Visste du det här om Internetbankernas säkerhet?
Idag diskuterade jag säkerhet med en expert från Holland, och han hade en intressant berättelser om hur banker – de som erbjuder Internetbank – arbetar med säkerhet. Eftersom det var vettig information tänkte jag skriva om den, eftersom alla kanske inte känner till det.
Han berättade att det idag inte är ovanligt att användare drabbas av trojaner som lyssnar av inloggningskoder och lösenord för Internetbanker, för att sedan skicka vidare den här informationen till virusets skapare. Denna kan därefter logga in på användarens Internetbank och helt enkelt föra över pengar till sig själv.
Bankerna väljer dock att inte gå ut med det här, utan väljer att ersätta sin kunds förlorade pengar. Banker har tydligen en buffert med pengar avsatta för just det här. Skälet är att det idag kostar mindre att ersätta kunder som är utsatta av bedrägeri, än vad det hade varit att se till att alla kunder har tillräckligt bra säkerhet för att hindra att sådant här händer. För att inte tala om den PR-skada en sådan här attack hade orsakat om det läckte ut till media.
Gemene man är tyvärr inte tillräckligt insatt i datorsäkerhet - vilket är förståeligt – och användandet av antivirus, antispyware, brandväggar och dylikt är inte speciellt bra. Många kör utan skydd och många har skydd men håller inte programvarorna uppdaterade, något som gör dem i stora drag värdelösa mot nya attacker.
Att som bank se till att erbjuda tillräckligt med skydd för sina kunder, dels genom exempelvis säkerhetsprogramvara men även med SmartCards och dylika lösningar, skulle kosta enormt mycket pengar. Intrång och stöld av pengar kostar mindre än detta, varför man valt att bibehålla den i många fall låga säkerheten och pröjsa när någon tar sig in på ens Internetbank och tömmer sparkontot.
Vad vi som användare kan lära oss av detta, är hur viktigt det är att köra antivirus och andra säkerhetsprogram. Utan ett vettigt skydd kan sådana här saker hända, och du kommer inte heller att märka det förrän dina bankkonton är tomma. Därefter är det upp till användaren att få banken att lösa det.
Visste du om det här?
Uppdatering: Läs kommentarerna – de är väldigt läsvärda!
| Säkerhetspaket | Pris | Licens | |
| Panda Rea! | 399 kr (133 kr/PC) | 1 år/3 PC |  |
| Norton Bäst i test | 799 kr (266 kr/PC) | 1 år/3 PC | |
| McAfee Rea! | 324 kr (108 kr/PC) | 1 år/3 PC | |
| F-Secure | 645 kr (215 kr/PC) | 1 år/3 PC | |
| Kaspersky | 589 kr | 1 år/1 PC | |
| ESET Nod32 | 594 kr | 1 år/1 PC | |
| Trend Micro | 649 kr | 1 år/1 PC | |
| Annonser |
|
|
John Ankarström
sa,
september 18, 2008 @ 19:09 | Svara
Väldigt bra tips där! Vissa bara tänker att ”Äh, jag behöver inget antivirusprogram… hur stor är chansen att jag får virus liksom…”. Fel. Väldigt stor. Faktiskt enorm. Och förresten måste det inte kosta mycket pengar… AVG, Comodo, och andra gratis säkerhetsprogram är faktiskt helt gratis, hur förvånande det än låter (att gratisprogram är gratis)… ;-) Fast en del tycker ju Comodo är krånglig. Då finns ZoneAlarm istället. Kanske ska prova det.. Japp, nu är min kommentar slut. På återseende! ;D
floodis
sa,
september 18, 2008 @ 19:27 | Svara
Detta sätt att ta sig in i bankkonton kan väl inte vara ett problem för banker som använder tillfälliga lösenord via tex doser?
TkJ
sa,
september 18, 2008 @ 22:59 | Svara
floodis: Om du fjärrkontrollerar en dator vars användare loggar in på sin Internetbank, är det inga problem. Hypotetiskt sett. För då kommer du ju också in.
