NemId-virus muterer i jagten på nye netbank-ofre

Der kommer hele tiden nye varianter af den trojanske bagdør, som bliver brugt til at franarre NemID-brugere deres login-oplysninger og stjæle penge fra deres bankkonti.

Foto: Jonas Vandall Ørtvig
Lyt til artiklen

Vil du lytte videre?

Få et Digital Plus-abonnement og lyt videre med det samme.

Skift abonnement

Med Digital Plus kan du lytte til artikler. Du får adgang med det samme.

Danske netbbankkunder, som bruger NemID, er under konstant angreb fra de kriminelle, som står bag en familie af trojanske bagdøre, som nu flere gange er blevet brugt til at stjæle penge fra danskeres bankkonti.

Siden det første angreb med trojaneren Banktexeasy er trojaneren kommet i nye varianter, og det ser ud til at fortsætte.

»Der kommer nye varianter hele tiden,« siger juridisk konsulent Jesper Goul fra Finansrådet til Version2.

Finansrådet indsamler kvartalsvis oplysninger fra bankerne om svindel, og de seneste angreb er endnu ikke opgjort, men Jesper Goul vurderer, at der er tale om færre ofre end første gang.

Når der løbende kommer nye varianter, betyder det også, at antivirusværktøjerne skal opdateres løbende. Det er hovedsageligt sikkerhedsfirmaet CSIS, som samarbejder med Finansrådet om Banktexeasy, men CSIS distribuerer også oplysningerne om de nye varianter til de øvrige sikkerhedsfirmaer.

CSIS og Finansrådet har frigivet et værktøj, der kan spore Banktexeasy, som løbende bliver opdateret.

»Vores råd er, at man prøver at downloade den nyeste version,« siger Jesper Goul.

Derudover vil Finansrådet ikke råde brugerne til at træffe andre forholdsregler, end dem der gælder generelt for brugen af netbankerne.

Bankerne har på deres side en række værktøjer, som kan opdage mistænkelig aktivitet og spore svindel, og bankerne tilpasser i øjeblikket disse værktøjer i forhold til, at trusselsbilledet ændrer sig.

Trojaneren forsøger at lokke en NemID-kode ud af brugeren ved at vise et ekstra popup-vindue, mens brugeren er logget på med NemID. De første forsøg var forholdsvis klodsede, hvor brugeren eksempelvis kunne få vist et nyt loginvindue fra en anden bank, men det er blevet rettet i de nyeste varianter.

»Brugerne skal være opmærksomme, hvis noget ser underligt ud,« siger Jesper Goul.

Når man er logget ind med NemID på sin netbank, vil man ikke blive bedt om flere koder.

Trojaneren bliver brugt til et såkaldt man-in-the-middle-angreb, hvor trojaneren opsnapper brugernavn og adgangskode og sender det til bagmændene. Når brugeren logger på med NemID, kan bagmændene starte endnu en login-session.

Den kræver naturligvis også en engangskode, og det er den, bagmændene forsøger at logge ud af brugeren ved at åbne et popup-vindue på brugerens pc.

Pengene fra de hackede konti bliver typisk overført til udenlandske konti, som tilhører mere eller mindre uvidende mellemmænd, også kaldet muldyr. Bankernes antisvindelsystemer vil normalt kunne stoppe sådanne overførsler, før de bliver gennemført, men i enkelte tilfælde slipper de gennem nåleøjet.

Deltag i debatten

I de sager bliver muldyret bedt om at føre pengene tilbage eller risikere en politianmeldelse.