Att nätbedragare hackar sig direkt in via autentiseringslösningar, alltså det bankkunder använder för inloggning i sina nätbanker, är ovanligt.

– Det bedragarna gör är att med allt mer raffinerade metoder såsom trojaner ta över kontrollen av användarnas inloggningsprocesser och därigenom försöka tömma konton. De bankkunder som drabbas oftast använder internetbanker med de svagaste autentiseringslösningarna, säger Jonas Thambert, säkerhetsrådgivare på Sitic.



Nätfiske är fortfarande den i särklass vanligaste metoden för att lura folk att lämna ifrån sig information om pin-koder och lösenord för att där­igenom skaffa sig tillgång till deras internetbanker och tömma bankkonton.

En ny form av virus kallad ”man in the browser” sprids nu till bankkunder i USA. För att komma åt kundernas bankkonton på nätet sprider bedragarna först sofistikerade trojaner som landar i surfares datorer. Trojanerna har kommit in i datorerna de klassiska vägarna, via e-post eller någon webbplats som infekterar datorerna.

När man surfar till sin bank börjar trojanen avlyssna tangenbordsnedtryckningar eller skickar trafiken till en annan dator på internet som fungerar som ett relä mellan internetbanken och kunden.

– Då kan information som går krypterat mellan kunden och internetbanken förvanskas i realtid utan att kunden märker det. Kunden loggar in på internetbanken men all trafik går via en tredje dator som hackaren styr över och där trafiken kan modifieras, säger Jonas Thambert.

Transaktioner kan till exempel ändras på vägen eller om kunden frågar efter saldo eller transaktionshistorik så ser det korrekt ut fast kontot kan vara länsat.

– Ju mer information en bedragare kan samla på sig om en bankkund, desto större möjlighet att ut­föra bedrägerier, säger säkerhetskonsulten Pål Göran Stensson på säkerhetsföretaget Defensor.

Han delar inställningen att bedragarna riktar in sig på de bankkunder som använder internetbanker med de svagaste autentiseringslösningarna.

– Ju starkare autentiseringslösningar en bank har och ju fler sätt att styrka kundens identitet, desto svårare är det för bedragarna att via till exempel trojaner komma åt känslig information på användarnas datorer, säger han.

Han konstaterar att nätfiske inte är beroende av låg säkerhet i bankens autentiseringslösningar eftersom det är kunderna själva som luras att lämna ut sina lösenord. Däremot kan en hög säkerhetsnivå på en autentiseringslösning förhindra att bedragarna via till exempel trojaner lyckas stjäla lösenord och annat på användarnas datorer.

Ur bankens perspektiv finns det flera saker att ta hänsyn till när det gäller autentiseringslösningarnas säkerhetsnivåer, menar han.

– En internetbank utgår alltid från den hotbild banken har. En tumregel är att priset för säkerhetsfunktionen inte får överstiga kostnaden för risken som ska begränsas eller förhindras. Å andra sidan kan en internetbank också höja säkerheten för att få en konkurrens­fördel, till exempel att vinna kunder.

– Men säkra lösningar får inte ske på bekostnad av användarvänligheten. Krångliga lösningar gör att kunder blir irriterade. Risken är stor att de byter bank, säger Pål Göran Stensson.

Autentisering – så funkar det

Mjuka certifikat

Mjuka certifikat är en fil som ligger i bankkundens dator. Användaren måste ha ett lösenord för att låsa upp certifikatet när det ska användas. Nackdelen med lösningen är att en bedragare kan få tag på både certifikatet och användarens lösenord. Det kan ske genom att en trojan via nätet placeras i bankkundens dator. Trojanen kan kopiera certifikatet till bedragaren som bara behöver vänta tills bankkunden loggar in med certifikatet och lösenordet. Problemet är inte om certifikatet är tillräckligt bra utan att det går i samma kommunikationskanal som lösenordet.

Säkerhet: 2   Användarvänlighet: 4


Användarnamn och lösenord

Den mest grundläggande nivån för att kunna logga in på en internetbank är att ha två lösenord. Ett för själva inloggningen, och ett för en signering av det som ska betalas.
Den här lösningen är användarvänlig men en katastrof ur ett säkerhetsperspektiv. Det är ganska enkelt att få tag i program som lätt knäcker lösenord. Ingen svensk bank använder lösningen när kunderna ska kunna överföra pengar. Däremot finns lösningen för att kunna se saldouppgifter, vilket kan bädda för andra bedragarmetoder för att komma åt pengarna.

Säkerhet: 1   Användarvänlighet: 4


Tvåfaktorsautentisering

Vissa banker använder en så kallad tvåfaktors­autentiseringslösning som utnyttjar befintlig utrustning hos kunden, till exempel en mobiltelefon. I samband med kundens första inloggning på internetbanken registreras ett mobiltelefonnummer. Vid inloggning skickas en engångskod via sms från kundens bank. Engångskoden tillsammans med användarnamn och lösenord gör att kunden kan logga in.

