Efter barsk kritik: Danske Bank sletter kontroversiel nummerliste

Danske Bank har slettet en liste med 35 telefonnumre, efter Jacob Herbst og Keld Norman, it-sikkerhedseksperter fra Dubex, fortalte Version2, at listen kunne føre til flere svindelofre. Illustration: Danske Bank
Danske Banks liste med "legitime" telefonnumre kunne hjælpe spoofing-svindlere, slog to sikkerhedseksperter fast overfor Version2 i onsdags. Men efter Version2's dækning er numrene nu fjernet og erstattet med en spoofing-advarsel.

Danske Bank har slettet en kontroversiel telefonnummerliste, efter to sikkerhedseksperter i onsdags rettede skarp kritik mod banken for at hjælpe spoofing-svindlere.

Læs også: Sikkerhedseksperter: Danske Bank hjælper spoofing-svindlere

Kritikken kom, efter banken i sidste uge sendte et brev ud til 214.000 privatkunder, hvor Danske Bank linkede til en side med listen, der indeholder 35 telefonnumre.

I brevet forsikrede man kunderne om, at det var de eneste numre, banken ringer og sms’er fra, og derfor kunne man stole på opkaldet, hvis det kommer fra et af de numre.

Danske Bank har sendt brevet via e-boks til 214.000 privatkunder. Personlige oplysninger på den anonyme kilde, som har sendt brevet til Version2, er streget ud. Illustration: Skærmbillede/Danske Bank

Men det kan man ikke, fortalte it-sikkerhedseksperter fra Dubex, Keld Norman og Jacob Herbst, til Version2 i onsdags.

»Det er på mange planer forkert at antyde, at et telefonnummer giver sikkerhed for hvem der ringer. I sidste ende kan det gøre deres kunder mindre kritiske og dermed reelt i større fare for at ende som svindelofre,« skrev Jacob Herbst i en mail.

Kriminelle kan nemlig bruge listen til at forfalske telefonnumre med spoofing-opkald, som kan lede til flere svindelofre. Læs mere om spoofing i faktaboksen til højre.

Læs også: »Idiotisk telefonsystem«: Derfor kan enhver stå bag SMS'en fra din mor eller chef

Listen er erstattet med en spoofing-advarsel

Danske Bank har taget kritikken til sig og har slettet telefonnumrene fra siden. I en mail skriver banken:

»Det er meget vigtigt for os at beskytte vores kunder mod svindel, og vi er derfor altid klar til at genoverveje vores løsninger, hvis der bliver stillet spørgsmål til, om de er optimale. Vi har kigget på den pågældende hjemmeside og er kommet til den konklusion, at vores kunder er bedst stillet med en generel guide til, hvordan de kan bære sig sikkert ad, hvis de modtager en usædvanlig opringning eller sms.«

I stedet for listen med telefonnumre, advares kunderne nu mod svindleres spoofing-opkald:

»Af sikkerhedshensyn kan vi dog ikke dele de numre, vi ringer fra, offentligt, da svindlere kan få det til at se ud som om, de ringer fra et af Danske Banks numre. Du kan med andre ord ikke stole på, at et bestemt telefonnummer er sikkert,« står der nu på hjemmesiden.

Danske Bank skriver også, at kunderne bør ringe eller skrive en mail til dem, hvis man får en usædvanlig opringning eller sms fra nogen, som udgiver sig for at være fra banken.

Det er præcis det råd, Keld Normand gav kunderne i onsdags:

»De numre, der ringer til en, skal man som udgangspunkt ikke stole på. Og så skal man selvfølgelig have antennerne ude. Ring tilbage, og det skal være til et af de numre, banken har,« fortalte han til Version2.

Det kan kunderne stadig, selvom listen er fjernet. Banken oplyser nemlig stadig sit hovednummer, som man kan kontakte.

Læs også: Dansk sikkerhedsguru laver egen spoofing-tjeneste: »Det er nemt og uhyre effektivt«

Banken skriver også, at kunden kan vide sig sikker på, at et opkald er svindel, hvis personen i den anden ende af røret udgiver sig for at være fra en bank eller myndighed og beder om personlige oplysninger:

»Vær opmærksom på, at hverken vi, politiet eller andre banker eller myndigheder vil bede dig om at overføre penge eller udlevere personlige oplysninger som kodeord, brugernavne eller information fra dit NemID.«

Herunder er teksten på Danske Banks side før og efter kritikken.

Til venstre står teksten, som Danske Bank i brevet linkede til før kritikken. Udover de fire stregede numre, fulgte resten af listen med i alt 35 telefonnumre. Til højre er den nye tekst, der fremgår af Danske Banks side, efter man har slettet listen med telefonnumre. Illustration: Danske Bank / Skærmbillede
Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (13)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Niels Danielsen

Det er et stort problem at vi ikke kan kontroller hvem vi taler med når vi laver aftaler over telefonen. Vha. NemID eller dens efterfølger kan man lave en Authentication App på same måde som dem der findes til 2-factor-auth.

