Reportage

MobilePay har øget sikkerheden efter svindel

21. november 2017 kl. 15:1017
MobilePay har øget sikkerheden efter svindel
Illustration: pressefoto.
Der er blevet skruet op for sikkerheden i MobilePay efter flere svindelsager.
person
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person

Efter flere sager, hvor ofre er blevet svindlet via MobilePay, er der nu skruet op for sikkerheden på betalingsapp'en.

»Der kan man så i bakspejlet sige: Burde vi have gjort det tidligere? Ja, det burde vi måske,« siger pressechef hos MobilePay Peter Kjærgaard.

MobilePay er et selvstændigt selskab ejet af Danske Bank.

I begyndelsen af november kom det frem, at der havde været en stribe svindelsager, som involverer MobilePay på Fyn. I kølvandet på disse sager lød meldingen fra Peter Kjærgaard til Fyens.dk, at der var ved at blive skruet op for sikkerheden. Og det er sket med en app-opdatering, som er rullet ud i slutningen af sidste uge, forklarer Peter Kjærgaard.

Artiklen fortsætter efter annoncen

Han ønsker ikke at gå i detaljer med, hvori sikkerhedsforbedringerne består. MobilePay har desuden været sparsomme med oplysninger om, hvordan den konkrete svindel på Fyn har fundet sted.

»Der er ingen grund til at lave en brugervejledning i, hvordan man laver kriminalitet.«

Svindel for 80.000 kroner

Svindel med MobilePay er blevet aktuelt blandt andet på grund af et indlæg på Facebook. Her fortæller journalist og tidligere chefredaktør på blandt andet Computerworld, Mikael Lindholm, om, hvordan han selv er blevet svindlet for 80.000 kroner på en måde, der involverer MobilePay.

Svindlen har stået på siden 10. november. Det foregik ved, at Mikael Lindholm fik en sms med en fem-cifret aktiveringskode, fortæller han på Facebook. Herefter fik han gentagende opkald, hvorefter han til sidst tog telefonen.

Artiklen fortsætter efter annoncen

Jobs

Dine job
Vis alle

»Jeg kan kun vagt huske samtalen, fordi jeg var til Bogmesse i Bella Center med en masse mennesker og postyr omkring mig og var bare glad for at de lige fiksede det. Jeg hæftede mig ikke ved samtalen og mistænkte ikke noget, fordi jeg netop havde modtaget en sms fra MobilePay, som manden henviste til. Nu tænker jeg, at jeg muligvis har læst koden i sms'en op. Jeg ved det ikke. Det er helt blankt. Hvad jeg ved er, at minutter efter - kan jeg nu se - begyndte pengene at fosse ud af min konto, og det stoppede ikke, bare fordi der ikke længere var penge på kontoen,« skriver han på Facebook og forsætter:

»Jeg er dialog med bedrageriafdelingen i banken. De forklarer mig, at hvis nogen har dit mobilnummer, så kan de prøve at logge sig ind på MobilePay med dit nummer fra en anden mobil, hvilket udløser en automatisk sms til din mobil med en kode. Hvis de så ringer dig op og udgiver sig for at være MobilPay support og får dig til at læse koden på sms'en op fra det ægte MobilePay, så har de fuldstændigt fri adgang til din konto fra den anden mobil. Jeg tror, det er det, jeg har været udsat for.«

Til Version2 siger Mikael Lindholm:

»Der var intet, overhovedet, der fik en advarselslampe til at ringe. Manden i den anden ende var velformuleret og talte godt, der var ingenting, der gjorde, jeg tænkte, det her er fup og svindel,« siger Mikael Lindholm til Version2.

Mikael Lindholm husker ikke samtalen i detaljer, men umiddelbart mener han kun, han muligvis har opgivet sms-koden til personen i den anden ende af røret. Og altså ikke også eksempelvis et CPR-nummer.

»Såvidt jeg husker. Jeg kan kun sige, hvis de havde bedt mig om andre oplysninger, så ville jeg synes, det var meget mærkeligt.«

Hos MobilePay afviser pressechef Peter Kjærsgaard, at det alene med kendskab til et telefonnummer og sms-koden har været muligt at logge ind på andres MobilePay fra en anden enhed.

Tips og tricks

Peter Kjærsgaard holder kortene tæt ind til kroppen, når det gælder sikkerhed på MobilePay. Også hvad den seneste opdatering i forhold til sikkerheden angår.

Artiklen fortsætter efter annoncen

Han har dog en række fif, der handler om at passe på sin telefon, koden til MobilePay-app og personlige oplysninger som for eksempel CPR og NemID-informationer.

