Nu igen: FDB sender 'phishing-mail' ud med NemID-link

En e-mail om Mastercard fra FDB rummer et link til NemID-login og lugter af phishing. Men FDB’s kundeservice kan ikke se noget problem.

Selvom Version2 har sat fokus på e-mails, der ligner phishing-mails fra hackere, og både Skat og skatteministeren har meldt ud, at der fremover ikke vil blive linket direkte til en login-side med NemID i en e-mail, så er der stadig eksempler på organisationer, der ikke følger denne praksis.

Da Henning Bech Johannesen forleden åbnede en e-mail fra FDB om CoopPlus Mastercard, var han således sikker på, at det var en phishing-mail.

»Det så professionelt ud for en phishing-mail at være, og der var ikke noget med dårlige Google Translate-oversættelser. Men så kom linket, og så var jeg sikker på, at det var phishing,« forklarer han til Version2.

Efter nogle generelle råd om sikkerhed fulgte nemlig følgende afsnit med et link direkte til en side med NemID-login:

’Har du glemt din PIN-kode? Så kan du få den vist i Netbank. Du logger ind i Netbank og vælger Min PIN-kode.’

Som it-konsulent er han mere opmærksom på de mulige farer ved phishing end den gennemsnitlige dansker, og han undersøgte e-mailen nærmere.

Og linket til netbanken viste sig at fremstå med en webadresse, der ikke lige lod sig afkode som reel. Webadressen bruger heller ikke hverken FDB, Coop eller Mastercards domæne:

http://ocdlg.com/dialog/url/?1722.1628.784.4497072.1.https://netbank.entercard.com/ec/engine?locale=da_DK&brand=fddk

»Linket var lidt spændende, fordi det var obskurt. Hvis du trykker på det, ryger du ind hos Entercard, og det ser rigtig nok ud, men det er noget, som en hacker vil kunne kopiere uden problemer,« siger Henning Bech Johannesen.

Følger man linket, havner man på følgende login-sider, som firmaet Signicat står bag:

Henning Bech Johannesen var ikke overbevist om, at e-mailen var fra FDB, og ringede til kundeservice. Her kunne en medarbejder fortælle ham, at det faktisk var FDB, der stod bag, men afviste også, at den slags links i en e-mail kunne være problematiske.

»Kundeservice syntes bare, jeg var mærkelig. Og de mente ikke, at der var noget problem. Så deres holdning er pilrådden, og det er jo lidt uheldigt,« siger it-konsulenten.

Han mener, at organisationer som FDB og Mastercard bør have mere styr på, hvad der er god og dårlig sikkerhedsskik.

»Det må efterhånden været feset ind på lystavlen, at man ikke bruger den slags links i en e-mail. Der har jo været en del snak om det. Så der er ikke nogen undskyldning for ikke at vide, hvad man skal gøre,« siger han.

Tidligere på måneden sendte Skat en e-mail ud om forskudsopgørelse til skatteborgerne med et link direkte til login-siden. Den praksis lovede Skat at stoppe med, efter Version2 skrev om e-mailen, mens DanID, som står bag NemID, ikke mente, at e-mailen kunne forveksles med phishing. Også Danske Bank har for nyligt sendt en e-mail ud til kunderne med et link direkte til NemID-login.

Som Ingeniøren og Version2 har demonstreret, kan en hacker ved hjælp af phishing franarre NemID-koderne fra andre, og det er derfor afgørende for sikkerheden, at danskerne bliver vant til ikke at følge links i e-mails, der fører direkte til en login-side.

Læs også: E-mails fra Skat punkterer DanID's forsvar for NemID-sikkerhed

Læs også: Video: Så let kan kriminelle franarre dig dit NemID

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (22)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Michael Peters

Jeg håber de, der haselerede med, at det kun er dumme og mindre begavede der hopper på phisting sider, når vi nu ser at store organisationer som FDB udsender dette.

FDB's kundeservice trænger til at få nogle nye kvikke hoveder som ansatte, så kan de der ikke synes, at det er noget problem, blive "flaskedrenge".

  • 14
  • 3
Lars Lundin

Problemet er ikke FDB, men derimod at NemID er sårbar overfor phishing.

Med en rigtig digital signatur vil de praktiske links i emails automatisk blive valideret via de udvekslede nøgler.

Så hold venligst op med at kritisere peditesser, og forlang i stedet en faktisk digital signatur.

  • 22
  • 8
Christian Nobel

.. at alle phisherne holder op med at sende falske mails ud, for borgerne er jo slet ikke vænnet til at få servicemails, host host.

Det er jo et eksempel på en fatal mangel for forståelse af det grundliggende problem, nemlig at NemID er en katastrofe værre end IC4 (IC4 kan i det mindste sælges som gammelt jern).

Det er hamrende naivt, tangerende det hjernedøde, at tro at symptombehandling som ikke at sende servicemails ud løser problemet - få åh ja, så kunne phisherne jo heller ikke finde på at gøre det.

Suk, suk, suk.

Og bortset fra V2, så er stort set alle andre medier larmende tavse omkring de seneste morsomheder med NemID (hint V2 - kunne I ikke lade et ord falde til de store dagblade som tanten og Politiken?)

  • 13
  • 3
Christian Nobel

DERFOR burde FDB aldrig lære folk at de kan lave NemID logins på et direkte link til en side som ikke er under FDBs domæne.

Og med den model hvor man prøver at få alt og alle ind under NemID hatten, det være sig offentlige myndigheder, styrelser, biblioteker, læger, banker, kreditkortselskaber, teleselskaber, webhandelssteder, datingsites og fanden og hans pumpestok, så er det en kamp op ad bakke.

