Så let kan hackere omgå NemID og tømme din netbank

Et plugin til 495 dollar gør det muligt at angribe en netbank direkte fra brugerens egen PC.

Foto: Jonas Vandall Ørtvig
Lyt til artiklen

Vil du lytte videre?

Få et Digital Plus-abonnement og lyt videre med det samme.

Skift abonnement

Med Digital Plus kan du lytte til artikler. Du får adgang med det samme.

It-kriminelle skal blot betale 495 dollars for et plugin til en populær trojaner som eksempelvis Citadel, og så kan de omgå én af de sikkerhedsforanstaltninger, som blandt andet bruges i den danske login-løsning NemID. Det skriver Version2.

»Hvis du køber VNC-plugin'et, så kan du få fuld kontrol over brugerens desktop og interagere med hans netbank fra hans egen pc,« fortalte sikkerhedsekspert Uri Rivner fra sikkerhedsfirmaet Biocatch i en demonstration af et moderne netbankangreb på sikkerhedskonferencen RSA Conference Europe 2012.

I forvejen skal en nystartet it-kriminel blot betale 2.399 dollars for grundpakken til Citadel-trojaneren og de tilhørende værktøjer, som gør det muligt at udføre et angreb mod eksempelvis de fleste danske netbanker.

Selve trojaneren kan spredes via drive-by-downloads, hvor brugeren blot skal besøge et inficeret websted for selv at blive inficeret gennem sikkerhedshuller i browseren, Flash eller Java. Den proces kan endda være selvforstærkende, for ofte finder de kriminelle, at der er FTP-adgang fra en inficeret pc til en webserver, som derefter kan udnyttes til at inficere endnu en hjemmeside.

Det specielle ved VNC-plugin'et er, at det gør det muligt at udføre et man-in-the-browser-angreb fra brugerens egen pc. Det vil sige, at det fra bankens side vil se ud som om, alle transaktioner i netbanken sker fra brugerens pc.

Det undergraver én af de sikkerhedsforanstaltninger, som ellers skulle hjælpe med efterforskningen af misbrug af den danske NemID-løsning.

NemID benytter sig af en Java-applet, som Version2 tidligere har vist indeholder programfiler, der var skjult som umiddelbart harmløse GIF-billedfiler. Programfilerne bliver brugt til at lave en særlig checksum ud fra hardwaren i brugerens pc.

Nets DanID, der står bag NemID-løsningen, har ikke villet afsløre, præcis hvad oplysningerne bruges til, ud over at det skal hjælpe med at identificere, hvor fra en transaktion er blevet udført.

Version2 har tidligere dokumenteret, hvordan det er muligt at omgå to-faktorsikkerheden i NemID ved at udføre et såkaldt man-in-the-middle-angreb, hvor en hacker narrer brugeren til at forsøge at logge på sin netbank.

Hackeren opsnapper loginoplysningerne og viser brugeren en falsk udgave af bankens hjemmeside.

»Jeg får en besked om, at banken er ved at tjekke sine sikkerhedsindstillinger, og det kan tage lidt længere end normalt at logge på,« forklarer Uri Rivner.

I virkeligheden er hackeren i færd med at logge ind på netbanken med brugerens egne oplysninger. I det scenarie, Version2 skitserede, brugte hackeren en anden pc til angrebet, men med et plugin som det til Citadel, kan det gøres fra brugerens egen pc, uden brugeren opdager det.

»Banker, der forlader sig på at kunne genkende en bestemt enhed, står over for en ny trussel med denne type angreb,« siger Uri Rivner.

Brugeren kan snydes til at udlevere flere koder fra sin kodegenerator eller fra NemID-kortet, eller hackeren kan give brugeren en fejlmeddelelse om, at bankens hjemmeside er nede, når brugeren har udleveret sin kode.

På den måde køber hackeren sig også tid, før brugeren selv opdager, at der er flyttet penge fra kontoen.

Denne type angreb er imidlertid afhængig af, at hackeren kan ændre den hjemmeside, som brugeren får vist i browseren. Det er i dag forholdsvis trivielt for de fleste netbanker, men det er muligt at højne sikkerheden.

»En god løsning er at bruge randomization og kryptere hele netbanken. Svindlerne er afhængige af at bruge ting, der er konstante, så hvis man kan lægge noget tilfældighed ind bag kulisserne, kan man forhindre dem i at ændre siderne,« siger sikkerhedsekspert Uri Fleyder fra RSA.

Deltag i debatten på Version2