Uppenbara säkerhetsproblem får finnas kvar på svenska nätbanker trots att säkra system är inom räckhåll, anser säkerhetsexperter CS har talat med.

Problemet ligger dels i kostnaden, dels i att bättre lösningar kräver mer av kunderna.

Men ändå finns gradskillnader mellan de engångskoder, dosor och certifikat som används av olika banker i dag, enligt Mårten Trolin som nyligen disputerade på KTH med en avhandling om digitala betalningar.

– Av de större bankerna är Nordea sämst, men det kan finnas mindre banker som är sämre, säger Mårten Trolin.

Swedbank får däremot be­röm av Anders Ahlqvist,
kriminalkommissarie på polisens it-brottssektion.

– Ett exempel på system vi ser som säkra Swedbanks dosa, eftersom den är kopplad till en interaktivitet och det spelar ingen roll om man kan sniffa koderna och använda informationen i efterhand, säger han.

Att stjäla uppgifter är den metod som används i nästa alla fall av bedrägerier mot internetbanker i Sverige.

– Det är extremt ovanligt att någon hackar själva banksystemet. Det man gör är att lura kunderna att lämna ut uppgifterna, säger Anders Ahlqvist.

Problemet med Nordeas ko­der ligger i att de kan användas till vilken överföring som helst, enligt Mårten Trolin.

En obehörig som kommer över två koder samt personnummer och pin-kod kan tömma ett konto på några minuter.

Riktigt säkert blir det först när kunden vid varje betalning skapar en kod genom att föra in mottagarens kontonummer i en dosa.

– Anledningen till att man inte gör så är inte att det är tekniskt svårt utan att det skulle vara för mycket jobb för kunderna.

Användarvänlighet ställs mot säkerhet i valet av säkerhetslösning.

– Man har kommit fram till att det är värt risken. Men nu kan hotet ha blivit så stort att Nordea bör överväga en säkrare lösning. Jag kan tänka mig en hårdvarudel som inte går att manipulera, säger Mårten Trolin.

Även höga kostnader för nya system är ett argument för bankerna att behålla de gamla, trots ständiga intrång. Miljonerna som kunder svindlas på blir då en förlust som banken är beredd att ta.

– Om det kostar mer att införa ett nytt system än vad banken förlorar på intrången är det ju rätt att avvakta. Det är nästan aldrig värt att lägga de pengar som krävs för perfekt säkerhet.

Även många av dagens lösningar med dosor av olika slag är känsliga för en attack om en trojan tagit sig in i kundens dator. Helt utan kundens vetskap kan en trojan som Haxdoor avlyssna information, skicka den vidare och styra om en webbläsare till en ny adress, enligt Symantecs säkerhetsexpert Per Hellqvist.

– Man brukar säga att om jag får dig att köra en trojan på din dator så är den inte längre din, säger han.