Parallellt med de återkommande ”Nordeabreven” pågår långt mycket mer sofistikerade nätbedrägerier mot Nordea.

Enligt polisen har ryska bedragare lyckats stjäla flera miljoner kronor från Nordeas konton sen i höstas med hjälp av skräddarsydda trojaner. Totalt har 8 miljoner försvunnit ur banken. Mer än 250 kunder har blivit bestulna, 121 personer står misstänkta och nya intrång anmäls till polisen varje dag.

Nordea har haft vetskap om attackerna i mer än tre månader men har ännu inte informerat sina kunder.

De första lyckade attackerna genomfördes redan i september 2006. Banken informerade Länskriminalen som snart uppdagade sambandet mellan intrången och en skräddarsydd variant av trojanen Haxdoor (se faktarutan).

Attackerna tros inte ha något samband med de återkommande phishingförsöken mot Nordea. Säkerhetsexperter CS har talat med hävdar dock att de betydligt mindre sofistikerade ”Nor­deabreven” kan ha skickats som en rökridå av samma bedragare för att dölja de verkliga anfallen.

Genom att analysera de drabbade kundernas datorer kunde polisen fastställa att inloggningsinformation skickats till servrar i USA och sedan vidare till Ryssland. Därifrån hade sedan okända personer loggat in med de kapade uppgifterna och fört stora summor pengar ut ur banken.

Varken Nordea eller Länskriminalen har lyckats stoppa intrången.

Enligt Lilian Brunn, handläggare på Länskriminalen i ärendet Nordea, så görs fortfarande minst ett intrångsförsök om dagen – mer än tre månader efter det att de första lyckade attackerna genomfördes.

Hittills har ungefär 8 miljoner kronor lyfts ur svenska konton på banken, men Lilian Brunn påpekar också att bedragarna försökt flytta betydligt större summor pengar. De transaktionerna har banken lyckats stoppa i tid.

– Vi tror att det kommer österifrån. Det är en organiserad liga. De måste vara ganska väl bevandrade i det här, säger Lilian Brunn.

121 personer är för närvarande misstänkta och två dömda för delaktighet i bedrägerierna. De har enbart agerat bulvaner genom att flytta de stulna pengarna från ett konto till ett annat via bankomatuttag.

Hittills har polisen inte lyckats identifiera hjärnorna bakom bedrägeriet, men tror att de befinner sig i Ryssland.

– Vi arbetar med att ringa in dem, säger Lilian Brunn.

Jim Keyzer, kriminalinspektör på polisens it-forensiska grupp, framhåller att den trojan som spammarna
har skickat till svenska användare i viss mån specialskrivits för angrepp på Nordea.

– Tittar man i trojanen så ser man referenser till många banker och triggerord, framför allt tyska banker som den förefaller vara riktad mot, men även Nordea. Till exempel så triggar den på ordet Skrapkod1, säger Jim Keyzer.

– Det finns en teknisk aspekt som inte riktigt är klarlagd – när du eller jag ska gå in på Nordea så uppstår ett tekniskt fel som gör att koderna inte når fram till banken.

Jim Keyzer påpekar även att de återkommande phi­shingattackerna mot Nor­dea gjort det svårt för polisen att klarlägga vilka kunder som drabbats av trojanen snarare än lurats av ett ”Nor­deabrev”.

Nordea: "Vi ersätter alltid våra kunder"
Nordeas informationschef Boo Ehlin bekräftar för CS att en trojan har använts för lyckade attacker mot banken.

– Det har skett angrepp både med sådana här mejl och
trojaner. Svårigheten är ibland att veta vad som är vad.

Kommer ni att se över er säkerhetslösning?

– Det är självklart att vi kontinuerligt ser över vår säkerhetslösning, och vi har informerat om att man bör ha ett väl fungerande virusskydd.

Varför har ni inte gått ut med information om just de här angreppen och den här trojanen?

– Vi har polisanmält det, och det är ett tecken på att vi vill komma tillrätta med det. Phishing är ibland helhetsgrepp som används även för virus och trojaner.

Boo Ehlin påpekar att banken alltid ersätter kunder som drabbats av dataintrång.

– Det är vår policy. Kunderna ska aldrig komma till skada av sådant här.