Banksælgeren ringer til kunden, eller omvendt. De logger begge ind på deres app. med NemID, som generere en one-time kode.

De udveksler koder over telefonen, og appen viser ID (navn, firma, firma type?) på modparten. Hvis beskrivelsen af modparten ser Ok ud, swiper de OK, og de får nu adgang til en ’messenger tråd’.

Hvis de aftaler et eller andet, så kan Banksælgeren tekste ”Vi aftaler at oprette en fidus investerings aftale, og overføre 50k, vær så venlig at trykke godkend”.

Det vil gøre det muligt at Identificere og Autentificere to parter der har CPR, eller CVR nummer over telefonen. Samt at få en aftale på skrift, med underskrift. (Autorisation)

Ulemper er de samme som med E-Boks, hvor vi er nød til at betro at treide part gemmer på aftaler ’forevigt’ uden at de ændre sig, samt at følsomme data kan komme til at ligge i messenger tråden f.eks. fra praktiserende læge.

Et andet problem er at digitalt udsatte også vil have problemer med denne løsning.

  • 3
  • 1
#2 Louise Klint

Man tænker uvilkårligt – har de ikke en (IT)sikkerhedsafdeling, som varetager/rådgiver om den slags? Som vurderer hvorvidt eller ej, det er klogt at gøre det på den vis, offentliggøre telefonnummerlister – i første omgang?

Det er lidt tankevækkende.

Derudover synes jeg, at det måske også siger lidt om, hvor vanskeligt det er at forstå den digitale verden. For selv meget store, professionelle virksomheder.

Hvordan er det mon så for Hr. og Fru Danmark? Den gamle dame?

  • 22
  • 2
#4 Jan Heisterberg

Jeg oplever ofte det modsatte problem:

  • region, kommune eller læge

ringer fra hemmeligt nummer. Så selv om jeg / vi forsøger at "beskytte" os ved at have sådanne numre i adressebogen, så er en række offentlige eller halvoffentlige myndigheder mv. UVILLIGE til at benytte virkelige telefonnumre. I eet tilfælde forstod de min protest og kunne på ½ dag rette op.

Ulempen er yderligere, at det IKKE er muligt at ringe tilbage. Een ting er en forventet opringning fra egen læge, men f.eks. direkte indringning til en hospitalsafdeling er i praksis meget, meget vanskelig.

Det er mindst lige så slemt som fadæsen hos Danske Bank.

De velorienterede (ældre) svarer forhåbentlig aldrig på anonyme opkald - fra læge, kommune, ...... vel ?

  • 4
  • 1
#5 Jørgen L. Sørensen

De velorienterede (ældre) svarer forhåbentlig aldrig på anonyme opkald - fra læge, kommune, ...... vel ?

Nu ved jeg ikke om jeg er i én eller begge eller ingen af nævnte kategorier :-0

Men jeg tager også telefonen selv om den viser et nummer, jeg ikke kender, eller der ikke vises et nummer. Mig bekendt koster det ikke noget at besvare et opkald.

Hvis jeg ikke kender nummeret, siger jeg som regel blot "Hallo" og så kan man hurtigt får fejltryk sorteret fra, når folk spørger om det er "et eller andet navn".

Hvis det er min læge, hospital, frisør eller andet, har jeg som regel en forventning om at de ringer, f.eks. i forbindelse med et behandlingsforløb eller anden aftale --- og hvis man får navnet, afdelingen og hvilket firma/hospital de ringer fra, kan man som regel også få fat i den pågældende person ved at ringe til hospitalets hovednummer i tvivlstilfælde --- det kunne man i hvert fald for en halv snes år siden da min kone var syg.

Diverse "velgørende" foreninger/firmaer får at vide at det ikke har interesse, og hvis de blot kører på uden at forstå jeg ikke gider at snakke med dem, kan jeg heldigvis selv lægge på...

Udenlandske numre lægger som regel straks på, når jeg ikke siger noget...

Og så ringer jeg i øvrigt aldrig tilbage til missede opkald (typisk kun et enkelt ring), hvis jeg ikke kender nummeret --- og kender jeg nummeret bruger jeg som regel at finde personen i min kontaktliste eller hurtigkalds-knappen på min telefon.

  • 3
  • 0
#6 Mogens Lysemose

De velorienterede (ældre) svarer forhåbentlig aldrig på anonyme opkald

Jeg kender flere ældre der ikke tager opkald uden vist nummer, og som denne artikel viser er det totalt misforstået, netop fordi vist nummer ikke er nogen garanti for noget. Svindlere kan købe et dansk Nummer via IP-telefoniudbydere eller spoofe som nævnt. Jeg troede det stod klart efter artiklen og den lange tråd.

  • 2
  • 0
#8 Søren Steinmetz

Om listen er der eller ej, enhver seriøs scammer kikker vel sit scams hjemmeside igennem og bruger det/de numre der står som kontaktnumre på siden. Eller laver en hurtig søgning i en online telefonbog efter de numre der findes for en virksomhed.....