Ur ett användarperspektiv är det enklare att komma åt mobiltelefonen än engångslösenordsdosan. Och det är en kostnadseffektiv lösning för banken.

Fördelen är att hela autentiseringen inte går i samma kommunikationskanal utan dels via nätet, dels via mobilnätet. Nackdelen är att överföringen inte är krypterad och att mobiltelefoner är stöld­begärliga.

Säkerhet: 3  Användarvänlighet: 5


Mjuka motfrågor

Vid registrering av kontot upprättas någon hemlighet mellan kunden och banken. Det kan vara ytterligare ett hemligt ord eller fras som sen aldrig utväxlas mellan bank och kund. Vid vanlig inloggning frågar banken efter användarnamn, lösenord och till exempel tecken 4 och 7 i den delade hemligheten.
Det försvårar för brottslingen som kan behöva se ett flertal inloggningar för att knäcka hemligheten.

Säkerhet: 1  Användarvänlighet: 4


Bootbara externa medier



En av de säkraste autentiseringslösningarna är att bankkunderna använder ett så kallat bootbart usb-minne eller cd-/dvd-skiva. Innan en kund kan logga in på sin nätbank måste han först stoppa in boot­enheten och starta om datorn. Det innebär att datorn startar från det externa mediet i ett säkerställt tillstånd där endast verifierad kod körs. Det frikopplar bankens kod från kundens eget operativsystem. Det måste i sin tur kombineras med ovanstående varianter på autentisering för fullgott skydd.

Lösningen är den enda av de uppräknade som har ett rejält skydd mot man-in-the-browser attacker. Men ur ett användarperspektiv är det en krånglig och tidsödande lösning, som inte används av någon svensk bank.

Säkerhet: 5  Användarvänlighet: 2



Förgenererade lösenord

Lösningen bygger på förgenererade engångskoder på skrapkort i kombination med en fast fyrsiffrig pinkod. Korten skickas ut per post till användaren. Plastkorten har skrapfält med nummer som skrapas fram efter behov vid inloggning och signering tillsammans med pinkoden.

Fördelen med lösningen är att den fyller funktionen av HAR (se faktarutan om KAN, HAR och ÄR) i autentiseringen och inte är kopplat till datorn i sig. Bedragarna kan alltså inte att knycka koderna via nätet bara för att man tar över kundens dator.

Nackdelarna ligger i att koderna är förgenererade. Det finns två sätt för brottslingen att få tag på koderna, antingen stjäla kodbrickan rent fysiskt eller lura användaren att ge oanvända skrapkoder över nätet. Exempel på det sistnämnda råkade Nordea ut för. Det är alltså inte autentiseringslösningen i sig som har säkerhetsbrister, utan att Nordeakunderna lurades av nätfiske.

Säkerhet: 3  Användarvänlighet: 3

Engångslösenordsdosa

För att använda dosan måste en personlig sifferkod anges innan användning. Vid inaktivitet stänger dosan av sig igen inom en kort tidsperiod. Koderna används för att logga in på användarens internetbank och signera räkningar. Dosorna skapar engångs­lösenord med hjälp av en kontrollfråga skickad från servern. Systemen fungerar som digipassen, då du från banken får en kontrollfråga som ska knappas in på dosan. Resultatet, kontrollsvaret, skickar du tillbaka till banken som då kan verifiera att du är du och att du svarade på just den frågan.

En viktig säkerhetsfunktion är att dosan spärras efter tre misslyckade inknappningsförsök. Dosan hindrar inte man in the browser-attacker per definition. Men den kan försvåra genom att använda sig av summor och kontonummer som kontrollfrågor. Det kräver att kunden är medveten om vad han gör för att skyddet ska fungera. Den i särklass största nackdelen med dosorna är om någon känner till lösenordet och får tag på dosan. Då är det fritt fram att föra över pengar.

Säkerhet: 4   Användarvänlighet: 4


Kortläsare och kodgenerator


Ett nytt system är en kombinerad kortläsare och kodgenerator. För att en kund ska kunna logga in i banken måste man stoppa in sitt bankomatkort i en kortläsare och knappa in sin bankomatkod. Därefter knappar kunden in sitt personnummer i nätbanken och får tillbaka en kontrollkod som skrivs in i kortläsaren som genererar en tidsbegränsad svarskod för att kunna logga in i banken. För att bekräfta en betalning upprepas proceduren en gång till.

Ur ett säkerhetsperspektiv är den i klass med engångslösenordsdosorna. Fördelen med lösningen är att den ska kunna användas för e-handel i fram­tiden. Användaren slipper skicka kortinformation till e-handlaren utan auktoriserar själv transaktionen gentemot banken. E-handlaren får kvittens av banken på att transaktionen är genomförd.

Säkerhet: 4    Användarvänlighet: 4

Illustrationer: Kjell Eriksson