I Danmark har vi oplevet en stigning i antallet af netbank-indbrud og i de beløb, som de it-kriminelle stikker af sted med.
Sikkerhedsekspert Peter Kruse fra sikkerhedsselskabet CSIS Security Group forklarer til Computerworld, at netbank-tyverierne i mange tilfælde skyldes menneskelige uforsigtigheder snarere end tekniske problemer med eksempelvis vores NemID-loginløsning.
"Vi kan godt glemme alt om 100 procent sikkerhed. For ligegyldigt, hvilket sikkerhedssystem du stiller med, sidder det svageste led foran skærmen i form af brugeren," siger Peter Kruse.
Han illustrerer sin pointe ved at fortælle, hvordan it-kriminelle angriber de danske bankkonti i form af realtids-phishing af folks NemID-oplysninger, når vi skal til at logge på netbanken.
Historien handler i bund og grund om manglende software-opdateringer, lemfældig færden på internettet, naiv tro på autoriteter og manglende kritisk sans, når overraskende pop up-vinduer dukker op og beder om oplysninger, som en rigtig bank aldrig kunne finde på at spørge efter i en kommunikation på nettet.
Den gamle software skaber huller
Peter Kruse forklarer, at selv med en spritny computer på skrivebordet foran dig, kan du ikke vide dig sikker mod forsøg på netbanksindbrud.
Det skyldes, at mange pc'er kommer med præinstalleret software, som måske er lagt på maskinen et halvt år, før nogen køber og bruger computeren.
"Der kan ligge gamle versioner af præinstallerede tredjepartsprogrammer som Adobe Reader, Java og Quicktime, som alle har haft sårbarheder, der kan bruges til et netangreb. Det kan der naturligvis også på de computere, som folk har brugt i længere tid," forklarer Peter Kruse.
Såfremt en bruger med forældet - og dermed også sårbart - tredjeparts programmel uforvarende havner på en kompromitteret eller direkte fjendtlig hjemmeside, kan ulappede sårbarheder i eksempelvis Adobe Reader, Java eller Quicktime blive udnyttet som brohoved i et netbanks-angreb ved, at de it-kriminelle kan lægge en trojaner på din computer.
Trojaneren vil typisk lægge sig til at slumre i baggrunden på din maskine og i alt stilhed opsnappe oplysninger som eksempelvis brugernavn og password til Facebook og eventuelt adgang til FTP-servere, som mange anvender til at vedligeholde indholdet på deres websteder.
Denne type netbank-kunder går hackerne efter
Via både Facebook og på FTP-serverne vil de it-kriminelle så forsøge at plante skadelige scripts enten som links på Facebook eller indlejre det skadelige script direkte i HTML- eller PHP-kode via FTP-adgangen, hvorefter trojaneren kan blive spredt i dit firmas netværk eller downloadet af folk, der besøger din hjemmeside.
En trojaner på din computer kan også bare "nøjes" med at aflure brugernavne og password til netbanken, hvorefter disse oplysninger bliver sendt til de it-kriminelles command and control-server.
"Her skal man altså notere sig, at der i dag findes kommercielle løsninger, der helt automatisk kan installere trojanere på fremmede computere, suge brugeroplysninger til sig, logge på FTP-servere og sende fortrolige brugerdata tilbage til command and control-serveren," forklarer Peter Kruse.
Han understreger, at det med de automatiserede løsninger er blevet skræmmende nemt at blive it-kriminel på et sort marked i kraftig vækst.
Går efter folk med store beløb
Når du først har lukket trojaneren inden for på din maskine igennem sårbarheder i uopdateret software, er der altså seriøs fare på færde med hensyn til at holde dine hemmelige login-oplysninger for dig selv.
For udover at suge data til og sende dette hjem til de it-kriminelle, kan trojaneren også holde øje med din færden i internet-browsere, ligesom flere af de sofistikerede trojanere også dræner systemet for dokumenter og et utal af logins til private netværk og tjenester samt populære online services.
Og det er nu, at udvælgelsen af ofre til de reelle netbanksindbrud finder sted.
Peter Kruse forklarer, at med udgangspunkt i data, som trojaneren høster og sender tilbage, kan de it-kriminelle nemlig også holde øje med ens besøg på diverse hjemmesider, hvor sites på https-protokollen (Hypertext Transfer Protocol Secure - en krypteret udgave af http) er ekstra interessante.
De cyberkriminelles interesse for https skyldes, at det ofte er her, at alle de fede og tophemmelige login-oplysninger som brugernavne og passwords gemmer sig.
Disse oplysninger kan systematisk opsnappes og sendes tilbage til hackernes command og control-servere enten i klar tekst eller i krypteret form, som de it-kriminelle dog kan dekryptere og læse.
Sådan narrer de it-kriminelle NemID-nøglerne ud af folk
"Derudover får du som bruger også tildelt en unik bot-id-kode, som består af en lang, vilkårligt genereret tekststreng, der refererer direkte tilbage til din maskine hos de it-kriminelle," forklarer Peter Kruse.
Så når du logger på din netbank, der typisk vil befinde sig på et tilsyneladende sikkert https-site, vil den pågældende trojaner kunne tage skærmdumps af dine saldooplysninger, der bliver sendt tilbage til it-forbrydernes command og control-server ledsaget af det unikke bot-id.
"Når de it-kriminelle modtager disse mange kontooplysninger kan de i ro og mag udvælge deres ofre. Det vil typisk være folk med mange penge på bankkontoen," siger Peter Kruse.
It-forbryderne smøger ærmerne op
Efter trojaneren har udført sit automatiserede arbejde med at indsamle og sende data fra intetanende danskeres computere, er det for alvor nu, at de it-kriminelle smøger ærmerne op og skal i gang med det manuelle arbejde - det reelle indbrud i netbanken.
Peter Kruse fortæller, at det typisk sker ved, at den it-kriminelle via den unikke bot-id-kode holder øje med, hvornår en given bruger logger på sin netbank med et brugernavn og password, der for længst er blevet opsnappet og sendt i hænderne på hackeren via trojaneren.
Udfordringen for den it-kriminelle er nu, hvordan engangskodene på NemID-papkortet kan aflures og bruges til at logge på ofrets netbank med.
For at knække den nød kaster hackeren sig ud i social engineering med eksempelvis en popup-chat, hvor en tilsyneladende bankansat forsøger at massere brugerens kritiske sans væk med smalltalk og efterfølgende sikkerhedsspørgmål, så engangskoden bliver afleveret i de helt forkerte hænder i løbet af chatten.
"Hvis den it-kriminelle kan få fat i engangsnøglen, logger han simultant på sammen med brugeren, og han kan derefter styre pengene lige derhen, hvor han ønsker det," forklarer Peter Kruse.
Typisk vil pengene blive sendt til konti hos såkaldte muldyr.
Muldyrene er mere eller mindre intetanende om netforbrydelserne, da de ofte er almindelige mennesker, der tror, at de har et helt legitimt job med at modtage store pengesummer og sende dem videre via pengeoverførelsesservices som eksempelvis Western Union, hvor pengestrømmene ikke kan spores så let som ved en bankoverførsel.
På denne måde har den it-kriminelle fra en kompromitteret hjemmeside plantet en trojaner via sårbarheder i tredjepartssoftware, fået tilsendt brugerdata og kontooversigter, hvorefter det rigtige netbanks-indbrud foregår via en chat eller anden kommunikation, mens brugeren er ved at logge på sin netbank.
Læs også: