MobilePay har øget sikkerheden efter svindel

Der er blevet skruet op for sikkerheden i MobilePay efter flere svindelsager.

Efter flere sager, hvor ofre er blevet svindlet via MobilePay, er der nu skruet op for sikkerheden på betalingsapp'en.

»Der kan man så i bakspejlet sige: Burde vi have gjort det tidligere? Ja, det burde vi måske,« siger pressechef hos MobilePay Peter Kjærgaard.

MobilePay er et selvstændigt selskab ejet af Danske Bank.

I begyndelsen af november kom det frem, at der havde været en stribe svindelsager, som involverer MobilePay på Fyn. I kølvandet på disse sager lød meldingen fra Peter Kjærgaard til Fyens.dk, at der var ved at blive skruet op for sikkerheden. Og det er sket med en app-opdatering, som er rullet ud i slutningen af sidste uge, forklarer Peter Kjærgaard.

Han ønsker ikke at gå i detaljer med, hvori sikkerhedsforbedringerne består. MobilePay har desuden været sparsomme med oplysninger om, hvordan den konkrete svindel på Fyn har fundet sted.

»Der er ingen grund til at lave en brugervejledning i, hvordan man laver kriminalitet.«

Svindel for 80.000 kroner

Svindel med MobilePay er blevet aktuelt blandt andet på grund af et indlæg på Facebook. Her fortæller journalist og tidligere chefredaktør på blandt andet Computerworld, Mikael Lindholm, om, hvordan han selv er blevet svindlet for 80.000 kroner på en måde, der involverer MobilePay.

Svindlen har stået på siden 10. november. Det foregik ved, at Mikael Lindholm fik en sms med en fem-cifret aktiveringskode, fortæller han på Facebook. Herefter fik han gentagende opkald, hvorefter han til sidst tog telefonen.

»Jeg kan kun vagt huske samtalen, fordi jeg var til Bogmesse i Bella Center med en masse mennesker og postyr omkring mig og var bare glad for at de lige fiksede det. Jeg hæftede mig ikke ved samtalen og mistænkte ikke noget, fordi jeg netop havde modtaget en sms fra MobilePay, som manden henviste til. Nu tænker jeg, at jeg muligvis har læst koden i sms'en op. Jeg ved det ikke. Det er helt blankt. Hvad jeg ved er, at minutter efter - kan jeg nu se - begyndte pengene at fosse ud af min konto, og det stoppede ikke, bare fordi der ikke længere var penge på kontoen,« skriver han på Facebook og forsætter:

»Jeg er dialog med bedrageriafdelingen i banken. De forklarer mig, at hvis nogen har dit mobilnummer, så kan de prøve at logge sig ind på MobilePay med dit nummer fra en anden mobil, hvilket udløser en automatisk sms til din mobil med en kode. Hvis de så ringer dig op og udgiver sig for at være MobilPay support og får dig til at læse koden på sms'en op fra det ægte MobilePay, så har de fuldstændigt fri adgang til din konto fra den anden mobil. Jeg tror, det er det, jeg har været udsat for.«

Til Version2 siger Mikael Lindholm:

»Der var intet, overhovedet, der fik en advarselslampe til at ringe. Manden i den anden ende var velformuleret og talte godt, der var ingenting, der gjorde, jeg tænkte, det her er fup og svindel,« siger Mikael Lindholm til Version2.

Mikael Lindholm husker ikke samtalen i detaljer, men umiddelbart mener han kun, han muligvis har opgivet sms-koden til personen i den anden ende af røret. Og altså ikke også eksempelvis et CPR-nummer.

»Såvidt jeg husker. Jeg kan kun sige, hvis de havde bedt mig om andre oplysninger, så ville jeg synes, det var meget mærkeligt.«

Hos MobilePay afviser pressechef Peter Kjærsgaard, at det alene med kendskab til et telefonnummer og sms-koden har været muligt at logge ind på andres MobilePay fra en anden enhed.

Tips og tricks

Peter Kjærsgaard holder kortene tæt ind til kroppen, når det gælder sikkerhed på MobilePay. Også hvad den seneste opdatering i forhold til sikkerheden angår.

