Hopp til navigasjon Hopp til innhold

Super-virus går rett i banken

Banditter samler kontoinformasjon i kjempearkiv.

Sikkerhetsselskapet RSA har avdekket at et viruset Sinowal systematisk har stjålet kontoinformasjon fra et sted mellom 300 000 og 500 000 bankkunder verden over i to år.

Simulerer bankside

Selskapet har beregnet at viruset smitter fra rundt 2700 nettsteder. Teknikken som brukes er såkalt «drive by download», en metode vi nylig ble kjent med gjennom et Facebook-virus som ser ut som en hyggelig videomelding fra en venn, men som linker til en side som installere en trojaner.

I Facebook-tilfellet måtte du aktivt klikke på en installasjonsfil for å få viruset, noe de færreste oppegående PC-brukere i dag vil gjøre. Men Sinowal er mye farligere. Denne trojaneren krever bare at du er innom nettstedet og logger deg inn.

Viruset sprøyter inn kode i nettleseren din. Koden gjør at nettleseren lager en tro kopi av den ordinære banksiden din. Når du seinere logger deg inn i det du tror er nettbanken din, legger du i virkeligheten inn informasjon til glede for bandittene, uten av verken du eller banken merker det.

Alt unntatt Russland

Flere hundre banker verden over skal være rammet, men mistenkelig nok er ingen av disse russiske. Selv om bakmennene ennå ikke er lokalisert, holder sikkerhetsekspertisen det for sannsynlig at opphavsmennene kan være østeuropeere.

Det mest skremmende er at de samme sikkerhetsfolkene antar at bakmennene etter to år med aktiv kontospionasje ennå bare er i innsamlingsfasen, og at de kan komme til å bruke informasjonen i et storangrep mot hele det vestlige bankvesenet ved en senere anledning.

Enorme investeringer

– Hvilken som helst IT-ekspert vil kunne fortelle deg at det koster enormt å vedlikeholde og oppdatere den informasjonen som her blir samlet inn. Gruppa som står bak dette har helt klart valgt å investere i en slik infrastruktur fordi potensialet for inntjening er så enormt, sier RSA-eksperten Sean Brady.

Det fryktede viruset, som også er kjent under navnene Torpig og Mebroot, ble oppdaget så tidlig som i februar 2006. Men lite ante ekspertene den gangen at konsekvensene skulle bli så alvorlige.

– Det mest intelligente hittil

Det skremmende med dette viruset er at det sletter alle spor, og regnes som uhyre vanskelig, om ikke umulig å oppdage.

Det dreier seg om en ultra-avansert trojaner som flere eksperter beskriver som det mest intelligente, digitale kriminelle verktøyet som noen sinne er laget.

Norske banker rammet

I 2006 avdekket Telenor at to av de største bankene var rammet – DnB NOR og Sparebanken 1.

Trojaneren klarer glatt å komme seg rundt bankenes pinkode-kalkulatorer. Selv om koden er ulik hver gang og blir ugyldig etter få minutter, kan Sinowal likevel klare å tappe kontoen.

– Slike trojanere kan bryte forbindelsen og flytte over eller opprette en forbindelse selv i sanntid. Man er da inne og kan overføre penger fra kontoen, endre passord og få oversendt digitale sertifikater, uttalte Frank Stien, leder for Telenor Sikkerhet, til digi.no den gangen.

Det har så langt ikke kommet rapporter om at vanlige bankkunder har tapt penger på svindelen.

Kilder:
RSA.com
Eweek.com
BBC

Stikkord: passord, sikkerhet, svindel, telenor