Slik kan din konto kapres

Ved hjelp av et utvalg programmer og et falsk sertifikat, kunne datasnoker sannsynligvis ha kapret alle kontoer i SkandiaBanken.

Alle som har konto i SkandiaBanken kunne teoretisk sett fått dem åpnet av dyktige crackere. Det viser seg at det frem til for få uker siden var mulig å forfalske sertifikatene som banken bruker, og få den til å tro at du var hvilken som helst bruker. Autentiseringen foregår ved hjelp av 512bit SSL-nøkler, og disse kunne altså fabrikeres av noen utenfor banksystemet.

Dermed manglet bare PIN-koden for å komme seg inn på kontoen. PIN-koder kan sniffes ved hjelp av tastatur-registreringsprogramvare og andre teknologier som er standard på en rekke spionprogrammer som for eksempel NetBus. Har du et spionprogram på maskinen din, kan crackere koble seg opp til maskinen din og registrere ethvert tastetrykk du gjør hjemme i stua. Og da er de første to beskyttelsene brutt.


IT-sjef i SkandiaBanken, Ole Tom Pettersen, mener det likevel ikke var noen stor fare på ferde.

Det ligger en rekke beskyttelsesmekanismer i banksystemet, så faren for at noen skulle bli totalt loppet er kanskje ikke så stor - spesielt hvis man tar i betraktning at det måtte mye dedikert arbeid til for å lete opp all informasjonen som skulle til. Likevel viser dette at systemene er sårbare.

Det er bare SkandiaBanken som bruker akkurat dette autentiseringssystemet av nettbankene i Norge, og de har nå lappet hullet.

Etter det digi.no erfarer, ble metoden testet, og funnet å virke. SkandiaBanken skal ha oppdaget endel uautorisert trafikk på sine servere, og dette skal ha gjort dem oppmerksomme på problemet, ifølge Pettersen.


Til toppen