Selvom Version2 har sat fokus på e-mails, der ligner phishing-mails fra hackere, og både Skat og skatteministeren har meldt ud, at der fremover ikke vil blive linket direkte til en login-side med NemID i en e-mail, så er der stadig eksempler på organisationer, der ikke følger denne praksis.
Da Henning Bech Johannesen forleden åbnede en e-mail fra FDB om CoopPlus Mastercard, var han således sikker på, at det var en phishing-mail.
»Det så professionelt ud for en phishing-mail at være, og der var ikke noget med dårlige Google Translate-oversættelser. Men så kom linket, og så var jeg sikker på, at det var phishing,« forklarer han til Version2.
Efter nogle generelle råd om sikkerhed fulgte nemlig følgende afsnit med et link direkte til en side med NemID-login:
’Har du glemt din PIN-kode? Så kan du få den vist i Netbank. Du logger ind i Netbank og vælger Min PIN-kode.’
Som it-konsulent er han mere opmærksom på de mulige farer ved phishing end den gennemsnitlige dansker, og han undersøgte e-mailen nærmere.
Og linket til netbanken viste sig at fremstå med en webadresse, der ikke lige lod sig afkode som reel. Webadressen bruger heller ikke hverken FDB, Coop eller Mastercards domæne:
http://ocdlg.com/dialog/url/?1722.1628.784.4497072.1.https://netbank.entercard.com/ec/engine?locale=da_DK&brand=fddk
»Linket var lidt spændende, fordi det var obskurt. Hvis du trykker på det, ryger du ind hos Entercard, og det ser rigtig nok ud, men det er noget, som en hacker vil kunne kopiere uden problemer,« siger Henning Bech Johannesen.
Følger man linket, havner man på følgende login-sider, som firmaet Signicat står bag:
Henning Bech Johannesen var ikke overbevist om, at e-mailen var fra FDB, og ringede til kundeservice. Her kunne en medarbejder fortælle ham, at det faktisk var FDB, der stod bag, men afviste også, at den slags links i en e-mail kunne være problematiske.
»Kundeservice syntes bare, jeg var mærkelig. Og de mente ikke, at der var noget problem. Så deres holdning er pilrådden, og det er jo lidt uheldigt,« siger it-konsulenten.
Han mener, at organisationer som FDB og Mastercard bør have mere styr på, hvad der er god og dårlig sikkerhedsskik.
»Det må efterhånden været feset ind på lystavlen, at man ikke bruger den slags links i en e-mail. Der har jo været en del snak om det. Så der er ikke nogen undskyldning for ikke at vide, hvad man skal gøre,« siger han.
Tidligere på måneden sendte Skat en e-mail ud om forskudsopgørelse til skatteborgerne med et link direkte til login-siden. Den praksis lovede Skat at stoppe med, efter Version2 skrev om e-mailen, mens DanID, som står bag NemID, ikke mente, at e-mailen kunne forveksles med phishing. Også Danske Bank har for nyligt sendt en e-mail ud til kunderne med et link direkte til NemID-login.
Som Ingeniøren og Version2 har demonstreret, kan en hacker ved hjælp af phishing franarre NemID-koderne fra andre, og det er derfor afgørende for sikkerheden, at danskerne bliver vant til ikke at følge links i e-mails, der fører direkte til en login-side.