– Jag tycker det är aningen slapphänt av bankerna att inte ha funderat på de möjliga lösningar som finns för att försvåra för nätbedragarna, säger Stefan Görling, som forskar om spam på KTH.
Han syftar framför allt på en standard som kallas Sender policy framework, SPF, som gör att mejl från en falsk avsändare automatiskt raderas.
– När ett mejl kommer till ett filter eller en mejlklient som stöder standarden kollas det om mejlet kommer från den avsändare som anges. Om avsändaren har infört standarden finns en publicerad policy och då kan systemet se om mejlet har skickats därifrån eller inte, förklarar Stefan Görling.
Ingen publicerad policy
För några veckor sedan kollade han av om det fanns någon sådan publicerad policy hos de svenska storbankerna men ingen hade det.
– Jag tycker det är konstigt att man inte inför den, det är inte svårt och man minskar risken för mottagarna, säger han.
Stefan Görling är inte förvånad att just Nordea råkat ut för flest nätfiskare.
– Banken brukar hänvisa till att det beror på att den är störst. Men det är ingen slump att just Nordea drabbas, det beror på att systemt med engångskoder gör Nordea extra känsligt, säger han.
Orsaken är inte att engångskoderna är dåliga utan beror i stället på att bedragarna kan gå förbi det kryptologiska skyddet och gå direkt på användaren för att komma åt dem.
Sociala attacker
– De är matematiskt starka, men socialt svaga och nästan alla it-säkerhetsattacker är sociala, det vill säga försöker lura den enskilda individen.
Per Hellqvist, säkerhetsexpert på Symantec, tror också att det finns enkla sätt att försvåra phishing.
– Man kan tänka sig att kunderna väljer en bild som kommer upp när de loggar in, det används av en del amerikanska banker. Men då måste bildurvalet vara väldigt stort. Man kan också tänka sig att kunden får formulera en speciell fråga att fylla i varje gång, säger han.
– Samtidigt får inte säkerhetsinvesteringen vara större än det värde företaget riskerar att förlora, och då måste också skyddandet av varunamnet räknas in..
Inget stort problem
Men Boo Ehlin, pressansvarig på Nordea, ser inte phishingattackerna som ett stort problem.
– Det ger kunderna merarbete och det är ju inte bra, men i övrigt har vi väldigt vaksamma kunder och såvitt jag vet har ingen lämnat ut några uppgifter den här gången. I våras var det fem personer som lämnade ut uppgifter men ingen förlorade några pengar. Med tanke på hur många som nås av mejlen är det mycket lite, säger han.
Han konstaterar att det hela tiden pågår ett utvecklingsarbete och att det är mycket möjligt att det finns sådant som ska införas, men han anser ändå att det främsta vapnet är information.
– Vi informerar ständigt våra kunder om att vi inte kommunicerar via mejl utan tar kontakt på annat sätt. Dessutom är det viktigt att vara medveten om att man inte lämnar ut sina koder, precis på samma sätt som man inte lämnar ut nyckeln till sitt hus eller sin plånbok, säger han.
- I oktober 2005 stängde Nordea sin internetbank efter att en nätbedragare slagit till och skickat ut ett stor antal falska mejl som uppmanat bankens kunder att gå in på en hemsida och där lämna ut kontonummer och koder. Två kunder ska enligt Nordeas uppgifter ha lämnat ut uppgifter, men inte förlorat några pengar.
- I maj 2006 kommer nästa attack som är uppbyggd på samma sätt som den första. Enligt Nordeas uppgifter ska fem personer ha lämnat ut uppgifter men inte förlorat några pengar.
- I förrgår kom det tredje försöket. Hittills har inga kunder hört av sig som lämnat ut uppgifter, enligt Nordea.
