Så nemt er det at hacke en bank

Amerikansk netsikkerhedsekspert forklarer, hvordan han engang sprængte en banks virtuelle sikkerhedsmure - og satte 14 millioner dollar ind på sin konto.

Banker er sårbare over for hackerangreb. Det viser både sagen fra sidste uge og sikkerhedseksperten Nish Bhallas erfaringer. Modelfoto: Iris Fold sammen
Læs mere
Lyt til artiklen

Vil du lytte videre?

Få et Digital Plus-abonnement og lyt videre med det samme.

Skift abonnement

Med Digital Plus kan du lytte til artikler. Du får adgang med det samme.

Det skabte stor opmærksomhed, da det for en uge siden kom frem, at en global gruppe IT-kriminelle havde lænset 26 banker for samlet 45 millioner dollar (255 mio. kr) i det, der givetvis er det største netbaserede tyveri nogensinde.

At det kan lade sig gøre, kommer dog ikke bag på netsikkerhedseksperten Nish Bhalla. I 2010 satte han sig ned foran sin computer og orkestrerede et lignende angreb, der resulterede i, at han stolt kunne gå ned til nærmeste hæveautomat og printe en kvittering ud, der viste, at han på få timer var blevet 14 millioner dollar rigere.

Nu har Nish Bhalla fortalt sin historie til det amerikanske nyhedssite CNN.com.

I modsætning til de personer, der af de amerikanske myndigheder menes at være en del af det storstilede tyveri, der blev offentliggjort i sidste uge, så var Nish Bhalla hyret til at bryde ind i banken, hvis navn han dog ikke afslører.

Bhalla er chef for Security Compass, et firma der netop specialiserer sig i at teste bankers sikkerhedssystemer, og det gjorde da også, at han fik et forspring i forhold til de rigtige IT-kriminelle - han fik nemlig koder til at kunne komme ind i bankens interne system.

Ifølge Bhalla gør det dog ikke den store forskel. Han peger på, at der er et væld af måder at komme ind i de rigtige systemer, hvis man altså er en kriminel, der vil have adgang. Et eksempel er at udgive sig for at være rengøringspersonale og på den måde få adgang til en PC i banken, der kan genstartes med et styresystem på en USB-stick, hvorefter man med lidt snilde kan aflæse brugerdata på harddisken.

At man er inde i bankens lukkede system, er dog ikke ensbetydende med, at man kan komme ind i de centrale systemer. Det kom Bhalla dog i sidste ende ved først at benytte sig af et såkaldt »sniffer« program til at kortlægge bankens opbygning, hvorefter han overbelastede bankens systemer, og så satte sniffer-programmet til at lede efter koder.

I dette tilfælde var det nemt at finde koder, der gav adgang til bankkoncernens centrale systemer. Datatrafikken var simpelthen ikke krypteret, hvilket må siges at være en fatal bommert fra bankens side af. Det betød at Bhalla uden problemer kunne aflæse bankkundernes kontonumre og kodeord.

I stedet for at kaste sig over en enkeltperson valgte Bhalla at oprette en ny konto til sig selv. Det gjorde han uden problemer, da han havde alle de rigtige koder, og så satte han den mængde af penge, der var på kontoen, til at være 14 millioner dollar. Pengene kom ingen steder fra - de blev bare noteret som værende indestående.

Den slags fantasipenge vil naturligvis blive opdaget i en bank - men ikke nødvendigvis med det samme. Nish Bhalla vurderer i hvert fald, at han ville have haft rigelig med tid til efterfølgende fysisk at gå ind i banken, overføre de 14 millioner til en udenlandsk konto, køre i lufthavnen og sige farvel til både USA og tørre lommesmerter.

Det gjorde han dog ikke. I stedet gik han ned til sin lokale hæveautomat og printede en kontooversigt ud, hvor det fremgik, at han var god for 14.021.610 dollar og 5 cent - eller over 81 millioner kroner.

Da bankens topchefer så beviset på, at han havde hacket banken, var de naturligvis rystede.

»Bankens ledelse var ekstremt overrasket,« siger han ifølge CNN og tilføjer: »De så chokerede ud.«

Herefter blev hans konto lukket, og Bhalla kunne modtage sit honorar. Spørger man ham om sidste uges storstilede IT-tyveri, hvor hackerne var kommet ind i bankernes samarbejdspartneres netværker og der fiflede med overtræksgrænser, virker han ikke imponeret.

»De opdaterede bare en database med kreditkortinformation,« siger sikkerhedseksperten ifølge CNN og tilføjer: »Det er ganske simpelt.«