Skrämmande.

[n3uro]

Detta bevisar att folk blir helt galna när servrarna lägger ner.

http://www.aftonbladet.se/vss/nyheter/story/0,2789,980057,00.html

För övrigt tycker jag det är skrämmande att detta ens kan genomföras. Nu var det inte mer än 8 miljoner som försvann men det är ändå skrämmande.

[Oskar-]

äh, aftonbladet skall man aldrig lita på. En riktig sosseblaska är vad det är!

[waingro]

[[GTI]&an_oger]

Tja jag har fortfarande inte klicka på länken då den just leder till aftonbladet men om jag ska gissa vad det står så är det.

"idag har nordea åter utsats för ett bedrägeri där 8 miljoner har stulits från olika kunders konton"

Japp det är det som hänt.... dom har använt samma form av skit brev som senast användes då nordea kunder (även folk utanför nordea) blev bombade med mail från www.XXX.nordea.com

Dock om man den gången klickade på mailet så hoppade en liten retsam trojan in i burken och nästa gång du gick in på nordea så fick du ett felmedelande och sidan "stängdes ner" och sedan kom du inte in igen.

Nu har trojanen gjort sitt jobb och tagit kåden och användar namn, blocka dig från nordeas baksida medans dom glada i hågen länsar kontot och för pengarna till en bank i östeuropa.



Nordea hävdar att deras system är säker och att dom bara blir bombade för att dom är sveriges största bank...... FFS skraplotter och HTML sidor är något som man möjligen kan ha när ungarna på dagis leker BANK inte när Nordea leker bank med våra pengar..... summa sumarum BULLshit nordea ni blir bombade för att ni har ett kasst system som är stenålders.




Fotnot om aftonbladet...... aftonbladet suger inte för att det är en sose tidning utan för att det är en skvalerblaska som får en ding ding värld o verka seriösa.

[toffeln]

[Gramner]

[Oskar-]

[[GTI]&an_oger]

[crab_people]

[Quickis]

Alltid samma sak när folk som inte använder nordea ska hacka ner på andra banker. De har gjort 0 research men har ändå alla svaren?
trojan räcker kanske för att du ska kunna logga in på någons konto ja. Men sen då? Du måste använda en ny kod så fort du ska göra någonting mer än att browsa.
Jag förstår fortfarande inte riktigt hur den där trojanen fick reda på resten av alla koder. Om de kan ta reda på det så borde de även kunna ta reda på alla andra bankers koder. Det är väl någon enorm matematisk formel på alla dessa internetbankskoder gissar jag?

[n3uro]

Sen är det väl så att alla banker använder olika säkerhetssystem, därför är det kanske inte lika enkelt att hacka sig in på andra banker.

[mts]

Nu är jag själv inte nordea-kund men "skraplotten" är såvitt jag vet unik för varje kund, du behöver en kod för varje inmatning du gör (inloggning, godkännande m.m) vilket gör att om du som elake Eve kan med hjälp av t.ex phishing komma åt två av koderna på skraplotten kan du t.ex logga in och genomföra en transaktion.
Det här var i teorin ett jättebra och billigt sätt eftersom det är engångskoder vi pratar om, man tänkte nog inte på det faktum att det går att spoofa en banksida för att komma åt engångskoder när systemet utvecklades. Andra banker började med koddosor som har visat sig vara betydligt fiffigare, du får två fyrsiffriga nummer att knappa in i din dosa (som är skyddad med en PIN om fyra tecken) och får som svar en åttasiffrig kod som är din inloggning. Den här typen av beräkningar som utförs är jätteenkel... men bara åt ena hållet. Att räkna "baklänges" för att kunna lista ut algoritmen är _väldigt_ svårt. (ska se om jag har kvar mina slides från presentationer jag haft i ämnet och posta dem nånstans)

Men som sagt... när nordea utvecklade systemet var det verkligen jättebra.

[KrosuZ]

[Fairlane]

Mts har en rätt bra beskrivning av problemet, nämligen att kommer man över koderna på skraplotten så kan man komma åt någons konto och genomföra transaktioner.

Så frågan är väl om de andra bankernas system är så mycket säkrare. Mitt svar är i princip nej. Så länge det finns korkade kunder som ger ut all information till bedragarna så kommer pengar försvinna. Nordea-bluffen går i princip ut på att be användarna gå till en hemsida och där skriva in de 10 nästa koderna som står på skraplotten. När skurken gör detta så kan han såklart flytta pengar med dessa koders hjälp. Skulle något liknande gå att göra på andra banker så kan nog inte deras säkerhet anses som särskilt mycket högre. Så låt oss analysera de övriga storbankerna.

