Svenska banker sårbara för hemsidesattack

Surfare kan idag vid besök hos korrekta adresser till de tio största affärsbankerna i Sverige komma till sidor med bedrägligt innehåll. Så kan falsk bankinformation, börspåverkande information och vid falska SSL-certifikat (https:) även kreditkortsinformation komma ut. Sedan årsskiftet är över tio procent av alla .se-domäner säkrade mot detta genom DNSSEC-signering och samtliga myndigheter ska säkra sina sajter, men bankerna saknar skyddet enligt en undersökning från Binero webbhotell.

– DNSSEC-signering har diskuterats mellan toppdomänadministratören .SE och bankerna i flera år. Senast i fredags fick Swedbank varna för att bluffmail lockade besökare till falska hemsidor. Varför måste man vänta till besökarna hamnar där utan bluffmail innan man agerar, frågar Bineros VD och grundare Anders Aleborg.
Om någon ändrar informationen mellan din webbläsare och namnservrarna kan de leda dig till en sida vars adress matchar den du sökt, men vars innehåll de själva styr. Detta är ett sätt att lura av användare mail- och kreditkortsuppgifter som .SE, länge varnat för, till exempel Kaminskybuggen. SSL-certifikat (https://)  blir med tiden allt mindre säkra. 2011 har vid minst fem tillfällen falska certifikat kommit ut, bland annat till Googles och Hotmails sidor.
DNSSEC är en teknik som via en krypterad nyckel signerar informationen i domännamnssystemet. Om din internetoperatörs, toppdomäns och domänleverantörs namnservrar är signerade så kan informationen inte ändras utan upptäckt. I Sverige har toppdomänen .SE därför själva infört DNSSEC, och nu fått nästan alla internetoperatörer att införa det. Bland domänleverantörerna ökade antalet DNSSEC-signerade kunddomäner vid årsskiftet från 0,4 procent till över var tionde när webbhotellet Binero signerade samtliga kunders .se-domäner, närmare 100 000.
Ser man till de sajter som hanterar och påverkar finansiella flöden så är Skatteverket.se, Riksgalden.se och Paypal.com några exempel på DNSSEC-säkrade sajter – men inte en enda svensk bank. Ingen av de tio största affärsbankerna är idag DNSSEC:ade, se tabell nedan.

DNSSEC-kontroll av domän: http://dnscheck.iis.se/
Kaminskybuggen: https://www.iis.se/domaner/dnssec/kaminskybuggen
DNSSEC-signering 2011-12: http://bit.ly/xPxDbW
DNSSEC-domäner i Sverige: https://www.iis.se/domaner/statistik/tillvaxt?chart=per-type

För mer information, kontakta:
Anders Aleborg, VD, Binero, 076-804 42 00, anders.aleborg@binero.se
Erik Arnberg, marknadschef, Binero, 070-398 75 34, erik.arnberg@binero.se



DNSSEC-signerade domäner 20120104: finansiella institutioner

En kontroll på http://dnscheck.iis.se/visar att ingen av tio av de största svenska affärsbankerna har DNSSEC-signerat sina domäner. Exempel på sajter som har gjort detta är Paypal, Skatteverket, Riksgälden och Regeringen. Enligt regeringens digitala agenda  ska samtliga myndigheter ha DNSSEC-säkrat sina sajter 2013. Enligt toppdomännamnsadministratören .SE utgör icke-signerade domäner en säkerhetsrisk . Under 2011 har otillförlitliga SSL-cerrtifikat (https://) vid flera tillfällen kommit ut från leverantörer och återförsäljare .

Nr    Webbadress    DNSSEC:
1     Seb.se    Nej
2     Handelsbanken.se    Nej
3     Swedbank.se    Nej
4     Nordea.se    Nej
5     Lansforsakringar.se    Nej
6     Skandiabanken.se    Nej
7     Gemoneybank.se    Nej
8     Volvofinans.se    Nej
9     fofspar.se    Nej
10    swedbanksjuharad.se    Nej
11    Danskebank.se    Nej
12    Avanza.se    Nej
13    Icabanken.se    Nej
14    Paypal.com    Ja
15    Skatteverket.se    Ja
16    Riksgalden.se    Ja
17    Regeringen.se    Ja
Källor: http://dnscheck.iis.se/, http://sv.wikipedia.org/wiki/Lista_%C3%B6ver_svenska_aff%C3%A4rsbanker