En dose datakunnskap og dårlig moral kan være alt som skal til for å bryte seg inn i nettbanken din. Uten at du vet det, er kanskje pc-en din med på slike angrep. Bli med på et tenkt hacker-angrep.
BANKENE HAR KLART å overbevise oss om at det er «sikkert som banken» å ordne alle pengesaker fra pc-en hjemme, men sikkerhetseksperter rynker på pannen.
- Bankene har i årevis gjentatt mantraet om at «sikkerheten er svært god i Norge», men de har aldri villet dokumentere påstanden skikkelig. Løsningene som er valgt, gjør det enkelt for datakriminelle å ta seg inn i nettbankene. Å stenge ned en bank er enda enklere, sier Kjell J. Hole som er professor i informatikk ved Universitetet i Bergen. Sammen med doktorgradsstudentene, Vebjørn Moen og André N. Klingsheim, har Hole forsket på sikkerheten i norske nettbanker. Forskningsresultatene er publisert i det amerikanske tidsskriftet IEEE Security&Privacy, og har tittelen «Online Banking Security».
- Vi sluttførte arbeidet i 2004. Ting har endret seg til det bedre de siste to årene, men det kan fremdeles være mulig å angripe en del nettbanker, sier Hole.
Å angripe en bank, slik at kundene ikke kommer inn, er enda enklere, ifølge dataekspertene.
Vi har fått Hole og Moen til å demonstrere hvordan man kunne bryte seg inn i en nettbank. Vi nøyer oss med å angripe teoretisk.
Norske nettbanker benytter personnummeret som brukernavn. I tillegg brukes det en PIN-kode på fire til seks siffer. Med en pc, internettforbindelse og innleid kløkt, er vi på vei inn i netthvelvet. Vil man bryte seg inn i nettbanker for å stjele penger, er det lurt å begynne der det er mest penger å hente. Unge har mye gjeld og ifølge tabloidavisene er det sveltihjel for mange pensjonister. I aldersgruppen 50-60 år kan det derimot antas at formuene avleirer seg på bankkontoene, og ifølge Statistisk sentralbyrå (SSB) finnes det 603 000 personer i denne gruppen. I tillegg gir en firesifret PIN-kode ti tusen kombinasjonsmuligheter.
- Enorme tallmengder for et stakkars hode og ti fingrer, men for datamaskiner er dette små tall. Siden personnumrene er logisk oppbygget, kan en vanlig pc raskt programmeres til å regne ut samtlige personnumre. Det er bare å google «personnummer» for oppskriften. Deretter gjelder det å finne ut sånn cirka hvor mange personer av hvert kjønn som ble født daglig i perioden. Igjen er SSB gull verdt. Å regne ut de ti tusen mulige kombinasjonene for en firesifret PIN-kode, er gjort på et øyeblikk. Deretter er det bare å sjekke på nettet hvilke banker som benytter personnummer og firesifret kode, sier Hole.
Neste skritt er pålogging i nettbanken.
- Siden de fleste banker automatisk stenger tilgangen til en konto etter bruk av tre til fem ukorrekte PIN-koder, skriver vi et knøttlite dataprogram som prøver å logge på to ganger med to forskjellige PIN-koder for hvert personnummer. Sannsynligheten for å treffe en person med konto i aktuelle bank, pluss de riktige kombinasjonene er liten. Men på grunn av det store antallet forsøk, vil man garantert komme seg inn i et titalls konti. For å hindre at banken oppdager angrepet, kan det spres over lang tid, forklarer Hole.
Hos Nasjonal sikkerhetsmyndighet er de likevel ikke så bekymret for datainnbrudd i nettbanker.
- Vårt inntrykk er at sikkerheten i norske nettbanker er god. Vi er mer bekymret for kriminelle som ønsker å stenge ned banker og andre samfunnsviktige nettsteder, sier avdelingsdirektør Christophe Birkeland. Dessuten har bankene systemer som sannsynligvis vil oppdage og blokkere en pc som forsøker seg på denne metoden. I tillegg er det jo ikke sikkert det er noe å hente på de kontiene man får tilgang til. Overføringer fra en velfylt konto vil også kunne spores.
Hole og studentene hans mener likevel at det ikke hjelper hvis angrepet skjer fra andre siden av kloden.
