20.9.06

Vigtigt! Til netbankkunder. Svindel

Dagbladet Børsen har i dag en artikel om svindel overfor to netbankkunder (Spar Nord/erhvervskunde og Danske Bank/privatkunde). Den er vigtig at lægge sig på sinde og tag konsekvens af. Du bør fremover holde ekstra øje med bevægelserne på din konto, for pludselig kan den være lænset for store beløb. Interessant er også, at Danske Bank opkræver en selvrisiko på 1.200 kroner, hvis din konto skulle være lænset! Det er sgutte ok. For bankens svigter selv på sikkerhedsfronten, og det vender jeg tilbage til.

Børsen artiklen Bankkunder lænset af Dubai-firma (kræver abonnement), fortæller, at et Dubai-firma har brugt en mand i Hjørring til at føre de penge, som stjæles fra netbankkunder, ud af landet. Han fik selv 15 procent af, hvad der blev stjålet.

Svindelmetoden er kendt. Ude på nettet ses en del annoncer, hvor folk lokkes med job, der synes lette. Folk klikker bare på annoncer som "tjenpenge123", og så spørges de, om deres pc kan bruges som mellemstation for pengeoverførsler. Jeg går ud fra, at "jobtilbudet" markedsføres som noget, der ser nogenlunde legalt ud.

Typisk vil svindleren - her et Dubai-firma - have listet en såkaldt trojansk hest ind på bankkundens pc, og den kan aflytte informationer, såsom banktransaktioner. (Svindleren kan også bare have udnyttet et godt hackertilbud på nettet). Pengene overfører svindleren til mellemmandens konto. Han sørger for at sende dem videre til den svindlerens egen konto (vel i udlandet, eller?), og han scorer 15 procent i provision.

Hvordan en trojansk hest kan komme ind på pc'en kan være svært at afgøre. Måske er der kommet en uskyldig mail med et bilag, som den pågældende har klikket på UDEN AT HAVE SIN PC OPDATERET MED ALLERSENESTE ANTIVIRUS SOM OGSÅ BESKYTTER MOD TROJANSKE HESTE. Måske har den pågældende netbankkunde været på besøg på sære websteder, der downloader den skadelige kode.

Men via den trojanske hest kan Dubai-firmaet også nuppe det, der i danske banker altid fremhæves som ekstra stærkt, nemlig den NetID, som bankkunderne har installeret på deres pc. Den svarer nogenlunde til TDC's digitale signatur, men ikke helt. Og så er det bare også at nuppe brugernavn og pinkode, og så er der frit frem for svindel.

Hvad du selv kan gøre for at forhindre noget lignende. Hvis din pc ikke er fuldt opdateret med antivirus, så gør det, og sørg for at scanne pc'en igennem. Har du slet ikke antivirus på, så kan du hente noget til gratis brug i en prøveperiode fra mange af de store leverandører (tjek for eksempel Symantec, Mcafee, Trend Micro og F-Sercure - jeg kan ikke lige huske, hvem der har gratis). Men sørg for at få tegnet abonnement.

Gå derefter i banken og bed om engangskoder til din netbank. Danske Bank har sådanne, men rutter ikke med dem i offentligheden. Engangskoder gør, at den kriminelle, der nupper en pinkode, får en kode, der ikke duer igen.

At jeg mener, at Danske Bank handler forkert, når de opkræver selvrisiko, skyldes især, at banken ikke har markedsført muligheden for at bruge engangskode aktivt. Teknologien koster vel penge! Tjek om din bank tilbyder engangskode. Ellers bør du måske overveje at skifte til en anden bank.

Og jo, jeg ved at sådanne historier ind imellem lækker fra it-sikkerhedsfirmaer, der gerne bruger angst til at få flere kunder i butikken, hvis det ikke er en forestundende børsnotering, der skal skabes navnebevidsthed for. Derfor ignorerer jeg ofte selv tip af den art, såfremt de synes helt ude i hvad-nu-hvis-og-to-mandage-på-en-uge. Men denne svindel er grim. Set i stigende grad i udlandet og altså nu også i Danmark.

Tilføjelse I: Blot for at præcisere. Engangskode skal ikke erstatte den lille stump kode, NetID'en, på pc'en. Den skal erstatte den faste pinkode. Der vil altså fortsat være tale om, hvad der kaldes en tre-faktor-autentifikation af netkunden, nemlig NetID'en, brugernavn og engangskode. En smidig form for engangskode kan man få via en lille dims, man for eksempel har i nøgleringen. Man trykker på en knap og så vises der en kode, som man skal indtaste inden for en kort periode (typisk under et minut). I den anden ende - hos banken - vil der ske et tjek af, at netop denne engangskode hører til netop denne kunde på netop dette tidspunkt.