Tommy
sa,
september 19, 2008 @ 02:09 | Svara
Jag visste inte om detta, och fick en riktigt kall klump i magen efter att ha läst om det. Har alltid varit lite slarvig med att uppdatera mina antivirusprogram, men det står först på dagordningen i morgon.
Johannes
sa,
september 19, 2008 @ 07:37 | Svara
Vad är det här för skrämsel inlägg. Det flesta svenska bankerna använder engångskoder och det skyddar mot det här problemet. Du skrivet att det skulle kosta alldeles för mycket pengar med en sådan lösning och det är inte sant.
Det spelar inte ens någon roll om de kan fjärrstyra datorn eftersom de inte kan lägga upp egna konton och göra överföringar utan att signera dessa med en engångskod.
Hur säkra är egentligen Internetbankerna? « sa,
september 19, 2008 @ 07:41 | Svara
[...] Jump to Comments Tommy K Johansson – chefredaktör på Allt om PC – bloggar om Internetbankernas säkerhet, och han framför en skrämmande sanning. Har man inte de senaste virusskydden kan man få ett tomt [...]
MP
sa,
september 19, 2008 @ 11:14 | Svara
Visst handlar det teoretiska exemplet om banklösningar med tillfälliga lösen på scratchkort? Jag har svårt att se hur mitt Swedbankkonto ska kunna hackas eftersom dosan används i tre steg: inloggning, godkännande av mottagare, godkännande av betalning.
Bankerna borde bundla säkerhetspaket med internetkonton så vi kommer ifrån förhärligandet av gratisprogram som bara gör att hemanvändare sitter med ett flertal olika produkter installerade som uppdateras när andan faller på. Operatörerna bär också skuld för de bundlar program utan att erbjuda riktig support, konsekvensen är att morsan stänger av F-secure för att kunna se alla animerade smileys som väninnorna skickar i mejlsignaturer…
TkJ
sa,
september 19, 2008 @ 14:28 | Svara
Johannes: Det var säkerhetsexperten som sa att det skulle vara för dyrt. Men jag har själv hört flera fall där folk fått sina konton länsade. Själv råkade jag ut för att någon försökte plocka ut 26000 från mitt konto hos Skandiabanken – trots att de har engångskoder och liknande. Det handlar ju inte bara om fjärrstyrning, det finns fler sätt att plocka ut pengar från ett konto (det räcker ju i stort sett med VISA-kortsnumret t.ex.).
De där små plastdosorna som generar koder ger jag inte mycket för. Jag tycker det blir samma koder nästan varje gång… (Det här har jag dock inga som helst faktabelägg på – det är bara en spontan reaktion jag fått.)
Det ÄR problem med säkerhet i våra Internetbanker. Så långt är klart.
EDIT: Ovan kommentar om dosorna och samma koder var inte seriöst menat, men – inser jag nu efteråt när jag läste om det – väldigt korkat skrivet och ett fullkomligt meningslöst påhopp. Ibland postar man före man tänker… :-P
Carl-Johan Sveningsson
sa,
september 20, 2008 @ 12:28 | Svara
Du får ursäkta, men vad gick killen du pratade på egentligen? Det du skriver här stämmer helt enkelt inte.
För det första, inom och mellan bankerna finns rigorösa system av nyckelhierarkier för att kryptografiskt garantera korrektheten. Alla storbanker har dessutom system för IDS och att upptäcka bedrägeri.
Det du säger om trojaner är heller inte tillämpligt på någon bank med OTP-tokens ( http://en.wikipedia.org/wiki/Security_token#One-time_passwords ) eller ens så kallade ”skraplotter”. Mig veterligt gäller det de flesta svenska banker, så man kan fråga sig vad du pratar om.
Du kan däremot antas ha rätt i att banker föredrar att stå för skador hellre än att tvingas exponera sina problem, men det betyder inte att de inte gör något åt dem. Ett återkommande problem i Sverige är t.ex. skimming, på grund av att svenska banker inte motiverats att lämna stenålderssystemet med kopierbara magnetremsor för att övergå till enbart smartcards. Likaså håller kreditbankerna en saftig buffert att betala för carding ( http://en.wikipedia.org/wiki/Credit_card_fraud#Carding ), med tanke på att många fortfarande godtar undermåliga metoder där det är ok att betala över internet bara genom att uppge kortnummer+”säkerhetskod”.
