I de siste dagene før jul, ble det kjent at minst tre norske nettbank-kunder var tappet for penger. Dette er den første kjente saken der hackere har klart å bryte seg inn i en norsk nettbank.
Les også:
- [11.12.2007] Raner nettbanken når desemberlønna kommer
- [08.05.2007] Tror millioner av nettsider er infisert
- [04.05.2007] Sjekk om nettbanken din er sikker
- [03.05.2007] Nettbank-innbruddene fortsetter
- [19.01.2007] Nordea klarer ikke å stoppe russiske hackere
- [04.01.2007] 13 nye krav skal hacker-sikre nettbankene
- [28.12.2006] Brukte spionvare for å tappe nettbank-kontoer
- [27.12.2006] Datasvindel lyktes mot flere norske nettbanker
Det ble denne gangen bare stjålet til sammen rundt 100.000 kroner, men tappingen avslører at norske nettbrukere ikke lenger kan stole på at norsk språk og éngangspassord skal skjerme oss fra angrep som lenge har rammet brukere i land som USA og England.
I et intervju med politiadvokat Erik Moestue i datakrimavdelingen i Kripos får digi.no avdekket hovedtrekkene rundt tappingen. digi.no kan derfor bringe noen råd om hvordan man sikrer seg.
For faren er ikke over. Nettsiden som har infisert brukerne er ikke stengt, og angrepet viser at hackere nå klarer å lure seg rundt dagens sikkerhetssystemer.
Det er mye Kripos ikke vil røpe, for man er midt i etterforskningen, men her er hva digi.no har fått vite:
De brukerne som ble tappet for penger, hadde alle besøkt en bestemt nettside i utlandet. Hvilken nettside vil ikke Kripos røpe, primært av hensyn til de som er rammet. På spørsmål om det var en nettside med seksuelt innhold eller for eksempel en nettside som deler ut piratkopiert programvare, vil ikke politiadvokat Moestue si noen ting. «Ukurant nettside» er det eneste svaret digi.no får.
Nettsiden har så infisert de besøkende, enten gjennom kode som lures inn sammen med siden, eller ved at brukeren har lastet ned et program eller annen type fil fra nettsiden.
Etter litt betenkning røper dog Kripos to ting: Det en et kjent spionprogram, kalt «Alvabrig.b» av sikkerhetsbransjen, som har infisert brukerne. Navnet er viktig, fordi Alvabrig.b er kjent og lukes ut av mange vanlige spionvern-produkter. Akkurat hvilke, har ikke digi.no fått sjekket, men trolig er blant annet Spybot og Microsoft Defender mulige valg.
Alvabrig.B utnytter dessuten et kjent Windows-hull, som Microsoft lappet i april i fjor. Brukere som holder sine maskiner oppdatert, er sikret mot Alvabrig og dette tapping-forsøket, får digi.no bekreftet av Kripos.
Etter å ha installert seg i stillhet på brukerens PC, begynner Alvabrig.B å laste ned flere filer fra to spesifikke nettadresser, blant annet moduler laget for å stjele penger fra nettbanker. Hvor skreddersydd dette må gjøres for å ramme to norske nettbanker, har ikke digi.no fått avklart, men her er hva som skjer:
Når brukeren logger seg inn sin nettbank etter å ha blitt infisert, blir plutselig skjermen svart. Trolig overtar hackere sesjonen med den nå åpne nettbanken og gjennomfører sin egen transaksjon. I den norske saken er penger blitt overført til en norsk privatperson, som raskt ble anholdt. Denne personen skulle så overføre pengene videre til andre parter.
Beløpet som er overført fra rammede brukere har variert, får digi.no vite av Kripos, noe som kan tyde på at det er en person, og ikke et program som taster inn transaksjonen.
Så langt kjenner Kripos til en håndfull brukere som har fått tappet sine kontoer, men Moestue kan ikke utelukke at det finnes brukere som ennå ikke har oppdaget at de har tapt penger.
Kripos etterforsker saken, men har foreløpig ikke gått til skritt for å få nettsiden, som har infisert brukerne, stengt, forteller Moestue på spørsmål fra digi.no.
På denne siden hos programvare-selskapet CA kan du lese mer om Alvabrig.B.