Tilføjelse II: At nogen også har fået nuppet NetID'en via en trojansk hest er sket før herhjemme. For et par år siden var det en Nordea-kunde, der fik lænset kontoen. Den kriminelle blev dog fanget på ingen tid, idet denne havde været så dum at overføre det stjålne beløb til egen konto.

Tilføjelse III: I al retfætdighed må jeg tilføje, at denne historie IKKE er lækket fra et sikkerhedsfirma. Så vidt jeg erfarer, var avisen Nordjyske først på sporet af sagen med Hjørring-manden.

5 kommentarer:

Emme sagde ...

Sindssygt! Jeg har ellers en nærmest autoritetstro tillid til min netbank... nu vil jeg da have engangskoder!

Faktisk er min tillid ikke helt velfunderet - jeg har været ude for at min bank har udbetalt beløb til konti, jeg aldrig har betalt til før, selvom jeg godt nok kendte ejeren. Og de bad mig om selv at kræve pengene tilbage, selvom det tydeligvis var en fejl i softwaren.

Anonym sagde ...

Jeg kan anbefale Jyske bank som en løsning. De har en ret "gammeldags" netbank-løsning, hvor man får tilsendt såkaldte "nøglekort" med engangskoder. Det har samtidig den fordel, at man faktisk kan gå i banken fra en hvilken som helst pc!

Dorte Toft sagde ...

Til Trine-Maria,
Selv Jydske Bank-løsningen er ikke sikker. Det viste de tilfælde at såkaldt phishing, som Nordea-kunder i Sverige og Finland har været udsat for.

De kriminelle bagmænd sender en mail ud som tæppebombardement. Det ser ud som om, at mailen kommer fra Nordea, og da mængden gør, at også Nordea-kunder rammes, vil nogle tage aktion på den.

I mailen fortælles typisk om, at Nordea er ved at sætte et nyt sikkerhedssystem op. I den sammenhæng må man bede kunden om at aktivere sikkerheden, hvis kunden altså fremover vil drage nytte af den sikkerhed (eller en anden begrundelse i samme kategori). Kunden anmodes om at trykke på velagte lænke, der fører op til Nordeas sikkerhedsweb-sted, hvor de skal checke ind.

Hvis kunden klikker på lænken, når hun frem til et web-sted, der grangiveligt sere Nordea-officielt ud. Her anmodes hun om at indtaste sit brugernavn OG sin pinkode. Har hun engangspinkode, nupper den kriminelle altså den. Og kan bruge den én gang.

Så engangskoder er ikke løsningen alene. Jeg har lige skrevet en lille tilføjelse til mit indlæg, der forklarer lidt om, at der stadig bør skulle tre ting til. Nu er Jyske Bank jo ikke den, som udenlandske organiserede kriminelle først vil kigge til, så......

Til Emme,
Det var særpræget, det du har været ude for. Banken burde ikke have overladt opgaven til dig. Vil du fortælle hvilken bank?

Emme sagde ...

Jep. Det var Danske Bank. Og jeg forsøgte at komme af med min fejlmelding alle mulige steder, men ingen ville rigtig tage i mod den. De var enige med mig i, at det var meget mystisk - de kunne jo se historikken inde på min konto. Men hvordan det kunne lade sig gøre og hvordan jeg kunne være sikre mig mod det, det anede de ikke.

Dorte Toft sagde ...

OBS. Det viser sig, at Danske Bank har to sikkerhedstilbud. Jeg troede, at man kunne styrke sin sikkerhed ved at benytte løsningen med engangskoder oveni, den løsning, som næsten alle pc-brugere anvender. Men det kan den ikke.
Den mest brugte sikkerhedsløsning er følgende: Når man tegner sig som netbankbruger får et lille stykke software på sin pc - et certifikat (og ikke som jeg tidligere skrev en NetID). Og så bruger man i det daglige et brugernavn og en FAST pinkode. Denne kan ikke erstattes af engangs-pinkoder. Løsningen, der omfatter engangs-pinkoder rummer ikke det lille certifikat på pc'en.
Hvad er sikrest? Tja, tja. Jeg følger op på denne sag.