Idag använder de flesta svenska nätbanker likartade inloggningssystem. Användarens identitet måste verifieras på två vis: dels genom en personlig kod, dels genom ytterligare en sifferserie som genereras av en liten, fristående koddosa. Först därefter blir han eller hon insläppt på sitt konto.

Så var det inte år 2007. Nordea, Skandinaviens största bankkoncern, förlitade sig då på ett inloggningssystem med skrapkoder. En kod skrapades fram för att logga in på nätbanken, och ytterligare en för att verifiera transaktioner. Systemet var en praktisk lösning som var enkel att förstå sig på, men som i allt väsentligt bara ställde två fyrsiffriga koder mellan en angripare och kundens besparingar.

Ingen tänkte särskilt mycket på det. Förrän det uppdagades att en specialskriven trojan använts för att länsa konton i banken på flera miljoner kronor. Den var utformad för att utnyttja just svagheten med skrapkoder. Om en kund med trojanen installerad på sin dator försökte logga in så ställde den sig som en grindvakt mellan Nordeas system och kundens dator. Istället för att skicka koderna som knappades in vidare till banken så smusslades de undan på vägen. Hjärnorna bakom bedrägeriet kunde senare, i lugn och ro, logga in på de drabbade kontona och slussa pengar därifrån till sina egna.

Nyheten exploderade i media under vintern 2007, och säkerhetsexperterna köade för att döma ut Nordeas skrapkoder som undermåliga. Mot slutet av året var det utbytta mot ett nytt och betydligt säkrare inloggningssystem.

Polisutredningen som tog vid efter de första upptäckta attackerna var omfattande. Sammanlagt greps mer än 160 personer av polisen, misstänkta för att ha agerat målvakter i kuppen. Att antalet gripna var så högt var inte ett tecken på att ligan hade sprängts – tvärtom betydde det att polisen bara rörde sig i maktpyramidens lägsta skikt. Det kunde konstateras att trojanen sannolikt hade sitt ursprung i Ryssland, men längre än så kom ingen.

Förutom tidningen Computer Sweden, där en reporter fick kontakt med trojanens skapare genom att utge sig vara en intresserad köpare. Hackaren kallade sig för Corpse och var rysktalande. I intervjun tog han på sig ansvaret för flera omfattande attacker.

”Det är som roulett”, berättar Corpse i intervjun. ”Vissa har en miljon dollar, vissa har en dollar. Man vet aldrig vem som blir infekterad.”

3 000 dollar var prislappen för en version av trojanen som användes i kuppen mot Nordea. Hos antivirusföretagen hade den fått namnet Haxdoor. Corpse kallade den för A311 Death. Samma trojan användes i en attack mot en nätbank i Australien, enligt Corpse.

Mer än 8 miljoner försvann i attackerna mot Nordeas internetbank. Om det var Corpse själv som tjänade de stora pengarna, eller om hans mjukvara användes av någon annan, blev aldrig klarlagt. Svensk polis nådde inte fram till vare sig honom eller någon annan av hjärnorna bakom kuppen.

Missa inte del 1: Anti-antivirus för miljarder
Del 3: Cumbajohnnys dubbelspel och den största korthärvan i amerikansk historia
Del 4: Darkmarkets förfall och den obesvarade frågan - Vem är Cha0?
Del 5: Alphacash - om Sveriges störta korthärva och flykten till Brasilien