Gå direkt till innehållet

Långa fängelsestraff för keyloggers i biblioteks­datorer

Nyligen dömdes nio män till sammanlagt 41 års fängelse i Danmark för att ha använt så kallade keyloggers i en serie attacker på bibliotek, där de stal användar-id och lösenord till den danska motsvarigheten till BankID och använde dessa till att länsa offrens bankkonton. Säkerhetsexperten Karl Emil Nikka tipsar om vad bibliotek och besökare kan göra för att inte drabbas.

En keylogger är en liten usb-adapter som angripare monterar mellan datorns tangentbord och datorns usb-port. Keyloggern spelar in alla tangentbordstryckningar som görs, så att angriparen sedan kan se allt som har skrivits. På så sätt kan angriparen se alla användarnamn och lösenord som har knappats in på tangentbordet.

Problemet med keyloggers

Eftersom usb-adaptern kopplas fysiskt mellan tangentbordet och datorn är den ”osynlig” för datorn i sig. Det går därför inte att detektera keyloggers med hjälp av exempelvis antivirusprogram. Det går inte heller att förhindra installation av keyloggers i och med att angriparen inte behöver kunna köra någon mjukvara för att keyloggern ska fungera. Detta är framför allt problematiskt för bibliotek och i andra situationer där det finns publika datorer. Angripare kan i smyg koppla in en keylogger och låta den sitta inkopplad några dagar. Sedan kommer angriparen tillbaka, hämtar keyloggern och läser ut allt som har skrivits.

Det finns till och med keyloggers som kan avläsas på distans. I och med att en keylogger kan få ström av datorns usb-port kan keyloggern innehålla en liten dator som ansluter till bibliotekets trådlösa nätverk. Därigenom laddar keyloggern upp allt som skrivs till en server som drivs av angriparen. Det gör att angriparen kan låta keyloggern sitta inkopplad permanent.

Fängelse för attack med NemID

Förra veckan dömdes nio män till sammanlagt 41 års fängelse efter att ha utfört just denna typ av attack på bibliotek runt om i Danmark. Brottslingarna hade använt keyloggers för att påbörja en attack med NemID, den danska motsvarigheten till BankID. NemID bygger på en kombination av användar-id, lösenord och ett fysiskt ”nyckelkort” med förtryckta engångskoder som användaren knappar in vid inloggning. När de förtryckta engångskoderna börjar ta slut skickas ett nytt nyckelkort hem till användaren.

Enligt danska polisen använde brottslingarna keyloggers för att spela in offrens användar-id och lösenord. Det räckte för att angriparna skulle kunna se hur många engångskoder som användarna hade kvar. När de såg att engångskoderna började ta slut och att det var dags för ett nytt nyckelkort att skickas iväg övervakade de den berörda användarens postlåda och stal nyckelkortet när det anlände. Med tillgång till nyckelkortet hade de den sista pusselbiten som de behövde för att länsa offrets bankkonto och ansöka om krediter i offrets namn.

Samma attack är inte möjlig att genomföra mot svenska biblioteksbesökare som loggar in med Mobilt BankID. Danmark håller också, i detta nu, på att gå över till en säkrare lösning kallad MitID. Det förhindrar dock inte att samma attack fortsätter användas mot webbplatser där användare loggar in med enbart användarnamn och lösenord.

Rekommendationer för biblioteksbesökare

Som användare av publika datorer kan du kontrollera att det inte sitter någon synlig adapter på tangentbordskabeln. Keyloggers kan dock vara svåra, ibland rentav omöjliga, att upptäcka. Bedragarna i Danmark bytte ut biblioteksdatorernas tangentbord mot tangentbord som hade keyloggers monterade inuti. Detta framgår av en artikel hos Danmarks radio.

Vår rekommendation är därför att aldrig logga in från en publik dator på ett konto som inte skyddas med tvåfaktorsautentisering. Om du har tvåfaktorsautentisering aktivt räcker det inte med att ange rätt användarnamn och lösenord för att logga in. Det krävs också en tidsbegränsad engångskod som genereras i en app på din mobil eller skickas till dig via sms. Eftersom engångskoden är tidsbegränsad har angriparna ingen nytta av den ifall de inte övervakar tangentbordstryckningarna i realtid.

Mobilt BankID skyddar också mot denna typ av attack. Då använder du din mobil för att godkänna inloggningen (identifiera dig). I och med att inloggningen sker utan att du knappar in några hemligheter på tangentbordet finns det inte heller några hemligheter som kan fastna i keyloggern.

Rekommendationer för bibliotek

Det finns inget hundraprocentigt skydd mot keyloggers. Danmarks radio listar tre rekommendationer som danska nationella cybersäkerhetscentret har gett kommunerna. Där rekommenderas följande:

  • Tangentborden bör vara märkta med kommunens namn eller vara inbyggda i bordet för att försvåra manipulation.
  • Datorn bör sitta i en låst bur så att kontakter och kablar är oåtkomliga för obehöriga personer.
  • Usb-portar bör blockeras så att inte obehöriga personer kan koppla in usb-enheter.

Efter att genom åren ha föreläst på många svenska bibliotek vet jag att dessa rekommendationer inte alltid är möjliga att följa. Den sista rekommendationen är framför allt problematisk för bibliotek där besökarna tillåts ha med usb-minnen med filer. Den rekommendationen förhindrar också säker inloggning med usb-säkerhetsnycklar som Yubikey (en ännu säkrare inloggningsmetod som också skyddar mot realtidsattacker).

Det viktigaste är att medarbetarna är medvetna om risken så att de uppmärksammar varningstecken, till exempel personer som mixtrar med datorerna eller ifall det sitter adaptrar på kablarna. Det är också lika viktigt att regelbundet kontrollera att inget annat än bibliotekets egen utrustning sitter inkopplad i datorerna.

Karl Emil Nikka är grundare av Nikka Systems, Årets säkerhetsprofil 2021, författare och småparanoid IT-säkerhetsnörd.

Denna artikel publicerades ursprungligen på Nikkasystems av Karl Emil Nikka och är licensierad enligt Creative Commons. Den danska motsvarigheten till hovrätten, landsreten, fastställde nyligen domarna. Läs mer om hur attacken gick till på DR. De danska biblioteken har råkat ut för samma typ av attack även 2020 då också keyloggers användes för bedrägeri.

Kommentarer

Hjälpte detta dig?

Digiteket-redaktionen vill gärna veta mer om hur du har använt artikeln.


Fält markerade med * är obligatoriska. Redaktionen granskar kommentarer innan de publiceras. Din e-post kommer inte publiceras.