Og helt ærligt, hvorfor skal alt og alle undgælde fordi NemID er fejlet katastrofalt?

  • 11
  • 1
Normann Aa. Nielsen

Uanset din holdning at NemID er fejlet - hvilket jeg ikke mere synes - så er det dårlig stil i en mail at anvende suspekte eller svært kontrollerbare links. Jeg selv plejer at studere linket, for at se om det ser rigtigt ud, og et link som det ovenfor viste ville jeg føle var forkert.

Problemet er ikke NemID. Problemer i denne situation er FDB.

  • 6
  • 16
Christian Nobel

.. at der er kommet nogle NemID disciple herind.

@Dennis - jo det kan man vel selvfølgelig sige, men erfaringen viser at det er utopisk, prøv bare at se hvor mange gange mailinglister bliver blotlagt, trods det der har være skreget op om det problem i årevis.

  • 6
  • 6
Thue Kristensen

Når man laver sikkerhed for et login-system, så skal man sikre sig at
1) Designe det sådan, at under de rigtige betingelser kan brugerne anvende det sikkert. Disse betingelser skal være simple nok til at bedstemor kan checke dem. For eksempel "du må kun taste dit password ind hvis der står https://nemid.dk" i adresselinjen.
2) Fortælle brugerne hvad de rigtige betingelser er, så brugerne kan checke dem før de indtaster deres password

For NemID:
1) Der er ingen måde at sikre sig på. Man kan ikke vide, om dialogen på gentofte-bibliotek er rigtig eller forkert. Der er kun et fuldstændigt meningsløst krav om, at man ikke må linke direkte til en NemID-dialog (men godt til en side som linker til en NemID-dialog).
2) Der er ikke gjort noget forsøg på at informere brugerne, ikke engang om at man ikke må linke direkte til en NemID-dialog.

  • 13
  • 0
Thue Kristensen

DERFOR burde FDB aldrig lære folk at de kan lave NemID logins på et direkte link til en side som ikke er under FDBs domæne.

Det ville jo ikke hjælpe, for de færreste almindelige brugere ved hvad FDB's rigtige hjemmeside er. Så man ville kunne narre dem, svarende til gentofte-bibliotek.dk vs gentoftebibliotek.dk i Version2's demonstration.

Løsningen er snarere, at man kun måtte indtaste sit NemID-password på https://nemid.dk - og så informere brugerne om den regel! Det er kun et domaine som brugerne skal huske, i modsætning til i dag hvor der er 100-vis af domainer som viser NemID-dialoger.

  • 7
  • 0
Normann Aa. Nielsen

.. at der er kommet nogle NemID disciple herind.

Om man så er Anthon Meyrs discipel eller tilhører SOOT-retningen, så kommer det ikke sagen ved. Jeg gentager for den tunghøre: Det er dårlig stil i en mail at anvende suspekte eller svært kontrollerbare links.

Og det er useriøst at vifte religioner i hovedet på folk (jeg gider ikke en NemID-krig på dette punkt).

  • 10
  • 4
Thue Kristensen

God ide - gå videre med den!

Jeg sendte en klage til Datatilsynet, DanID, Udvalget for Videnskab og Teknologi, og ITST for et år siden, hvor jeg fortalte om problemet som Version2 demonstrerede, plus et par andre sikkerhedsproblemer, samt den løsning jeg nævnte ovenfor. Intet skete.

Da Version2's demonstration kom op i nyhederne sendte jeg min klage (uredigeret, siden den beskrev problemet så godt) til alle aviser jeg kunne finde på. Intet skete.

Jeg har for nyligt sendt klagen til Socialdemokraternes IT-ordfører Trine Bramsen, som sagde at den lød interessant. Men jeg holder ikke vejret.

  • 8
  • 0
Jesper Brunholm

Et centralt problem er at Coop gerne vil måle hvad de får ud af at genere deres brugere med en mail. Uden link, ingen form for effektmåling. Det kan sikkert gennemføres i det offentlige (det gør jo ikke så meget, hvad skattekronerne bliver spildt på </ironi>), men det bliver desto sværere at få noget som helst privat med på vognen.

Tendensen går ikke just i retning af mindre effektmåling, tvært imod, af den simple årsag at måling er vejen til optimering og dermed bedre indtjening. Nogle vil sikkert hævde at det ikke er relevant i denne sammenhæng. Jeg mener det er relevant, fordi det også er brugeroplevelse der måles på, og brugeroplevelsen dækker alt udsendt, al kommunikation er markedsføring.

Med andre ord er den "simple" opgave for NemID, som vil afskaffe de direkte links, at få lovgivet imod de metoder som virker bedst markedsøkonomisk (nå, ja, og så at sikre at alle mailbrugere ved det, så meget, så de heller ikke hopper i fælden når de får fishing-mails).

  • 4
  • 0
Jacob Larsen

Når nu V2 vil hive samtlige eksempler igennem, så prøv lige at kigge på IAK. (Eller er det for tæt på organisationen?)

Deres besked notification indeholder et "pretty-format" link til NemID login, eller gjorde det i hvert fald for et par måneder siden. Det er så tæt på klassiske phishing mails, at min mail providers spam filter blokerede samtlige af de mails.

Ellers så kan det da godt være at det er bedre at rette NemID designet, men selvom man starter nu, så vil det tage så lang tid at det ikke kan erstatte at fjerne links fra alle mails fra NemID sider. Selvom der er en bedre løsning, så skal det jo også virke nu. En fugl i hånden vs. 10 på taget og alt det der.

  • 1
  • 0
Log ind eller Opret konto for at kommentere