Slik svindles norske bankkunder

LARVIK/OSLO: Dnb Nor har hatt en hektisk vår når det gjelder målrettede trojanere.

- Trusselbildet endrer seg. I fjor begynte det å røre seg litt i Norge, sier Per Morten Sandstad, teamleader på sikkerhetssiden hos DnB NOR.

Han snakket om temaet på ISFs sikkerhetskonferanse i Larvik forrige uke.

Han forteller at det finnes flere typer nettbanktrojanere, de største er Spyeye og Zeus. Spyeye har den interessante funksjonen innebygd i at den avinstallerer Zeus om Zeus er på maskinen fra før.

Slike trojanere er faktisk hyllevare med et helt eget økosystem med lisenser som blant annet gir pengene tilbake om de ikke er i nærheten av å gi ønsket effekt i skurkenes lommebok.

Slik virker de

Trojanerne bruker såkalt inject-svindel mot nettbankenes brukere. Html-kode injiseres inn i bankenes webserverrespons, og dermed er det lett for brukerne å gå fem på.

Svindlernes teknikere er glupinger. De er gode med Javascript og har dybdekunnskap om den konkrete nettbanken de vil angripe. For de mest avanserte svindlene trengs også en innsider for å teste ut om trojaneren virker, altså en eksisterende kunde av banken med Bankid, konto og full pakke.

For å overføre penger til utlandet går overføringen ofte via såkalte mulldyr, som gjerne får 10 prosent av pengene som overføres. Du har sikkert sett epostene, de hevder du kan tjene X antall tusen euro i måneden på å overføre penger, overføringer som antydes å være legitime selv om de selvfølgelig foregår på den kriminelle arena. Ofte er det i eposten lenket opp til nettsider til bakselskapene, som har proff layout og design i et forsøk på å fremstå som legitim.

Februar

I februar kom det et Spyeye-angrep, skreddersydd mot flere norske nettbanker. For infiserte brukere ble det injisert inn en Logg inn-knapp over feltet der fødselsnummeret vanligvis tastes inn.

Knappen førte til et falsk innloggingsvindu der du ble bedt om brukernavn, passord og engangskode. Så ble du bedt vente”mens sikkerhetsinnstillingene kontrolleres”, før du nok en gang ble bedt om å oppgi kode som trojaneren hadde intensjoner om å bruke til å gjennomføre en overføring med.

- Men denne var enkel å håndtere og forhindre, forklarer Sandstad.

Trojaneren var aktiv på denne måten også i flere andre land, og DnB NOR ble varslet av en annen internasjonal bank. Angivelig ble få norske bankkunder berørt. Media ble også varslet, slik at det var pressedekning om uhumskhetene.

April

I april ble svindelen dratt noen steg videre, også denne gangen med Spyeye. Her var det kun DnB NOR som var målet, Norges største bank med rundt én million kunder.

- Neste runde var mer avansert. Den ventet på at kunden logget inn i banken før det ble gjennomført mellommann-angrep via nettleseren. Derfor behøvde den bare å frarøve brukeren én kode, forteller Sandstad.

I tillegg oppførte trojaneren seg dynamisk ved at den aldri tømte kontoen helt. Den lot det være igjen rundt 6000 kroner, så brukeren ikke skulle merke svindelen så kjapt. Teksten som ba om ekstra kode var også på forholdsvis god norsk, nokså sikkert skrevet av en med god kjennskap til vårt språk, kanskje til og med en nordmann.

- Det var en blanding av sosial manipulering og teknologi. Du var jo allerede inne på nettbanken da du ble bedt om ekstra kode, påpeker Sandstad.

Som eneste bank med kunder under angrep, stod også DnB NOR alene i bekjempelsen. Angrepskoden hadde strenge sjekkrutiner, og trojaneren spredte seg bare i Norge. Det var også konstant endring og oppdateringer i angrepskoden, og angrepet ble ikke mye omtalt i media.

