Ingen tap fra svindel mot nettbank

Men det var i fjor. I år har bankene slitt med «SpyEye». Finanstilsynet forteller.

I går la Finanstilsynet fram sin årlige Risiko og sårbarhetsanalyse av finansforetakenes bruk av IKT.

Rapporten dekker risiko og sårbarhet i all bruk av IT i banker og finansforetak, det vil si alt av tjenester til forbrukere og bedrifter, betalingsløsninger og egen drift. Også algoritmisk verdipapirhandel hører til helhetsbildet, i likhet med interne systemer for beslutningsstøtte og risikoanalyse. Risikoområdene som framheves er:

  • Skimmingangrep mot minibanker
  • Angrep mot nettbankløsninger
  • Mangelfulle katastrofeløsninger
  • Mangelfull styring ved utkontraktering
  • Endringer hos leverandørene

I denne artikkelen dreier det seg om to av disse områdene: betalingskort og nettbank.

I sin orientering til pressen, viste seksjonssjef Frank Robert Berg blant annet disse tabellene over tapstall ved svindel gjennom henholdsvis betalingskort og nettbank (alle beløp er i hele tusen kroner):

Svindel gjennom betalingskort kostet altså norske banker nesten 67 millioner kroner i 2010. Svindel gjennom nettbank ved ondsinnet kode, hacking, phishing eller andre former for digitale angrep kostet bankene null kroner. Den eneste registrerte typen nettbanksvindel som påførte bankene tap, og da på under 2,4 millioner kroner, er den der svindlerne disponerte offerets kodebrikke, fødselsnummer, passord og kontonummer, og følgelig greide å utgi seg for å være kontoinnehaveren like godt som kontoinnehaveren selv.

Ut fra dette er det bare ett område å forbedre, nemlig autentiseringsprosessen, for eksempel bruk av fingeravtrykkssensor på kodebrikken, slik at éngangskoden bare vises dersom fingeravtrykket svarer til det som er lagret i brikken.

Ellers er det verdt å merke seg at dårlig sikret netthandel sto for 14 prosent av tapene ved svindel med betalingskort. Stjålet kortinformasjon som er overført til falske kort sto for 50 prosent, og misbruket her skjer i all hovedsak utenfor Norge. Misbruk av fysiske kort står for 35 prosent av svindelen, og her skjer det meste i Norge.

Som kjent ble den norske nettbankidyllen brått brutt 15. februar i år, da trojaneren SpyEye greide å gjennomføre flere transaksjoner.

– Det forrige nettbankangrepet mot Norge, for fire år siden, ga 500.000 kroner i tap, forteller seksjonssjef Berg. – Angrepet fra Zeus-trojaneren i desember 2010 førte ikke fram, på grunn av beredskapstiltakene. Vi tror dette angrepet i realiteten var en test for å forberede noe større. Det kom i januar, februar og mars gjennom angrep med en annen trojaner, SpyEye. I februar var det dessuten et storstilt phishingangrep mot Sparebank 1 Gruppen.

Opplysninger samlet inn av NorCERT tyder på at rundt 2.500 norske pc-er var infisert i løpet av SpyEye-angrepet. Ti reelle transaksjoner ble sendt, og noen av disse ble gjennomført. Flere banker ble berørt. To har hatt tap, på til sammen 370.000 kroner i overføringer til utenlandske kontoer i euro.

– Uten effektive beredskapstiltak og uten enorm innsats fra både bankene og Bankenes standardiseringskontor (BSK) kunne tapet vært mye større, opp mot 100 millioner kroner, sier Berg.

Seksjonssjefen beskriver et svært tett samarbeid, med transaksjonsovervåkning, utveksling av IP-adresser og utveksling av informasjon om «mules», altså kontonummer og navn som skulle motta overføringene beordret av SpyEye. Det ble også innført manuell SWIFT-kontroll, det vil si av transaksjoner over det internasjonale meldingsnettverket bankene imellom.

– Noen banker var litt trege med å innføre manuell SWIFT-kontroll. Det var der tapet kom.

Det ble holdt en full gjennomgang av disse hendelsene 15. mars, med alle bankene, BSK og Finansnæringens Fellesorganisasjon (FNO). I tillegg til tiltak for skjerpet beredskap og bedre samarbeid blant finansforetakene, utløste møtet to initiativ overfor andre aktører.

– Vi ønsker å få nettilbyderne med på et frivillig samarbeid for å luke ut uønsket trafikk. Dette er etablert i Danmark, og det fungerer. Vi tar også sikte på et samarbeid mellom bankene og antivirusleverandørene for raskere spredning av oppdatert antivirus til nettbankbrukere. Vi vil ha mye fokus på dette.

Berg mener at beredskapstiltak har en avvergende virkning overfor kriminelle miljøer.

– Kriminelle foretar også kost/nytteanalyser. Er forventet gevinst for lav i Norge, flytter de til andre land.

Til slutt forsikrer han:

– Vi vet nå at SpyEye-angrepet er over.

Til toppen