Hackere, phishere og andre it-kriminelle har haft et godt år i de danske netbanker.
For efter to år med få netbank-indbrud og lave beløb har de it-kriminelle igen fået fingrene seriøst ned i danskernes digitale kontanter.
I 2012 lykkedes det således cyber-forbryderne at stikke af med i alt godt seks millioner kroner fra danske konti.
I 2011 lød tabet på i alt 160.000 kroner.
Der er således sket en stigning i det totale stjålne beløb på 3.939 procent.
Derfor den store stigning
De mange tabte millioner bliver meldt til bankernes brancheforening Finansrådet.
Hos Finansrådet fortæller juridisk konsulent Henriette Rolskov, at vi i 2010 og 2011 havde meget lave tabstal som følge af indførelsen af NemID og en målrettet indsats efter navngivne it-bander og deres servere.
Men den effekt ser ud til at være fuset ud nu, hvor tabstallene er tilbage på samme niveau som før indførelsen af NemID i 2010.
"Selvfølgelig er det en bekymrende udvikling, og det skyldes uden tvivl, at de it-kriminelle bliver mere og mere professionelle hele tiden. Vi har dog stor fokus på netbankernes sikkerhed," fortæller Henriette Rolskov til Computerworld.
Fiskere og sociale ingeniører
Henriette Rolskov forklarer, at phishing og social engineering er de to mest markante former for brohoveder til indbruddene, inden angriberne for alvor går efter de danske kontanter.
I disse to discipliner handler det indledningsvist om at hive så mange informationer som eksempelvis NemID-brugernavne og -kodeord ud af intetanende danskere via mails og på sociale netværk.
Derefter går indbruddene i gang med såkaldte realtids-phishing-angreb.
Med brugernavn og kodeord i hånden skal de it-kriminelle nemlig fortsat gå ind og opsnappe NemID-papkortets koder i realtid, mens danskerne sidder foran computeren og logger på netbanken.
Og at sidde mellem bankkunden og banksystemet og opsnappe oplysninger er de lyssky eksistenser åbenbart blevet bedre til efter to relativt sikre år.
"Vi er sårbare overfor realtids-man-in-the-middle-angreb med vores nuværende (NemID, red.) løsning, og derfor er det vigtigt, at brugerne holder øje med mærkelige situationer, hvor de flere gange bliver bedt om kodeord. Men det kræver også mange ressourcer for de kriminelle at udvælge deres mål og lykkes med at komme ind i banken," lyder det fra Henriette Rolskov.
Hun understreger samtidigt, at der blandt de stjålne seks millioner kroner også er penge fra danske erhvervsbanker, hvor der i mange tilfælde køres med separate login-løsninger, som ikke har noget med NemID at gøre.
Derfor er det gået så galt
Udover en øget brug af værktøjer som phishing og social engineering til manipulation af bankkunderne skyldes stigningen i både antallet af succesfulde netindbrud og de stjålne beløb også, at Danmark blevet et yndet hacker-mål.
"Vi ved, at der er nogle grupper, som har Danmark under luppen," siger Henriette Rolskov.
Hun ønsker dog ikke at kommentere specifikt på, hvor disse grupper befinder sig, og hvordan de arbejder.
Hun forklarer samtidigt, at vi er sluppet ret billigt herhjemme.
Lave tabstal i Danmark
"Danmark har relativt lave tabstal sammenlignet med andre EU-lande. Eksempelvis har nogle af vores nabolande tab på tocifret millionbeløb i euro," fortæller Henriette Rolsko.
Hun vil heller ikke på dette område være særlig specifik angående navngivningen af landene med de store tab.
Hun fortæller i stedet, at der foregår et internationalt samarbejde med at få indkredset specifikke hackergrupper og deres værktøjer.
"Bankerne har sammen med Finansrådet løbende møder omkring det nuværende trusselsbillede, men vi kommer desværre nok aldrig på nul med hensyn til net-indbrud, for der findes desværre ingen 100 procent sikre netbankløsninger," siger Henriette Rolskov.
Hun tilføjer samtidigt, at truslerne næppe forsvinder. Tværtimod kan vi godt belave os på at se mere til forsøg på indbrud i netbanken.
"Vi mener fortsat, at vi har en god sikkerhed i bankerne. Med ting som social engineering, hvor du som bruger giver dit kodeord væk, så bliver al teknisk sikkerhed dog fuldstændig kortsluttet," lyder det fra den juridiske konsulent i Finansrådet.
Du taber ikke noget
Hvis uheldet skulle være ude, og din konto er blevet bestjålet, så står du som almindelig bankkunde ganske godt stillet i Danmark.
For efter en anmeldelse til banken, underskrivning af en tro-og-love-erklæring og en politianmeldelse, så vil mange opleve, at de reelt ikke mister noget.
"Banken dækker som udgangspunkt privates tab, mens tab i virksomheder ikke bliver dækket. For erhvervskunderne henvises der til at tegne en netbanksforsikring" forklarer Henriette Rolskov.
Hun oplyser, at for privatkunder kan der komme en selvrisiko på omkring 1.200 kroner i spil, hvis kundens NemID er blevet misbrugt af en anden. Den selvrisiko er dog reelt aldrig kommet i spil, fortæller Henriette Rolskov.
Hun ønsker derimod ikke at oplyse, hvor stor fordelingen er mellem privat- og erhvervskunder, når det kommer til de godt seks millioner kroner, som er blevet stjålet fra de danske banker i 2012.
I alt er der blevet hugget godt 25 millioner kroner fra danske netbanker i de seneste syv år.
Læs også:
Sådan begynder ni ud af ti hackerangreb.
Store danske firmaer ramt af phishing-svindlere.
Netbank-kup hos Danske Bank ramte virksomheder.
Sådan sprængte hackere NemID med smart trojaner.
Danske Bank efter NemId-indbrud: Intet er sikkert.
Sådan kan NemID lukke af for netbank-tyvene.
NemID: En god teknologi med dumme brugere
NemID-brugere hos Sydbank ramt af net-tyveri