Swedbank: Här har man en dosa som genererar engånglösenord. Hmm, engångslösenord känner vi ju igen från Nordea-fallet. Engångslösenord i sig är mycket bra säkerhet, under förutsättning att de används korrekt. Så frågan är kan jag som bedragare lura en kund att använda engångskoden fel och därigenom komma åt kundens konto. Svaret är ja! Sätt upp en hemsida som liknar bankens. Be kunden surfa dit och svara på de frågor som ställs på sidan. Först frågar bedragaren efter kontonummer och kopplar samtidigt upp sig mot banken. Sen vill bedragaren logga in och ber kunden om en kod för att "kontrollera att systemet är korrekt", på samma sätt som i Nordeafallet. Bedragaren loggar in och startar en transaktion. Denna transaktion ska nu "signeras" (jag sätter signeras inom situationstecken eftersom det inte är en riktig signering som genomförs). Banken ber bedragaren signera och gissa vilken fråga bedragaren ställer till kunden?

SE-banken: Se Swedbank

Handelsbanken: Handelsbanken kör ett annat system. Där kan man använda e-id, eller andra certifiktat. De har även en ny variant som jag inte tittat på, men jag tolkade det som att det påminde om skraplotter. Tanken med den nya varianten var att slippa installera programvara på en dator. Om man använder sig av e-id eller annan form av certifikat blir det svårare att lura banken/kunden på samma sätt som ovan. Däremot är en trojan mycket värre för Handelsbanken än för övriga banker. En trojan kan ta reda på knapptryckningar (för lösenordet) och certifikat och sen är man som användare rökt. En trojan som sniffar engångskoder är ingen större fara eftersom engångskoderna bara kan användas just en gång.

Således måste jag nog anse att de flesta banker har ungefär samma nivå på säkerheten, men det är bara min ringa åsikt efter att ha jobbat med datasäkerhet i 10 år, där jag bland annat tagit fram en specifikation för en internetbank. Vårt förslag på hur man skulle bygga säkerheten kring internet-banken antogs av högsta ledningen i banken och skulle varit i bruk idag om inte banken blivit uppköpt i samma veva och den nya banken ville ha sitt system även här. När jag ändå är inne på meriter så kan jag väl säga att jag byggt en certifikatsutgivare som används i åtminstone två banker i världen.

Slutligen kan jag väl nämna hur bankerna tänker när det gäller detta med säkerheten. Vi kunde byggt ett system som var klart säkrare än ovan nämnda (men ändå inte obrytbart), men det hade kostat multum. Bankerna räknar så här: Om något händer så riskerar vi att förlora 8 miljoner kronor. Risken att det händer är 1/3, således förlorar vi i snitt 2,6 miljoner varje år. Säkerhetssystemet för att täppa till problemet kostar 50 miljoner i införelseavgift och därefter 5 miljoner årligen. Vi tar nog förlusten när det händer, trots lite badwill.

[mts]

fair, swedbank/SEB kräver ju att du matar in en oktett vilket gör det hela en aningens mer svårspoofat (iofs, när du får en träff på bluffsidan behöver du egentligen bara läsa från den skarpa sidan vad du ska skriva ut från den "riktiga".
Men det kräver ju ändå att ditt intrång sker innan sidans giltighet är över (sessions är väl inte ens fem minuter på internetbanker va?)

Kan ju tillägga i farten att de summorna FSB(Swedbank) och SEB la ner när det hela begav sig på att göra den säkraste och bästa banken är helt horribla, Nordea valde en billigare lösning som nog fortfarande är mer lönsam trots intrången.

[woody]

Jag har Länsförsäkringars Bank. Deras säkerhet ska vara väldigt hög sägs det, har aldrig hört om nån som förlorat pengar via dom.

[Fairlane]

[mts]

[KrosuZ]

Som det stog i DI i dagarna tror jag på att Nordea har fått flest attacker för det är den största privatbanken i Norden/Baltikum.

Fler kunder större sannolikhet att fler skicka in sina koder....

menar gör det en attack mot en lokalbank, som Öjabys Sparbank där det finns ett hundratalkunder... finns det en väldigt stor risk att inte någon nappar, med andra ord har man laggt ner en hel del pengar i onödan på att fixa ihop hemsida, hackers som tar över sidan osv osv...

Isf är de smartare att satsa på den största banken....

Dessutom är det inte allt för många som lämnar in sin e-mail till bankerna..
menar som jag skrev tidigare så har jag aldrig fått ett e-mail från nordea. Mest beroende på att jag har aldrig lämnat ut dem min e.mail.

Har ytterligare två på korren som har Nordea, som huvudbank en av dem har fått e-mail att skriva in sina koder på en sida... Han gjorde dock inte detta för han förstod inte poängen. Sedan läste han även tidningarnas varningar. Den andra har inte heller fått något mail från nordea.

[Fairlane]