Smellet i mai og kinaputten i juni

I mai var det duket for nok et angrep målrettet mot DnB NORs kunder, denne gangen via Zeus - og selvfølgelig enda mer avansert enn april-angrepet. Her ble ikke brukeropplevelsen endret i det hele tatt, injeksjonskoden var helt lik Dnb Nors nettbanklayout.

- Ingen popu-vinduer, forklarer Sandstad.

Også denne oppførte seg dynamisk, denne gangen hakket mer dynamisk enn april. Selve overføringen av penger ble i loggen for gjennomførte betalinger skjult via injeksjonskode. Saldoen ble også oppdatert. Si du hadde 40.000 kroner, og trojaneren stjal 34.000. For brukeren ville det fortsatt fremstått som om 40.000 kroner var på konto. Om brukeren betalte en regning på 100 kroner til teleselskapet, ville saldo fremstå som 39.000 selv om den i realiteten var på 5900.

Den lurte brukere ved å late som du tastet feil under betaling av en regning. Ikke et utenkelig scenario, ettersom kodebrikken fra Bankid jo tross alt kan endre tallrekke mens du taster inn den som vises på skjermen. Den stjålne koden ble brukt til å overføre penger i det skjulte, mens ”systemet” på tilsynelatende helt vanlig vis fortalte brukeren at feil kode var tastet og ba om ny.

- Det var altså ingen unormal oppførsel for kunden, det fremstod som en helt normal brukeropplevelse, sier Sandstad.

Men hadde kunden logget inn på nettbanken på en pc som ikke var infisert, for eksempel jobb-pcen i stedet for hjemme-pcen, ville reell saldo på eksempelvis 5900 kommet til syne.

Det siste angrepet Sandstad forteller om kom i juni. Det var en ny variant av Spyeye-trojaneren. Samme angrepskode som i april, men modifisert, blant annet angrep den også andre banker. Men ifølge Sandstad voldet den ingen stor skade her til lands. Han understreker at det er kundene som har blitt angrepet, ikke Dnb Nor som sådan.

Farlige annonser

Dnb Nor har like fullt gjort en rekke erfaringer av angrepene i første halvår 2011. Blant annet ser de at brukerne har blitt infisert via annonser på helt vanlige, norske, legitime nettsider. Felles for dem er også at de har kjørt utdatert programvare. Infeksjoner har også kommet via Facebook

DnB NORs utstrakte sikkerhetsarm Incident Response Team var ifølge Sandstad også godt forberedt. Han er ikke veldig konkret i alle detaljene om hvordan banken håndterte angrepet på kundene, men har noen overordnede forklaringer.

- Det gjelder å ha god etterretningsinformasjon, å vite hva som rører seg gjennom overvåkning av nettverk, sier han.

I kulissene er god kommunikasjon med andre banker og et godt samarbeid med Kripos viktig.

Det har vært viktig å få innsyn i trojanerens kode, og kartlegging av omfang og spredningsmetode.

- Man må vite hva hackeren gjør, hva som endres i injeksjonsangrepene også videre.

Tiltak gir mottiltak

Banken har også gått langt i å utveksle informasjon med andre, for eksempel ideelle interesseorganisasjoner bestående av ildsjeler som også kjemper for et tryggere nettsamfunn. Ved å dele informasjon om seg som er til organisasjonenes nytte, har de også fått nyttig informasjon tilbake fra samme organisasjoner.

Banken har også sporet opp kjente mulldyr-kontoer, skurkene bruker gjerne samme mulldyr om og om igjen. Å finne dem som har solgt seg ut som trojanertester på innsiden har de også klart ved å sjekke hvilke konti som matcher trojanermønsteret, bare på et tidligere stadium enn selve storutbruddet.

Men for mye detalj vil altså Sandstad ikke gå.

- Ethvert tiltak blir møtt med mottiltak. Derfor er usynlige mottiltak best, sier han.

Han kan likevel avsløre såpass at det er snakk om tiltak i bakgrunnen som kan slås på behov. En mulighet er for eksempel å varsle kunder på sms ved utenlandsbetaling, selv om Sandstad sier Dnb Nor foreløpig ikke har benyttet dette.