År 2005 genomfördes tio brottsliga internetangrepp mot kunders konton i Sverige. Ett år senare hade antalet ökat till knappt 300 och förövarna kom över åtta miljoner kronor. Det visar en kartläggning från Finansinspektionen.
De direkta angrepp mot banker som identifierats har handlat om att utmatta bankens brandväggar för att på det sättet ta sig in. Bankerna har då temporärt tvingats stänga sina internettjänster på grund av att attackerna blockerat systemet. Hittills har bankernas säkerhetslösningar varit tillräckliga för att undvika direkta intrång i banken. Därför söker angriparna ytterligare vägar och kan därför inleda angreppet genom att först lura bankkunderna.
Så kallad ”Phising” är det huvudsakliga tillvägagångssättet och så kallad ”Pharming” är ett annat.
”Phising” innebär att kunden luras att lämna identifikationsuppgifter som exempelvis kontonummer och lösenord. Massmejl är idag ett vanligt sätt. Kunden får ett mejl som ser ut att komma från en säkerhetsavdelning på banken. I mejlet lämnas information om att någon incident har hänt och att kunden måste verifiera sina uppgifter.
”Pharming” innebär att kunden ”kidnappas” och sänds till en hemsida som ser ut att vara bankens men som inte är det. Syftet är att få kunden att tro att denne är inne hos banken. En metod är att använda så kallade trojaner som innebär att man överför ett program till kundens dator för att på så sätt styra användaren.
Många av de kunder som är drabbade saknade virusskydd eller hade inte uppdaterat sina virusprogram. Det är främst kunder till banker som använder fasta engångskoder som har drabbats av angrepp som lyckats.
Enligt finansinspektioner är det bankerna som ansvarar för att det ställs relevanta säkerhetskrav gentemot kunderna.
I framtiden bedöms angreppen bli mer tekniskt avancerade. Hittills har det mest handlat om angrepp som varit relativt enkla tekniskt sett. Det är inte heller osannolikt att angreppen kommer att ändra karaktär och exempelvis riktas mot kunder som har stora tillgångar och som utför många transaktioner.
Idag finns ingen särskild regelring av vem som bär det ekonomiska ansvaret. Finansinspektionen kommer dock att verka för att bankerna bör ha huvudansvaret för de brottsliga angreppen. Finansinspektionen avser inte heller att detaljreglera vilken säkerhetslösning bankerna ska ha men anser att företag som erbjuder finansiella tjänster på ett tydligt sätt bör informera kunderna om riskerna med Internet, vilka säkerhetslösningar som valts och varför, kundens behov av skydd och vem som har ansvaret när det uppstår en skada.
Nina Radojkovic
