I november 2003 simulerte hovedfagstudent Thomas Tjøstheim ved Universitetet i Bergen et PKI-angrep (public key infrastructure) på Skandiabanken i forbindelse med sin hovedfagsoppgave.
Ved å prøve tilfeldig valgte PIN-koder viste Tjøstheim i simuleringen at det var mulig å skaffe seg sertifikatet som kreves for å få tilgang til en konto. Får å få utdelt sertifikatet, måtte kundene oppgi riktig fødselsnummer og PIN-kode.
Ved å forsøke et tilstrekkelig antall ulike personnummer er sannsynligheten stor for at noen av de testede parene med fødselsnummer og PIN-koden vil treffe. Det er mulig å begrense antall forsøk ved å ta utgangspunkt i gyldige fødselsnummer, analyser over hvilke aldersgrupper som benytter nettbank og statistikk over norske fødsler.
Mange ville kanskje tro at det hadde vært enklere å teste alle mulige PIN-koder kombinert med et kjent fødselsnummer, men Skandiabanken sperrer tilgangen til kontoen hvis feil PIN-kode oppgis tre ganger på rad. Ved å prøve bare to ulike PIN-koder vil normalt innbruddsforsøk ikke oppdages selv om det har vært mislykket.
Det at PIN-kodene til Skandiabanken bare består av fire siffer, begrenser antall mulige PIN-koder til 10.000 (0000 til 9999). Forskere ved Selmasenteret ved Universitetet i Bergen mener derfor det bør benyttes PIN-koder med flere sifre. Da vil sannsynligheten for å kunne finne gyldige par av personnummer og PIN-kode reduseres kraftig.
Institutt for Informatikk mente at Skandiabankens sikkerhetsmur hadde så mange huller, at instituttet ikke ønsket å publisere Tjøstheims hovedfagsoppgave.
Skandiabanken har riktignok i ettertid endret påloggingsrutinene noe, men heller ikke det er bra nok, ifølge professor i informatikk ved Selmasenteret UIB, Kjell Jørgen Hole.
– Det er fortsatt store sikkerhetshull i Skandiabanken og fullt mulig å komme inn i 2004, sier han til digi.no.
Selmasenteret har utarbeidet en seks siders rapport om sikkerhet i nettbanker. Det fokuseres spesielt på Skandiabanken, fordi den, ifølge Skandiabanken selv, er ledende i Norge.
Selv om Skandiabanken i våres innførte en ny og bedre sikkerhetsløsning, er det ifølge rapporten fremdeles mulig å registrere fiktive personer. En kunde i nettbanken er fortsatt identifisert ved hjelp av et fødselsnummer og en PIN-kode med fire sifre. Men for å kunne laste ned sertifikatet som også behøves, må kunden få tilsendt et engangspassord via SMS til sin mobiltelefon, eller via vanlig brev. Passordet som sendes via SMS er gyldig i 15 minutter, mens passordet som sendes med brev er gyldig i fjorten dager.
Ifølge rapporten stiller forskerne ved Selmasenteret spørsmål om levetiden til SMS-passordet er lang nok. Det kan ta mer enn 15 minutter å motta en tekstmelding, spesielt hvis mottakeren befinner seg i utlandet. Dette har dog mer med brukervennlighet en med sikkerhet å gjøre.
Derimot er det i dag mulig å kjøpe utstyr for å avlytte mobiltelefonnettet. En angriper med slikt utstyr vil kunne fange opp SMS-meldinger med engangspassord – hvis en rekke betingelser er oppfylt.
En annen mulighet er at angriperen greier å få banken til å endre det oppgitte mobiltelefonnummeret. Dette kan muligens gjøres via telefon til bankens kundesenter, ved at angriperen utgir seg for å være nettbankkunden.
IT-direktør Ole Tom Pettersen i Skandiabanken stiller seg tvilende til sikkerhetsfrykten.
– Alt er mulig i teorien, men rent praktisk stiller jeg meg tvilende til at et angrep er mulig. Vi har en sikkerhetsløsning som er mer enn god nok, sier han til digi.no.