I mitten av december 2006 skickade Skandiabanken ut engångskoder på ett vanligt A4-papper till alla sina nätbankskunder för att stärka säkerheten som tidigare byggde på installerade certifikat.


Beviset. Här är dokumentet där Skandiabanken medger att intrång har skett och att pengar har stulits från kundernas konton. Klicka på bilden för en läsbar version.

Rykten om att den hastiga förändringen genomfördes efter ett dataintrång tillbakavisades bestämt.

”Det är business as usual”, sa Lars Holmqvist, pressansvarig på Skandiabanken, vid tillfället.

Men nu kan Computer Sweden avslöja att sex fall av lyckade intrång mot fyra konton skedde den 30 november 2006, bara drygt två veckor innan koderna skickades ut.

Samtliga fall, som handlar om minst femsiffriga belopp, polisanmäldes några dagar senare. Ett av de hackade kontona har utsatts tre gånger på rad och varje gång har pengar gått till ett nytt konto i en ny bank utomlands.

Skandiabankens internutredning slår fast att bedrägerierna har utförts med hjälp av avancerade trojaner, planterade på kundernas datorer, vilket gör intrånget lika avancerat som de mot Nordea.

Enligt polisen fungerade dock de snabbt införda engångskoderna som avsett och satte snabbt stopp för intrången.

– Trojanen förde inte specifikt ut bankuppgifterna, utan den samlade uppgifter om allt möjligt. Där ingick certifikat, säger Paul Pintér, it-forensiker på Länskriminalpolisen i Stockholm.

Systemet med engångskoder gjordes senare permanent i och med att koderna trycktes på plastkort, enligt banken eftersom den första lösningen upplevdes som enkel och improviserad.

I januari kunde Computer Sweden rapportera att intrångsförsök hade gjorts under hösten, men ingenting tydde då på att de varit så lyckade att pengar hade försvunnit. Uppgifterna gjorde också gällande att det rörde sig om bara två konton.

Varför berättade ni inte att engångskoderna infördes strax efter de polisanmälda intrången?

– Vi gör hela tiden förändringar i säkerheten efter sådant vi lär oss om vår omvärld. Det är inte kopplat till enskilda händelser, säger Lars Holmqvist, pressansvarig på Skandiabanken.

Var det ni sa då en osanning?

– Nej, eftersom vi alltid gör förändringar. I samband med varje händelse finns det alltid en förändring. Det hade varit en annan sak om vi hade gjort en förändring vart tredje år, men så är det inte.

Varför så kort varsel denna gång?

– Så är det alltid. Oavsett bransch berättar alla företag om en säkerhetsförändring först när de genomförs. En affär sätter inte upp en skylt där det står ”vi byter lås om två veckor”

Fakta

30 november 2006: Hackare slår vid sex tillfällen till mot Skandiabanken och för ut pengar, enligt polisen tiotusentals kronor. Strax därefter polisanmäler banken bedrägeriet.

Mitten av december 2006: Skandiabanken skickar ut engångskoder på papper som kompletterar säkerhetslösningen och sätter därmed stopp för attackerna mot nätbanken.

12 januari: CS avslöjar att intrångsförsök har gjorts mot Skandiabanken, men ingenting tyder på att pengar har försvunnit. Skandiabanken i Norge bekräftar intrång samt att omkring 100 000 kronor har försvunnit. Men den svenska Skandiabanken vägrar fortfarande att kommentera händelsen.

15 januari: It-åklagare i Stockholm tar över förundersökningen, som nu har internationella förgreningar.

Mitten av februari: Engångskoderna trycks på plastkort och blir därmed permanenta. Kunder kan även få engångskoder skickade med sms.

16 mars: Åklagaren lämnar tillbaka ärendet till Länskriminalen som fortsätter utredningen.

25 oktober: Förundersökningen läggs ned.