- Vi er enige i at enkeltangrep lett vil stoppes av bankene. Det er derfor vi studerer distribuerte angrep gjennom store nettverk av såkalte zombi-maskiner. Å spore overføringer hjelper ikke nødvendigvis dersom den datakriminelle sitter i utlandet, sier Hole. Er du uheldig benyttes kanskje din hjemme pc som innbruddsverktøy. For pc-ene på de tusen skrivebord er viktige for datakriminelle.
- Hackere er ikke lenger ungdom som bryter seg inn for gøy. Nå er det penger som teller, sier Hole.
Siden innbruddsforsøk fra noen få pc-er avverges av bankenes sikkerhetssystemer, sørger kriminelle for å bruke mange hjemmedatamaskiner i slike angrep.
- På fagspråket kalles dette DDoS-angrep, eller på norsk tjenestenektangrep. Nøkkelen er å skaffe seg kontroll over pc-er i de tusen hjem og kontorer. Uten at du vet det, kan en hacker ha tatt kontroll over pc-en din.
- Blir pc-en din hacket, er det nå mindre sannsynlig at de sletter det du har lagret. I stedet rydder de datakriminelle opp på harddisken og får maskinen din til å funke bedre, slik at du ikke oppdager at noe er galt, inntil de plutselig tar kontroll over maskinen og bruker den til lyssky aktiviteter. I mellomtiden er pc-en det som kalles en zombi, det vil si at den står klar og venter på ordre utenfra, forklarer Hole.
Dyktige hackere kan ha kontroll over tusenvis av pc-er.
- Vi har sett eksempler på kjeltringer som har tatt kommandoen over nett med flere hundre tusen pc-er, sier Birkeland. Datamaskinene kan befinne seg over hele verden. Det samme kan kjeltringene. Med noen tastetrykk kan de få alle maskinene i nettverket til å kontakte et nettsted samtidig og belaste det så hardt at det må stenge - eller betale.
Slike angrep kan føre til store økonomiske tap, så i stedet for å bryte seg inn på bunnskrapte lønnskontoer, krever hackerne løsepenger av firmaene for å la være å angripe. Fra utlandet finnes det mange eksempler på banker og nettbutikker som har måttet stenge som følge av hackerangrep. Blant annet stoppet betalingsnettverket WorldPay opp i flere dager etter at firmaet nektet å betale datakriminelle løsepenger for ikke å angripe.
- Norske firmaer mottar også trusler, og dette er et økende problem, sier Birkeland.
De færreste innrømmer at de har gitt etter av frykt for å miste tillit. For ville du følt deg trygg hvis du fikk vite at nettbanken din hadde betalt mafia på andre siden av kloden for å hindre noen i å stenge ned banken og dermed hindre deg i å utføre banktjenester?
Ekspertene ved Universitetet i Bergen mener at det bare er et spørsmål om tid før vi opplever at nettbanken vår er stengt.
- Et angrep fra ti tusenvis av pc-er er det vanskelig å forsvare seg mot. I tillegg kan et slikt angrep kombineres med et program som prøver å logge seg på folks kontoer. Å kombinere innbruddsforsøk med et tjenestenektangrep, er effektivt. Bankene vil ikke så lett kunne skille hva som er innbruddsforsøk og hva som er ekte pålogginger. I tillegg er det mulig å prøve med fem forskjellige PIN-koder for hvert personnummer når man ikke bryr seg om kontoen sperres. Resultatet av et slikt kombinert angrep, blir at nettbanken må stenges ned, sier Hole.
Han er også kritisk til måten bankene opptrer på.
- Da vi kontaktet bankene for å diskutere de sikkerhetsmanglene vi hadde funnet, ble vi møtt med beskyldninger om kriminell aktivitet og en bank prøvde å få universitetsledelsen til å stoppe forskningen vår, sier Hole som mener at bankene ved å velge bedre sikkerhetsteknologi vil kunne være åpne om sikkerhetsløsningene, men dette koster selvsagt penger.
Tips en venn om denne artikkelen
Utskriftsvennlig versjon av siden
Professor Kjell J. Hole og doktorgradsstudent Vebjørn Moen er skeptiske til måten norske nettbanker jobber med sikkerheten på. De velger å tåkelegge sikkerhetsløsningene. Dermed er det kun bankene og kjeltringene som vet om sikkerheten i nettbankene er god nok, sier forskerne. (Foto: Henrik V. Ebne)
© forbrukerportalen.no Har du kommentarer til nettstedet, send e-post til webredaksjonen.
Ansvarlig redaktører for innholdet på forbrukerportalen er Julie Bianca Dahl og Jarle Oppedal.
Nyhetsbrev og syndikerte nyheter (RSS og ATOM)