Alla banker jag känner till har byggt sina system så att de inte kan skadas av trojaner på kundernas datorer, så vad antivirus har med saken förstår jag inte…
http://xkcd.com/463/
Carl-Johan Sveningsson
sa,
september 20, 2008 @ 12:38 | Svara
Efter att ha läst kommentarerna – jag skulle vilja påstå att du helt enkelt sparkar in fel dörr… det du bör göra är att skaffa dig ett konto är begränsat i hur man kan plocka pengar från det (”endast för elektroniskt bruk” kan det kallas ibland) och använda en bra browser t.ex. Firefox 3 som protesterar högljudt och envist om det är något fel med HTTPS-anslutningen.
Din synpunkt om ”plastdosorna” är också mest fånig, skulle du lita mer på en gjord i stål? :-) Att du tycker de ger samma koder beror nog på människans oförmåga att korrekt uppskatta slump, och kryptoalgoritmerna som genererar antingen PRNG-strängen eller challenge-svaren anses allmänt som ”säkra” helt enkelt.
Fotograf
sa,
september 21, 2008 @ 13:26 | Svara
För något år sedan gick det att komma åt pengar från Swedbank. Några studenter i Kalmar som visade hur det gick till. Genom att ta över Routern som oftast har standardinloggning Admin Admin kunde man peka om adressen utan att något antivirusprogram kunde upptäcka händelsen. Hur de fixade med numren förstår jag inte, men de lyckades iaf. Sedan länge är den sårbarheten löst.
Vad jag känner till har ingen lyckats knäcka dosorna ännu. Däremot är det enkelt att via en trojan ta reda på kreditnr. om man skriver in detta någonstans. Därför kör jag med ett virtuellt kortnr. som inte är användbart för någon annan än mig.
Robin
sa,
september 21, 2008 @ 20:38 | Svara
Trams trams trams. Jag är tillräckligt involverad i säkerhet för att veta hur det egentligen fungerar. Under ytan. Visst finns det kanske banker utomlands som inte är så lika insatta i detta, men stora svenska banker som SwedBank, Nordea, de har säkerhet så att det ryker om det.
SSL authenticering. Skydd mot XSRS/XSS, skydd mot session hijacking/riding. Listan är lång. Enda problemet jag har sett är i SwedBanks Ekort, där du stortsett kan logga in direkt om du har en enkel statisk kod. Detta betyder att du kan skapa virtuella konton och föra över pengar direkt utan att behöva signera med engångskod. Kör man utan detta så bör man dock vara ganska säker. Dock är även Ekorts kommunikation såklart under SSL. Men har man en trojan på datorn som sniffar upp koden så ligger man rätt så illa till.
Dessutom, du kan ta och hälsa din ”Säkerhetsexpert” att verkar inte vara så påläst på ämnet.
Robin
sa,
september 21, 2008 @ 20:42 | Svara
Dessutom. Notera att jag aldrig påpekade att det inte är viktigt med antivirusprogram. De som inte kör det kan lika bra strunta med bälte i trafiken. Eller köra utan kondom.. Samma sak. Händer det så händer det. Oavsett hur bra du tror du är, hur skyddad du är. Så kommer det alltid finnas hål i mjukvaror. Oavsett om du inte surfar på några ”elaka”-sidor så skannar konstant bottar av nätet efter datorer med potentiella säkerhetshål. Dvs, direkt kabeln är i(eller du är kopplat mot nätet.. wlan, 3g/gprs osv), så är den i.
Robin
sa,
september 21, 2008 @ 20:45 | Svara
Glömde även säga att bara för att man har antivirusprogram/brandvägg så betyder det inte att man är säker. Säkerhet är en illusion.
Dvs, även kondomer kan spricka.