Han har dog en række fif, der handler om at passe på sin telefon, koden til MobilePay-app og personlige oplysninger som for eksempel CPR og NemID-informationer.

»Del dem ikke med andre. Hvis du modtager en sikkerhedskode fra MobilePay, så kan det være tegn på, der er nogen, der forsøger at genskabe din MobilePay-bruger. Så skal du ringe til vores support på 45144147 og diskutere sagen med dem,« siger han og tilføjer:

»Den sidste ting: Lad være med at overføre eller modtage penge fra helt tilfældige mennesker, du møder på gaden, det kan være begyndelse på et tricktyveri.«

Mikael Lindholm fortæller, at han er blevet kontaktet af banken i dag, og at det ser ud til, han får svindlen dækket.

»De ville behandle sagen, og jeg kunne regne med, at jeg fik pengene dækket. Det var rart. Jeg sagde til dem, jeg klandrer sådan set ikke Danske Bank eller MobilePay for noget her, der er jo ikke nogen, der har gjort noget med vilje,« siger Mikael Lindholm.

Han kunne dog godt have tænkt sig at være blevet mødt med lidt større forståelse fra bankens side i forhold til svindlen, hvor han hovedsageligt oplevede at blive mødt med mistænksomhed.

»De har sagt, de vil se på, om de kan blive bedre til at kommunikere i sådan en situation. Det er jo en positiv ting.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (17)
Palle Meinert

eller dit SIM-kort


Hvis han afgiver nummer han har modtaget på sms, er det jo en omgåelse af dette krav. Så er det kun kortnummeret der mangler. Den kan man se i mobilepay's indstillinger. Så hvis man bliver bedt om at overføre eller modtage af en fremmed, hvor det ikke virker og den fremmede lige vil tjekke hvad telefonen viser, så kan en tricktyv i samarbejde med en partner til at distrahere, nemt få fat i den.

Martin Jensen

Det ville give god mening hvis alle de tjenester der efterhånden sender en kode pr. SMS, rent faktisk lige skrev et par linjer ekstra med en beskrivelse. Som fx. "Denne kode er til aktivering af din konto på en ny telefon", eller "Til godkendelse af betaling til.."

Simon Mikkelsen

De skal overhovedet ikke sende sådan noget på SMS! Der er alt for mange der kan lytte med, hvis det er det de har lyst til. Yderligere er krypteringen før blevet brudt, og så kan alle der er i nærheden lytte med.

SMS er fint til at beskytte mod de fleste automatiserede angreb, men ikke mod mennesker som er villige til at investere lidt tid i deres foretagende.

Hoder Jensen

Mange telefoner viser indhold af SMS'er på deres låseskærm, så hvis sikkerheden har kunne været omgået med en SMS, så har stjålne telefoner da godt nok være i farezonen, når man tænker på hvor mange danskere har installeret Mobilepay. Men uden at kende detaljerne, som ikke er blevet afsløret, er det svært helt præcist at bedømme.

Jakob Damkjær

Men hvorfor bruger mobilepay ikke NemID når der skal instaleres på en ny telefon.

Man bliver sårbar fordi der er flere tjenester der benytter SMS bekræftigelseskoder til at beskytte mod social hacking... så som DriveNow og Amazon. De benytter dem til at bekræfte at det er den person de taler med som de faktisk taler med...

En god sikkerhedsforanstantning ville være hvis MobilePay sendte en app besked til den første bekræftigede telefon om at den var ved at installere MobilePay på en anden telefon... Så ville de fleste blive mistænkelige hvis de fik en sms med bekræftigelses kode... Specielt før de havde fat i supporten... og jeg har aldrig hørt om at man skulle få sms FØR de ringer... har kun oplevet at de sendte besked når man ringede...

Det jeg ikke helt håber er andet end tilfældet at de han havde noget han måske skulle ha en sikkerheds kode til ? var det hackerene der vidste at han havde betalt nogen og det var gået i fisk... for hvis de allerece har hacket der hvor han handler så er det meget svært at undgå at gå i nettet...

Tobias Volfing

Nogen af os HAR faktisk SLET IKKE NemID...

Skal sikkerhedsniveauet være lavere for næsten alle MobilePay brugere for at folk der er i Danmark i under 3 måneder, er under 15 eller ikke VIL have NemID skal kunne bruge servicen?

Jeg bruger ikke selv MobilePay, og jeg er som sådan ligeglad hvem der kan få adgang til MobilePay eller hvor sikkert det er - men jeg synes ærlig talt det er en fjollet prioritering hvis man vægter det højere at tilbyde MobilePay til en meget lille folkemængde end at sikre servicen for det kæmpe flertal.

Kim Bach

Nu er det måske uvist om det er proceduren for aktivering af en ny enhed der har været angrebsvektoren, men det lyder som en mulighed.

Jeg prøvede at aktivere en ny enhed i går, det kan være at proceduren er ændret for nylig, specielt punkt 4 med krav om angivelse af den personlige PIN, og jeg havde haft MobilePay på (iOS) enheden før (iPad).

  1. Hent MobilePay på AppStore på en ny enhed
  2. Start MobilePay
  3. Vælg Log på (eksisterende bruger)
  4. Indtast Mobilnummer OG kode (selvvalgt PIN fra den originale enhed)
  5. Indtast den sekscifrede aktiveringskode du modtager på SMS
    Der står:
    "Din aktiveringskode er: x Brug aktiveringskoden, når du tilmelder dig MobilePay"
  6. Nu har du aktiveret den nye enhed

Som sagt, kan det jo godt være at MobilePay har ændret proceduren for nylig, men hvis dette var angrebsvektoren skal man altså have oplyst to ting til angriberen, hvis vedkommende ikke havde fysisk adgang til en på-logget aktiveret enhed, og derfor kunne ændre den selvvalgte PIN.

  1. Selvvalgt PIN
  2. Aktiveringskode

Det lyder relativt sikkert, så der MÅ da være andre forklaringer, alle er bekendt med at man ALDRIG skal oplyse en PIN til andre, så har svindleren gættet sig frem til den selvvalgte PIN, eller afluret den, det sidste er jo en velkendt svindelmetode?

MobilePays vejledning, som ikke er så detaljeret, hvilket måske er fornuftigt, da flowet, som de kalder det, kan ændres https://www.mobilepay.dk/da-dk/help/privat/Pages/opsaetning-kan-jeg-have...

Povl H. Pedersen

Jeg slettede MobilePay og prøvede at installere igen.

For at installere MobilePay på en ny device skal jeg kende:
- telefonnr
- selvvalgt 4-cifret PIN (hemmelig)
- SMS kode der sendes
- CPR-nr (ikke ret hemmelig, alle kan købe adgang til opslag)

Hvis jeg ikke kender PIN, så er alternativet NemID.

Så nu er den rimelig skudsikker.

Gert Eriksen

Som anført tidligere skal man bruge et mobil nummer, en PIN kode og en aktiverings kode. Endvidere lyder det som angrebet har være lokalt (på Fyn).
Et muligt senarie kunne derfor være at man er blevet afluret sin PIN ved betaling til en fremmed (f.eks. på et loppemarked på Fyn). PIN koden indtastes jo oftest ved betaling.
Modtager har så både mobilnummer og PIN. Nu mangler der bare aktiverings koden, som man venligst ringer og spørge om, hvilket tydeligvis er muligt. Vupti..

Jørgen Larsen

Altså fra artiklen:

I kølvandet på disse sager lød meldingen fra Peter Kjærgaard til Fyens.dk, at der var ved at blive skruet op for sikkerheden. Og det er sket med en APP-OPDATERING (min fremhævning), som er rullet ud i slutningen af sidste uge, forklarer Peter Kjærgaard.

Hvis kombinationen mobilnummer, PIN - og aktiverings kode er/var nødvendigt - hvorfor så en opdatering af applikationen? Min gæt - og det er et gæt - er, at mobil nummeret og aktiverings koden var tilstrækkeligt.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017