Men det er måske for let at finde et nummer til en virksomhed man ikke kender, og har behov for at kontakte?

Ja telefon systemerne over hele verden hænger bagefter hvad sikkerhed angår, det burde måske gen-opfindes med noget spf'ish funktionalitet som minimum.

  • 0
  • 0
#9 Kent Trustrup

Din idé er meget fin på papiret, men i virkeligheden er den er meget lidt brugervenlig, og desværre meget åben for en svindler der indsætter sig som mellemmand, og bare viderformidler oplysninger frem og tilbage.

Svindleren vil så fremstå som bank overfor offeret, og som kunden overfor banken, eller hvad det nu end er.

Så i stedet for at give sikkerhed, har den identifikationsform sikret at svindleren har en bedre måde at skaffe sig adgang.

  • 1
  • 0
#10 Mogens Ritsholm

I virkeligheden er tefonisystemet i orden. Det er kundens operatør, der har ansvar for at virderegive korrekt A-nummer, og hvis A-nummeret er usikkert, skal det ikke videregives via SS7, men erstattes med DNIC.

Sådan fungerede det i mange år, og der var i perioder lande, hvorfra vi i Danmark ikke videregav modtagne A-numre til den kaldte danske abonnent. De fik bare DNIC. Netop fordi A-nummeret var for usikkert.

Problemet er, at det i dag betragtes som legalt at bruge andres numre som A-nummer og dermed er det en legal forretning at stille det til rådighed.

Så længe det er tilfældet hjælper det ikke med alverdens autoriceringsordninger - herunder Stir/shaken, som mange foreslår. For brugen af andre numre vil jo også¨finde sted via disse mekanismer. Det vil jo stadig være en legal forretning for operatører og tjenesteudbydere.

Derfor er nøglen til en løsning under alle forhold, at brugen af andres numre uden aftale herom samt medvirken hertil gøres til ulovligt og strafbart identitetstyveri - også selv om det ikke bevisligt er brugt til bedrageri.

  • 2
  • 0
#11 Bjarne Nielsen

Man tænker uvilkårligt – har de ikke en (IT)sikkerhedsafdeling, som varetager/rådgiver om den slags?

En bank som Danske Bank har helt sikkert en velfungerende IT-sikkerhedsafdeling. De er ikke alene et attraktivt mål, de har også ting som Finanstilsynet og PCI complience at tumle med.

Der er dog to ting at sige til det:

  • selv verdens bedste sikkerhedsafdeling komme til kort (i hvertfald i første omgang), hvis de ikke bliver taget med på råd.
  • bankens sikkerhedsafdeling har bankens sikkerhed for øje. Finanstilsynet vil også i første omgang have systemisk sikkerhed for øje, og PCI kortudstedernes sikkerhed (så kortoplysninger er svjv. betydeligt bedre sikret end transaktionsdata). Kundernes sikkerhed kun mere indirekte.

Hvilket måske kan forklare forløbet. Det har nok ikke været i fokus på samme måde som resten af sikkerheden, fordi der kun var tale om gode råd til kunderne om deres sikkerhed.

Derudover synes jeg, at det måske også siger lidt om, hvor vanskeligt det er at forstå den digitale verden. For selv meget store, professionelle virksomheder.

Ja. Som ofte har en sikkerhedsafdeling. Hvor rundt omkring i f.eks. det offentlige eller i forskerkredse er det mon tilfældet? Eller har den lokale IT-pedel mon fået endnu en titel til visitkortet, og ellers besked på at holde sig til netværk og firewalls?

Jeg synes i hvertfald tit at vi, når det igen går galt, hører vendingen, at der var tale om et usædvanligt og overraskende professionelt angreb, mens mange andre mest bare ryster på hovedet.

Så vi bør generelt spørge os selv om der hos dem, som forvalter vores personlige og følsomme data på vores vegne, og ofte uden at behøve vores tilladelse:

  1. I der hele taget er en egentlig sikkerhedsfunktion?
  2. At den er kompetent og prioriteret?
  3. At den inddrages på forhånd og i fornødent omgang?
  4. At den har ledelsens opmærksomhed og respekt?
  5. Samt at den faktisk har vores sikkerhed for øje (eller er det i virkeligheden først og fremmest er institutionens eget rygte og virke, som har prioritet)?

Men der er selvfølgelig også forskel på, om det er almindelige menneskers penge eller bare udsatte børns ve og vel, som er på spil.

Hvordan er det mon så for Hr. og Fru Danmark? Den gamle dame?

Ja, alt for meget væltes også over på slutbrugerne, og når det går galt, så ender det ofte med at blive deres egen skyld. Fordi de troede på at banken ringede. For hvem forstår f.eks. telefonnettets finurligheder, krinkelkroge og fælder så godt som en Ritsholm? Ikke jeg. Slet ikke.

  • 2
  • 0
Log ind eller Opret konto for at kommentere