Det skal du ikke gøre," siger Søren Winge.

Bagmændene følger altså udviklingen i antallet af angreb på NemID-beskyttede ydelser på nettet og lover opgraderinger, så snart det bliver relevant.

Hvilke opgraderinger, der er tale om, vil Søren Winge dog ikke løfte sløret for. Han mener ikke, der er nogen grund til at give svindlerne tid til at forberede sig på kommende sikkerhedstiltag.

Læs også:

Så mange netbanktyve slap forbi NemID i 2011

Sådan fik danske bankkunder lænset deres konti




IT-JOB
Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Højer og Lauritzen ApS
Distributør af pc- og printertilbehør.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
PCI og cloud-sikkerhed: Strategi til beskyttelse af betalingsdata

Er din organisation klar til de nye PCI DSS 4.0-krav? Deltag i vores event og få indsigt i, hvordan du navigerer i compliance-udfordringerne i en cloud-drevet verden.

16. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, Aarhus: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

21. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, København: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

23. januar 2025 | Læs mere