25.4.07

Nordea i storoffensiv mod kriminelle på nettet

Nordea i Sverige forsyner til efteråret 1,8 millioner netbankkunder med hver sin chipkortlæser, der også rummer et nummerdisplay og et lille nummertastatur. Og så bliver det normale bankkort "nøglen" til netbanken.

Der er tale om en kolossal skærpelse af sikkerheden, men det skal ses på baggrund de mange angreb, der har været mod svenske netbankkunder. Nordea har foreløbig mistet omkring 10 millioner svenske kroner på den konto.

På nyhedsmediet Computersweden findes her en grundig gennemgang af forsvarsindsatsen.

Hidtil har Nordea i Sverige baseret sin netbanksikkerhed på engangskoder, men de kriminelle har på forskellig vis evnet at liste dem fra kunderne. Det Nordea nu gør for sikkerheden sætter vel noget nær rekord i sikkerhed i bankkredse. Og det er også interessant set i sammenhæng med, at danske banker typisk har argumenteret mod brug af chipkort til netbanken med, at det bliver for dyrt og for besværligt at forsyne netbankkunder med chipkortlæser.

Fra efteråret skal den svenske Nordea-kunde bruge chipkortlæseren, som skulle der hæves penge i pengeautomaten. Kortet stikkes i læseren, og den normale Pin-kode indtastes. På indlogningssiden skal kunden derefter aflevere sit personnummer, og der kvitteres med en engangskode. Kunden skal derefter indtaste koden på chipkortlæseren, og den skaber så en ny tidsbegrænset kode, der vises på kortlæserens display. Og det indtastes derefter.

At engangskoden, der sendes fra banken, ikke er nok, skyldes sandsynligvis, at banken vil gardere sig mod såkaldte man-in-the-middle angreb. Det er betegnelsen for forskellige metoder, som kriminelle kan benytte til at placere sig på linien mellem bank og kunde uden at blive opdaget.

Netbankkunden kan også benytte Nordea-løsningen over for det offentlige Sverige – det bliver altså en offentlig digital signatur.

I øvrigt har Nordea som midlertidigt forsvar mod angrebene lukket op for gratis antivirus (Norton) til hjemmepc’erne, og det er downloaded på 60.000 pc’er. Ifølge Computersweden har det givet et drastisk fald i forekomsten af såkaldte trojanske heste (der åbner bagdøre for ondsindet kode) på pc’en. En trojansk hest kommer normalt som bilag til en mail (der typisk udgiver sig for at komme fra et kendt firma). Klikkes der på bilaget (som for eksempel hedder "regning")installerer koden sig.

Antivirussen er dog intet værn mod alle de phishing-forsøg, som Nordea-kunderne også er udsat for. Nordea har - som Nordens største bank - været allermest i fokus for kriminelle, der forsøger at ”fiske” efter bankoplysninger ved - via en email - at få losset folk over på en falsk Nordea-side, hvor de med forskellig begrundelse afkræves brugernavn, pinkode med videre.

Kunder hos Nordea i Danmark har en anden beskyttelse end de svenske kunder. Herhjemme satses ikke på engangkoder, men en forudsætning for at gå i netbanken er, at der på pc'en ligger et lille forud installeret certifikat. Samme løsningen bruges af de fleste andre danske banker.

Men også denne sikkerhed har vist sig at være utilstrækkelig, og Finansrådet er svanger med en ny, mere sikker løsning, som PBS skal håndtere, og som ALLE banker vist kommer til at bruge.

PBS har dog ikke selv udviklet den løsning. Så vidt jeg hører på vandrørene er løsningen undfanget i Danske Bank, men det bliver PBS, der fremover skal sikre vedligeholdelsen.

5 kommentarer:

trolden sagde ...

Det er jo ikke så underligt at Svenske Nordea er i stor offensiv, fordi de har haft mange kunder som er ramte af trojansk hest/phishing. Og de penge banken har tabt, tror jeg ikke betyder så meget, men det at kunderne bliver usikre.
Jeg har selv i konti i SWEDBANK og her bruger man en säkkerhedsdosa som er en lille regnemaskine, hvor man får en kodekode man skal taste ind. Såvidt jeg bed beregner den koden ud fra tid og dato og min bankoplysninger altså et meget unikt nummer, og den kode har kort levetid.
Det er en lidt langsom måde at lave posteringer på, men jeg syntes at den virker meget sikker. Jeg kan benytte en hvilken som helst browser som håndtere SSL. Jeg kan bruge hvilken som helst Operativ System. Og på et tidspunkt hvor jeg ingen telefon i 3 måneder p.g.a. storm da kunne jeg tage på biblioteket og lave mine betalinger.
Den metode SWEBANK bruger er ikke den hurtigste i brug, men uhyre fleksibel.
Indtil til der er en kortlæser i hver PC kombineret med noget biometri, syntes jeg at sikkerhedsdåsen er langt den bedste sikkerhed. Og det bedste syntes jeg er, at den ikke er maskinafhængig.

Female Nerd sagde ...

I Danmark kører JyskeBank faktisk med en slags engangsnøgler, som man har på et fysisk nøglekort (en lille papark, som man kan have i sin pung), hvor der findes en række 4-chifrede tal. Netbanken beder så om at få et bestemt et oplyst.

Det har indtil videre fungeret som et rimeligt effektivt værn mod netbanktyverier, da det ikke er nok at opfange brugernavn+password - man skal også have det fysiske nøglekort.

Dorte Toft sagde ...

@female nerd. Ja, Jyske Banks løsning har været nævnt tidligere her på bloggen som kommentarer, når jeg har skrevet om netbanksikkerhed. Men Jyske Bank har også fortalt mig, at man går over på den nye, fælles løsning, når den kommer. Hvis jeg altså har forstået banken ret.

Anetq sagde ...

Er der nogen grund til at bankerne ikke bare bruger digital signatur, lige som så mange andre med personfølsomme oplysning?

Dorte Toft sagde ...

Der er jo skrevet meget om, at TDC's digitale signatur ikke er den mest brugervenlige teknologi i sin udformning. Har selv en veninde, der opgav at installere den, efter hun "117." gang var blevet bedt om at svare på, om hun virkelig ville stole på certifikatejeren, eller hvad teksten nu var. Hun blev helt skræmt:-)
Og så havde bankerne jo i forvejen over 2 mio. netbank kunder, der allerede havde "netbank-certifikatet" på deres pc'er. At anmode alle disse om at skifte ud... Det var nok endt i kaos og surhed.
I øvrigt arbejder TDC jo nu på en mere brugervenlig version, så kritikken er hørt.