»Del dem ikke med andre. Hvis du modtager en sikkerhedskode fra MobilePay, så kan det være tegn på, der er nogen, der forsøger at genskabe din MobilePay-bruger. Så skal du ringe til vores support på 45144147 og diskutere sagen med dem,« siger han og tilføjer:

»Den sidste ting: Lad være med at overføre eller modtage penge fra helt tilfældige mennesker, du møder på gaden, det kan være begyndelse på et tricktyveri.«

Mikael Lindholm fortæller, at han er blevet kontaktet af banken i dag, og at det ser ud til, han får svindlen dækket.

»De ville behandle sagen, og jeg kunne regne med, at jeg fik pengene dækket. Det var rart. Jeg sagde til dem, jeg klandrer sådan set ikke Danske Bank eller MobilePay for noget her, der er jo ikke nogen, der har gjort noget med vilje,« siger Mikael Lindholm.

Han kunne dog godt have tænkt sig at være blevet mødt med lidt større forståelse fra bankens side i forhold til svindlen, hvor han hovedsageligt oplevede at blive mødt med mistænksomhed.

»De har sagt, de vil se på, om de kan blive bedre til at kommunikere i sådan en situation. Det er jo en positiv ting.«

Emner
17 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
17
Jørgen Larsen
23. november 2017 kl. 21:44

Altså fra artiklen:

I kølvandet på disse sager lød meldingen fra Peter Kjærgaard til Fyens.dk, at der var ved at blive skruet op for sikkerheden. Og det er sket med en APP-OPDATERING (min fremhævning), som er rullet ud i slutningen af sidste uge, forklarer Peter Kjærgaard.

Hvis kombinationen mobilnummer, PIN - og aktiverings kode er/var nødvendigt - hvorfor så en opdatering af applikationen? Min gæt - og det er et gæt - er, at mobil nummeret og aktiverings koden var tilstrækkeligt.

  • more_vert
    • insert_linkKopier link
16
Christian Schmidt
23. november 2017 kl. 20:58

Nogen af os HAR faktisk SLET IKKE NemID...

Danske Bank har et fintmasket filialnet, så de kunne evt. tilbyde en ordning, hvor folk uden NemID kan tage noget billedlegitimation med ned i deres lokale afdeling og blive godkendt der.

  • more_vert
    • insert_linkKopier link
15
Gert Eriksen
23. november 2017 kl. 19:48

Som anført tidligere skal man bruge et mobil nummer, en PIN kode og en aktiverings kode. Endvidere lyder det som angrebet har være lokalt (på Fyn). Et muligt senarie kunne derfor være at man er blevet afluret sin PIN ved betaling til en fremmed (f.eks. på et loppemarked på Fyn). PIN koden indtastes jo oftest ved betaling. Modtager har så både mobilnummer og PIN. Nu mangler der bare aktiverings koden, som man venligst ringer og spørge om, hvilket tydeligvis er muligt. Vupti..

  • more_vert
    • insert_linkKopier link
12
Povl H. Pedersen
23. november 2017 kl. 13:22

Jeg slettede MobilePay og prøvede at installere igen.

For at installere MobilePay på en ny device skal jeg kende:

  • telefonnr
  • selvvalgt 4-cifret PIN (hemmelig)
  • SMS kode der sendes
  • CPR-nr (ikke ret hemmelig, alle kan købe adgang til opslag)

Hvis jeg ikke kender PIN, så er alternativet NemID.

Så nu er den rimelig skudsikker.

  • more_vert
    • insert_linkKopier link
11
Kim Bach
23. november 2017 kl. 04:50

Nu er det måske uvist om det er proceduren for aktivering af en ny enhed der har været angrebsvektoren, men det lyder som en mulighed.

Jeg prøvede at aktivere en ny enhed i går, det kan være at proceduren er ændret for nylig, specielt punkt 4 med krav om angivelse af den personlige PIN, og jeg havde haft MobilePay på (iOS) enheden før (iPad).

  1. Hent MobilePay på AppStore på en ny enhed
  2. Start MobilePay
  3. Vælg Log på (eksisterende bruger)
  4. Indtast Mobilnummer OG kode (selvvalgt PIN fra den originale enhed)
  5. Indtast den sekscifrede aktiveringskode du modtager på SMS Der står: "Din aktiveringskode er: x Brug aktiveringskoden, når du tilmelder dig MobilePay"
  6. Nu har du aktiveret den nye enhed

Som sagt, kan det jo godt være at MobilePay har ændret proceduren for nylig, men hvis dette var angrebsvektoren skal man altså have oplyst to ting til angriberen, hvis vedkommende ikke havde fysisk adgang til en på-logget aktiveret enhed, og derfor kunne ændre den selvvalgte PIN.

  1. Selvvalgt PIN
  2. Aktiveringskode

Det lyder relativt sikkert, så der MÅ da være andre forklaringer, alle er bekendt med at man ALDRIG skal oplyse en PIN til andre, så har svindleren gættet sig frem til den selvvalgte PIN, eller afluret den, det sidste er jo en velkendt svindelmetode?

MobilePays vejledning, som ikke er så detaljeret, hvilket måske er fornuftigt, da flowet, som de kalder det, kan ændres https://www.mobilepay.dk/da-dk/help/privat/Pages/opsaetning-kan-jeg-have-mobilpay-paa-flere-mobile-enheder.aspx

  • more_vert
    • insert_linkKopier link
10
Slettet bruger
22. november 2017 kl. 23:07

Nogen af os HAR faktisk SLET IKKE NemID...

Skal sikkerhedsniveauet være lavere for næsten alle MobilePay brugere for at folk der er i Danmark i under 3 måneder, er under 15 eller ikke VIL have NemID skal kunne bruge servicen?

Jeg bruger ikke selv MobilePay, og jeg er som sådan ligeglad hvem der kan få adgang til MobilePay eller hvor sikkert det er - men jeg synes ærlig talt det er en fjollet prioritering hvis man vægter det højere at tilbyde MobilePay til en meget lille folkemængde end at sikre servicen for det kæmpe flertal.

  • more_vert
    • insert_linkKopier link
8
Jakob Damkjær
22. november 2017 kl. 15:55

Men hvorfor bruger mobilepay ikke NemID når der skal instaleres på en ny telefon.

Man bliver sårbar fordi der er flere tjenester der benytter SMS bekræftigelseskoder til at beskytte mod social hacking... så som DriveNow og Amazon. De benytter dem til at bekræfte at det er den person de taler med som de faktisk taler med...

En god sikkerhedsforanstantning ville være hvis MobilePay sendte en app besked til den første bekræftigede telefon om at den var ved at installere MobilePay på en anden telefon... Så ville de fleste blive mistænkelige hvis de fik en sms med bekræftigelses kode... Specielt før de havde fat i supporten... og jeg har aldrig hørt om at man skulle få sms FØR de ringer... har kun oplevet at de sendte besked når man ringede...

Det jeg ikke helt håber er andet end tilfældet at de han havde noget han måske skulle ha en sikkerheds kode til ? var det hackerene der vidste at han havde betalt nogen og det var gået i fisk... for hvis de allerece har hacket der hvor han handler så er det meget svært at undgå at gå i nettet...

  • more_vert
    • insert_linkKopier link
7
Hoder Jensen
22. november 2017 kl. 11:05

Mange telefoner viser indhold af SMS'er på deres låseskærm, så hvis sikkerheden har kunne været omgået med en SMS, så har stjålne telefoner da godt nok være i farezonen, når man tænker på hvor mange danskere har installeret Mobilepay. Men uden at kende detaljerne, som ikke er blevet afsløret, er det svært helt præcist at bedømme.

  • more_vert
    • insert_linkKopier link
6
Simon Mikkelsen
22. november 2017 kl. 08:56

De skal overhovedet ikke sende sådan noget på SMS! Der er alt for mange der kan lytte med, hvis det er det de har lyst til. Yderligere er krypteringen før blevet brudt, og så kan alle der er i nærheden lytte med.

SMS er fint til at beskytte mod de fleste automatiserede angreb, men ikke mod mennesker som er villige til at investere lidt tid i deres foretagende.

  • more_vert
    • insert_linkKopier link
5
Martin Jensen
22. november 2017 kl. 08:42

Det ville give god mening hvis alle de tjenester der efterhånden sender en kode pr. SMS, rent faktisk lige skrev et par linjer ekstra med en beskrivelse. Som fx. "Denne kode er til aktivering af din konto på en ny telefon", eller "Til godkendelse af betaling til.."

  • more_vert
    • insert_linkKopier link
4
Palle Meinert
21. november 2017 kl. 20:27

eller dit SIM-kort

Hvis han afgiver nummer han har modtaget på sms, er det jo en omgåelse af dette krav. Så er det kun kortnummeret der mangler. Den kan man se i mobilepay's indstillinger. Så hvis man bliver bedt om at overføre eller modtage af en fremmed, hvor det ikke virker og den fremmede lige vil tjekke hvad telefonen viser, så kan en tricktyv i samarbejde med en partner til at distrahere, nemt få fat i den.

  • more_vert
    • insert_linkKopier link
3
Jørgen Larsen
21. november 2017 kl. 19:40

@Claus Juul, selvfølgelig ikke, men besiddelsen af koden burde altså IKKE være tilstrækkeligt jfr. ovenstående. Så der må være mere i den historie. Så måske vil besiddelsen af en AKTIVERINGSKODE medfører installation / opdatering af den mobiltelefon, der indtaster aktiveringskoden?

  • more_vert
    • insert_linkKopier link
2
Claus Bobjerg Juul
21. november 2017 kl. 16:36

Må ALDRIG gives til andre.

  • more_vert
    • insert_linkKopier link