Hackare kan lätt tömma kontot

Det här är Rikard och Thomas. De kan tömma ditt internetbankkonto på pengar. Och stjäla känslig information från stora företag. - Det skulle ta mig två veckor att bli ekonomiskt oberoende, säger Rikard Carlsson.

7 oktober 2003 kl 05:30, uppdaterad: 30 mars 2008 kl 23:02

Thomas Möller och Rikard Carlsson arbetar med att testa säkerheten hos företag och säger att de lätt kan tömma ditt internetbankkonto på pengar

Som tur är tänker de inte göra det. De arbetar i stället med att skydda företag från just sådana stölder.
- Enda sättet att kolla säkerheten är att göra på samma sätt som dataförbrytarna gör, säger Rikard Carlsson.
Han och Thomas Möller är säkerhetsrådgivare på iXsecurity, ett dotterbolag till it-säkerhetsjätten SunGard. Det är inte särskilt kul att lyssna på dem om man själv gör sina bankärenden på nätet.
- Jag skulle kunna stjäla pengar från nästan alla som använder internetbanker. Det krävs bara att de gör ett misstag, och det gör nästan alla, säger Rikard.
Varje ny e-bankkund måste godkänna att banken placerar ett certifikat i användarens dator. En duktig hackare kan skapa ett nästan likadant fönster som kunden får upp på skärmen. Klickar då bankkunden okej har han plötsligt loggat in hos hackaren i stället för hos banken. Hackaren skickar sedan informationen vidare till banken, men väljer först själv vart pengarna ska placeras.
Datorer på internetkaféer lämpar sig extra bra för bankstöld, eftersom många banker endast använder en statisk pinkod och personnummer.

En hackare kan placera en så kallad keyboardlogger, som spelar in tangetbordstryckningar, på den allmänna datorn. Sedan går han tillbaka efter några dagar och ser om det har blivit något napp. Upptäcker han att någon har skrivit in adressen till en bank kan han därefter lätt se både kod och personnummer. Då kan han själv göra affärer på det bankkontot.
- Problemet är att det sällan finns så mycket pengar på kontona. Det är bättre att attackera stora företag som omsätter miljoner euro varje dag, säger Rikard.

Hur många företag som verkligen drabbas av allvarliga intrång är svårt att säga. De stora svenska företag och banker SvD talar med betonar att de har ett mycket gott skydd.
Men de är rädda att skylta med det offentligt. Om ett företag säger ”vårt system är idiotsäkert” känner sig de duktigaste hackarna utmanade och ger sig på nätverket med detsamma.
De som har drabbats av maskar eller virus förnekar ofta att de har påverkats ekonomiskt. Storföretaget ABB vägrar diskutera effekten av masken Welchia som tog sig in i företagets system i augusti.
Personalrekryteringsföretaget Proffice hade nyligen driftsstörningar i sex dagar på grund av en mask eller ett virus.

- Vi tappade inte några intäkter. Arbetet har bara förskjutits i tiden, säger informationschef Hans Uhrus.
Säkerhetsföretagen, som tjänar pengar på företagens oro, tar i desto mer när de beskriver kostnaderna.
Rikard Carlsson nämner hur maskattacken i augusti påverkade en kund, ett stort företag med högsäte i Nederländerna som förlorar mycket pengar varje sekund verksamheten ligger nere.
- De fick stänga ner och skicka hem sina anställda.

Ett annat stort svensk företag valde att ta ner sin server den eftermiddag masken Sobig F var programmerad att ändra beteende.
Informationsstölder är ett annat stort problem. Så sent som förra veckan bröt sig hackare in hos speltillverkaren Valve och stal källkoden till spelet Half-life 2. Spelet sprids nu på internet redan innan
det har släppts på marknaden.
- I den digitala åldern syns det inte när man stjäl. Det saknas inga pärmar, säger Thomas.

Allt fler företag går över till trådlösa nätverk, men utan att kryptera dem. Det ger hackare fritt tillträde. När SvD testade 850 trådlösa nätverk i Stockholm förra året var bara 33 procent krypterade.
Lösenorden i systemen är ofta busenkla och även tidigare anställdas lösenord kan ligga kvar i systemen i flera år.
Trodde du förresten att ingen annan kan läsa din e-post? Det här är Rikards kommentar:
- E-post är som ett vykort som ligger framme i fikarummet.

Twingly Blogsearch

Fakta

It-säkerhet hos
svenska storföretag.
• 49 % saknar policy för it-säkerhet.
• 39 % har inte
bedömt följderna
av ett avbrott.
• 52 % saknar plan för hantering av längre avbrott.
• 43 % har drabbats av avbrott de senaste två åren.
• 90 % informerar inte om it-säkerheten till aktieägarna.
• 20 % av brandväggarna forceras.
• 80 % av interna
it-miljöer är ej skyddade mot sabotage/manipulering via internet.
• 30 % av alla lösenord knäcks inom 30 minuter.
• 10–15 % kommer inte igång med
befintliga backuper.
• 65–70 % har mer
eller mindre allvarliga brister i de befintliga backuperna.

Källa: Sungard

Visa mer fakta

Maria Wahlberg
Markus Lutteman

Toppnyheter SvD.se

”Tag med hjälm och gasmask”

Våldsamma demonstrationer väntar inför regeringens debatt.
Skvaller skapar sammanhållning

Skvaller dämpar stress enligt ny studie.
Höjd trängselskatt för bättre Stockholmsluft

Länsstyrelsen föreslår trängselskatt på Essingeleden.