Trojaner herjer danske nettbanker

Advarer kunder etter målrettede angrep.

Danske Nordea advarer kundene sine etter at flere skal være rammet av en skummel Windows-trojaner kalt Carberp.

- Det er for øyeblikket et virus i omløp. Det gir hackere kontroll over pc-en slik at de kan se hva du gjør. De kan også ta over forbindelsen til nettbanken din, advarer nettbanken.

Carberp installerer en bakdør i ofrenes datamaskiner og åpner for såkalte «mannen i midten»-angrep. Slik kan kriminelle avlytte og manipulere informasjon som sendes til og fra nettleseren.

Imponert av koden

Den manipulerte HTML-koden som ofrene serveres er svært forseggjort. Det er lagt ned mye arbeid for å unngå at ofrene oppdager svindelen.

Skadevaren benytter blant annet JavaScript lagret på nettsider med ekte SSL-sertifikater (over HTTPS). JavaScript-koden som benyttes er utviklet for å omgå sofistikerte to-faktor-autentiseringsrutiner, ifølge en analyse gjort av sikkerhetsselskapet TrustDefender.

I analysen beskrives JavaScript-koden som benyttes som «imponerende». Samtidig påpekes det at den virkelige trusselen ligger i skadevarens konfigurasjonsmuligheter.

Målrettet angrep

Flere tusen danske nettbrukere skal ha blitt infisert av Carberp via nettsidene til Midtjyllands Avis i slutten av november. Da ble det oppdaget at skadevaren var blitt hacket inn på avisens system for bannerannonser, ifølge sikkerhetsselskapet CSIS.

Et skadelig skript skal ha blitt lagt inn på samtlige bannerannonser vist på Midtjyllands Avis i en periode over noen dager, samt flere nettaviser som bruker deres annonsesystem.

Ved hjelp av forgiftede bannere skal trojaneren ha infisert intetanende besøkende ved å utnytte sikkerhetshull i ikke-oppdatert programvare, herunder Adobe Flash, Adobe Acrobat/Reader, Java JRE og Microsoft Internet Explorer.

CSIS har utviklet et gratis verktøy som sjekker om datamaskinen er infisert. Nordea oppfordrer danske kunder om å skanne maskinene sine. De som er rammet bes snarest om å sperre tilgangen til nettbanken.

Carberp skal ha vært konfigurert spesielt for å angripe utvalgte danske banker, inkludert Saxo Bank og Nordea, ifølge Comon.dk.

Verken Nordea i Sverige eller Norge går ut med lignende advarsler som deres danske avdeling.

- Trojanere innebærer risiko. Vi trenger ikke peke på konkrete trusler. I stedet gir vi mer generelle direktiver og oppfordrer kundene våre til å ha god kontroll med sine antivirusløsninger, sier leder for Nordeas nettbank i Sverige, Ingemar Borelius til IDG.se.

Nordea benytter ulike løsninger i forskjellige land. Nettbankene stammer i stor grad fra de mange bankene som ble del av finanskonsernet gjennom storfusjonen i 2000.

- Jeg antar at trusselnivået mot oss ikke er særlig høyt, siden jeg ikke er blitt involvert, sier informasjonssjef Thomas Sevang i Nordea Norge til digi.no.

    Les også:

Til toppen