20 januari 2007

Bankrån mot Nordea (uppdaterad)

Den stora nyheten under gårdagen var den stora nyheten att det skett ett rån/bedrägeri mot Nordeas internetbank. Kommentaren från Nordea var förnekelse av att de har dålig säkerhet. De är i samma skrattretande förnekelsefas som sparbanken var i ett reportage för drygt tio år sedan där en säkerhetsansvarig hävdade att det var omöjligt att kopiera ett bankomatkort. Att kopiera ett bankkort är tekniskt sett samma sak som att kopiera ett kassettband eller en fil på en hårddisk.

Idag öppnar jag den internationella siten slashdot som konstaterar: "Largest Ever Online Robbery Hits Swedish Banks".

Jag har själv alltid varit kritisk mot Nordeas lösning med skrapkoder. Detta då man har kunnat använda dem i valfri ordning, det gör att om någon lyckas lura till sig en kod så är den giltig så länge dokumentet med koderna är giltigt. Skulle man tvingas att ta dem i ordning så minskar tidsfönstret för möjlig attack. Då nästa gång användaren går in på banken så är de gamla koderna också förbrukade. Detta var en av orsakerna till att jag inte valde Nordea senast då jag bytte bank.
Jag valde också bort Skandiabanken, som före jul nu själva insett sitt misstag och kompletterat sin lösning. De hade förut enbart ren mjukvarulösning som man med en trojan liknande den som nu används mot Nordea kan ge en inkräktare full tillgång till ens konto genom att kopiera certifikatet och avlyssna pinkoden. Där fanns ingen kod som inte lagras på datorn och som ändras efter varje användningstillfälle.

Hoppas detta blir en väckarklocka för bankerna.

Uppdatering:
Då nu aftonbladet verkar följa upp detta ganska noggrant med inte mindre än fyra bra (relativt för aftonbladet) artiklar så skulle man faktisgt kunna tänka sig att det börjar hända något. 1 2 3 4
Tricket bankerna har framför sig är att vara bättre än andra, det är alltid svagaste länken som blir utsatt. Men de måste fortfarande vara, eller ska jag säga måste bli, enkla för användaren att använda.

Inga kommentarer: