JAKTER DATAKRIMINELLE: Kjell-Ola Kleiven i selskapet RIG jobber med norske banker for å spore opp datakriminelle som bruker trojanere til å tappe norske nettbanker. Foto: Jacques Hvistendahl / Dagbladet
JAKTER DATAKRIMINELLE: Kjell-Ola Kleiven i selskapet RIG jobber med norske banker for å spore opp datakriminelle som bruker trojanere til å tappe norske nettbanker. Foto: Jacques Hvistendahl / DagbladetVis mer

Slik tømmer mafiaen kontoen din mens du sover

Med trojanere tar mafiaen seg inn i nettbanken din, og tømmer kontoen uten at du aner hva som skjer.

Hei, denne artikkelen er over ett år gammel og kan innholde utdatert informasjon

(Dagbladet): Det foregår den reneste cyberkrig i norske nettbanker: Kriminelle bruker russiske trojanervirus til å tømme norske nettbankkontoer.

Både DNB, Nordea, Sparebank 1 og Terra er blitt angrepet av datakriminelle, ifølge to ferske dommer. 2000 nordmenn har fått PCen sin infisert av trojanere rettet mot nettbanker.

- Russisk mafia selger teknologi for å konstruere slike angrep, sier Kjell-Ola Kleiven (34), daglig leder i selskapet Risk Information Group (RIG), til Dagbladet.

Kleiven vil ikke kommentere kundeforhold, men sier RIG bruker amerikansk og israelsk programvare for å slå tilbake mot den nye og svært avanserte kriminaliteten.

Utspekulert Kjell-Ola Kleiven skisserer følgende infiseringsmetode:

• Trojanerne spres via nettsider og klikkbare annonser. De installerer et usynlig program på brukerens PC.
• Brukeren logger så inn i nettbanken på vanlig måte, og legger inn en betaling.
• Da spretter det opp et nytt «sikkerhetsvindu», som ber om at betalingen godkjennes. Vinduet hevder å være på en sikker tilkobling.
• Om brukeren trykker OK, sendes hele kontobeholdningen til en konto som hackerne disponerer.
• Trojaneren øyeblikkskopierer skjermbildet slik at nettbankbrukeren ikke ser at noe er galt.
• Når brukeren logger inn i nettbanken igjen dagen etter, er kontoen tømt.

- De tømmer kontoen din mens du sover, sier Kleiven.

Artikkelen fortsetter under annonsen

2000 rammet En estlender (26) er i Nedre Romerike tingrett dømt til ett år og åtte måneders fengsel etter at 25 DNB-kontoer ble tappet med trojaneren SpyEye. Ankesaken pågår nå i Eidsivating lagmannsrett. Påtalemyndigheten vil ha 26-åringen dømt også for angrep mot Nordea, Sparebank 1 og Terra.

FRAMGANGSMÅTEN: Slik opererer trojanerne fra brukeren klikker på dem på nettet, til de er i aktivitet. (På engelsk.) Kilde: RIG/Trusteer
FRAMGANGSMÅTEN: Slik opererer trojanerne fra brukeren klikker på dem på nettet, til de er i aktivitet. (På engelsk.) Kilde: RIG/Trusteer Vis mer

Ifølge Dagens Næringsliv fikk 2000 nordmenn infisert PCen sin med trojanere utviklet for å få ut sensitive kontoopplysninger i saken.

26-åringen opprettet kontoer hos bankene, og lot ifølge dommen bakmenn sette stjålne penger på disse.

- På sett og vis kan hans funksjon på noen punkter sammenlignes med en kurér ved innførsel av narkotika, heter det i tingrettsdommen.

Mafiasiktet Politiadvokat Erik Moestue i Kripos opplyser til Dagbladet at 26-åringen opprinnelig var siktet etter straffelovens §60a - «mafiaparagrafen», men at politiet aldri klarte å bevise at han var del av en organisert kriminell gruppe.

26-åringen selv sa i retten at han bare har hatt kontakt med en person, og nektet for å være del av et nettverk. Dagbladet søkte i går hans forsvarer, advokat Abdelilah Saeme - uten hell.

- Etterforsker dere flere slike saker?
 
- Vi kommenterer ikke pågående etterforskning. Jeg har ingenting å opplyse om dette, sier Erik Moestue i Kripos.

Kredittkortinfo Også en 22-åring fra Haugesund er dømt for trojanerinnbrudd. Gulating lagmannsrett har dømt mannen til fire års fengsel for fem grove tyverier, 47 grove bedragerier, 26 forsøk på grove bedragerier, 51 simple bedragerier, ett forsøk på simpelt bedrageri og 64 datainnbrudd.

Mannen plantet såkalte «trojanere» hos et stort antall ofre, og skaffet seg tilgang til kredittkortopplysninger og passord. Ved hjelp av disse greide han ifølge dommen å svindle til seg nærmere 1,5 millioner kroner.

Mannen brukte både trojanere og såkalt «keylogging» - registrering av hvilke taster hackerofferet bruker, ifølge Haugesunds avis.

Hackerhjelp Kjell-Ola Kleiven i RIG sier hackerpenger er sporet til kontoer i Russland og Dubai.

- Hackerne kan også ramme selskaper. Vi vet at de også henter personopplysninger for å gjennomføre ID-tyveri, og at trojanerne kan programmeres til å ta opp og utbetale lån fra nettbankene, sier Kleiven til Dagbladet.

- «DNA» fra trojanerne har vist at det er snakk om russisk programvare. Mafiaen tilbyr til og med hjelp til kjøperne. Det er nærmest en helpdesk for trojanerhackere, sier Kleiven.

Beroliger Til Dagbladet sier både Sparebank 1, Terra, DNB og Nordea at deres nettbanker er sikre - men vil ikke gå i dybden på sikkerhetstiltakene.

Bankene sier de overvåker nettbankene hele døgnet og har inngående programmer for hvordan avsløre svindlerne.

- Kriminelle har alltid forsøkt å angripe pengestrømmer, og nå skjer disse angrepene elektronisk. Estland-saken viser at vi stort sett er et hestehode foran de kriminelle, og i dette tilfellet ble de kriminelle stanset og pågrepet etter et godt samarbeid med politiet, sier informasjonsdirektør Thomas Midteide i DNB.

-
Vi tror ikke at det blir færre forsøk på nettbankkriminalitet fremover, og metodene vil nok bli mer sofistikerte, sier informasjonsdirektør Christian Brosstad i Sparebank 1.

- Vi kan ikke å gå i detaljer på de tekniske tiltak vi iverksetter, men følger utviklingen tett og samarbeider med om dette andre aktører i næringen. For detaljer knyttet til dette er det best om du kontakter BSK/FNO ettersom de kan si mer på vegne av bransjen. Nettbanken er fortsatt den tryggeste betalingsmetoden. Men folk blir lurt og alle forsøk på svindel lar seg ikke stanse, verken i nettbanken eller på andre områder, sier informasjonsdirektør Sigurd Ulven i Terra.

MASSIVT: Sikkerhetsselskapene RIG og Trusteer har avslørt virus fra Australia, Russland, Brasil, USA og Sør-Afrika. Foto: RIG/Trusteer
MASSIVT: Sikkerhetsselskapene RIG og Trusteer har avslørt virus fra Australia, Russland, Brasil, USA og Sør-Afrika. Foto: RIG/Trusteer Vis mer