Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 31/7/2007
Et sikkerhedsfirma har opdaget et skadeligt program, der opsnapper fortrolig kommunikation med netbanker.Sikkerhedsfirmaet Finjan beskriver det nye program i rapporten "Malicious Page of the Month" for juli. Programmet bliver spredt via Mpack, der er et program, som kører på webservere. Mpack udnytter en række sårbarheder i browsere til at installere skadelig software på pc'erne, uden at brugerne opdager det.
Det aktuelle program lægger sig ind i kommunikationen mellem browser og server. Når det opdager, at der bliver kommunikeret med en af de netbanker, som programmet understøtter, sender det brugernavn og password til en server, som bagmændene har kontrol over. Samtidig sendes dataene også på normal vis til netbanken.
Når netbanken svarer, opsnapper programmet svaret. Det ændrer på websiden og sender den til browseren. På den måde ser det ud som om svaret kommer fra netbanken. Selv SSL-certifikatet i browseren er gyldigt og beviser, at den kommunikerer med den rigtige netbank.
I den bearbejdede side, som browseren viser, bliver brugeren bedt indtaste en række fortrolige oplysninger såsom kreditkortnummer og pinkode. Disse data sendes til bagmændenes server, når brugeren klikker på OK-knappen.
Ifølge Finjan vil det være meget svært for en bruger at opdage, at kommunikationen med netbanken bliver aflyttet. I modsætning til traditionelle phishing-websteder er der heller ikke noget i adressefeltet i browseren, der antyder, at kommunikationen ikke foregår korrekt.
Finjan har to gange med en måneds mellemrum sendt det skadelige program til test i en række antivirusprodukter. Hovedparten af dem kunne ikke genkende programmet.