Tekniska tankar » » Besviken på Tommy K Johansson sa,
september 22, 2008 @ 08:49 | Svara
[...] är nämligen väldigt besviken på Tommys inlägg om Internetbankerna. Där skriver Tommy att bankerna inte har tillräckligt skydd utan istället mörkar de intrång [...]
Martin
sa,
september 22, 2008 @ 13:22 | Svara
Angående dosorna… Swedbanks-dosa innehåller väl en hårvaruimplementation av DES eller AES beroende på version.
Det är inte fel som Tommy skriver att det blir samma nummer varje gång. Det blir det – men bara när man bekräftar beloppet. 00003000 in ger alltid samma sak ut exempelvis.
Dock så används detta bara vid bekräftning av belopp. När man loggar in mm så är det en slumpvis call-response och då kan man bara ge rätt svar ifall man själv har dosan.
Jag tycker svenska banker har bra säkerhet jämfört med andra ställen. Har själv bankkonton i tre länder. I exempelvis Frankrike är det enbart ett sexsiffrigt kontonr + pinkod som gäller, i England ett kundnr sen lösenord och pinkod. (men där man i rutor ange bokstav X , Y, Z etc i lösenordet snarare än skriva det – för att minimera skadan från keyloggers och avlyssning på linan antar jag.
TkJ
sa,
september 22, 2008 @ 13:58 | Svara
Tack för alla bra och pålästa kommentarer! Jag ska göra mitt bästa för att följa upp detta framöver. Det är uppenbart att jag troligen varit för naiv när jag litade på vad min källa sa. Jag borde ha gjort mer research. Jag har tagit till mig av kritiken, som har varit mycket konstruktiv.
Det här är en av sakerna som gör att man älskar bloggandet – skriver jag något som är felaktigt (eller rent korkat), så kan vem som helst rätta mig på ett sätt som inte är möjligt i papperstidningar. Jag är imponerad av kommentatorernas kompetens!
lol
sa,
september 22, 2008 @ 20:34 | Svara
lol bankerna har mycket bättre säkerhet än du tror speciellt storbankerna!
Carl-Johan Sveningsson
sa,
september 23, 2008 @ 19:37 | Svara
@Tkj, det är lugnt, det är roligt när folk är kritiska i alla fall, sen som du säger så kan vi väl diskutera oss närmare sanningen om det behövs! Sverige har ju gigantiska problem i sin byråkrati annars, spana in vad jag skriver om problemen med BankID: http://www.pusha.se/bankid-suger
Lotta
sa,
mars 20, 2009 @ 17:32 | Svara
Jaha, så det är omöjligt att hacka in på ett internetbankkonto?! Nu har det iaf hänt mig. Jag har Swedbank, med dosa, bor ensam, ingen annan har tillgång till min dator. Men någon har gjort en transaktion från mitt konto utan min vetskap. Det var ‘bara’ 810kr som stals trots att jag hade nästan 10000 på kontot vid tillfället!? Jag skulle tänka mig att de tänkte att om de bara tar lite pengar så kanske man inte märker det. Och mycket riktigt, jag upptäckte det inte fast jag brukar ha bra koll på hur mycket pengar jag har då jag är sjukpensionär. Av någon oförklarlig anledning gjorde jag inte det. Det kom till min kännedom först efter ca 15 mån då polisen ringde och talade om att jag var misstänkt för narkotikabrott!!?? Jag trodde att någon skämtade med mig, men när jag förstod att det var allvar var jag väldigt nära att svimma. Pengarna hade använts till att köpa droger, Tramadol, och mitt kontonr fanns i knarksäljarens kundregister. Det är en riktigt stor härva jag blivit indragen i med många köpare över hela landet. Knarksäljaren blev dömd till 10 års fängelse för en vecka sedan, och nu utreds alla köpare polisen fått tag på däribland jag. Det är helt bisarrt, jag har avskytt droger så länge jag vetat att de finns.
Jag har polisanmält bedrägeriet och hoppas att de på nåt sätt kan spåra datorn som använts. Och det borde ju finnas fler som råkat ut för denna tjuv och bedragare. Det är väl inte möjligt att det bara är jag?!