MobilePay misbrugt

22. oktober 2014 kl. 10:2531
MobilePay misbrugt
Illustration: pressefoto.
Politiet melder om en håndfuld tilfælde, hvor MobilePay bliver misbrugt af kriminelle med anonyme taletidskort til smartphones.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Ifølge Rigspolitiets Cyber Crime Center er der lige nu en håndfuld igangværende sager mod kriminelle, der misbruger Danske Banks populære betalings-app, MobilePay. Det skriver MetroXpress.

Metoden er ifølge politikommissær Martin Kofoed, at den kriminelle aflurer eller køber de oplysninger, der står på et kreditkort. Derefter opretter de en MobilePay-konto med en smartphone og et anonymt taletidskort. Og med det kan den kriminelle så handle i stadig flere og flere butikker samt med private, der også benytter MobilePay, eller overføre penge til en række medgerningsmænd, som hæver pengene i hæveautomater.

»Udbyttet kan være højt, og det foregår organiseret og systematisk. I hver sag er der mindst fire-fem sigtede personer,« siger Martin Kofoed.

Danske Banks chef for MobilePay, Mark Wraa-Hansen, oplyser, at banken overvåger problemet tæt og dækker tab, som skyldes svindel. Han mener dog, at der er tale om få sager.

Artiklen fortsætter efter annoncen

MobilePay har nu 1,6 millioner brugere.

31 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
31
27. oktober 2014 kl. 11:25

Mobile Pay kræver samme mængder af oplysninger for at kunne fortage transaktioner som hvis man stjal et Dankort og købte ting online.

Jeg kan ikke se problemet ?

Man skal jo have alle kortoplysninger !?

24
22. oktober 2014 kl. 21:54

Det er en simpel ligning.

Hvor meget svindel er der, holdt op imod hvor mange brugere man ikke får på at skulle bruge NemID.

Undervurder aldrig hvor mange brugere man mister på selv de simpleste loginløsninger. Mobilepay har spredt sig med lynets hast fordi man uden dikkedarer har kunne overføre penge til hinanden når man nu sad nede på resturanten og skulle dele regningen.

Da Mobilepay kom ud skulle man jo på en PC for at bruge NemID og gudhjælpme finde sit nøglekort.

Anyway, efter min mening retfærdiggøre svindelsen størrelse ikke at man genere sine brugere.

30
24. oktober 2014 kl. 13:14

Da Mobilepay kom ud skulle man jo på en PC for at bruge NemID og gudhjælpme finde sit nøglekort.

Det var os den gang, at NemID kun var at finde i en JAVA version. Nu har de jo fået JS versionen.

Der ud over så har fx Sydbank i det meste af 2014 på deres mobil App har krævet NemID kode i deres iOS app (som ikke kan afvikle java?!) for at verificere en overførsel, så må de da også kunne kræve at man verficere sig 1 gang, når man opretter et nyt kort i mobilePay App.

22
22. oktober 2014 kl. 20:55

Hvis man alligevel skal registreres via NemID, så kunne man vel lige så godt bruge Swipp? Så får man også en løsning de fleste banker har været med til at udvikle. Jeg glæder mig til at se hvordan det udvikler sig når Danske Bank indføre gebyr på MobilePay. Vil folk blot bøje forover og betale, eller bliver Swipp det "nye", eller noget helt tredje?

Er dette i virkeligheden en skræmme kampagne mod MobilePay? Journalistikken peger i hvert fald i den retning.

19
22. oktober 2014 kl. 18:05

Man kunne måske (nemt?) komme noget af svindlen til livs ved at lave tjek på om kortet var tilmeldt en anden MobilePay konto.

16
22. oktober 2014 kl. 16:44

Vi må antage, at hvis politiet reagerer på en henvendelse om Dankort-misbrug, så kan overførslen spores til et muldyr, som har hævet de overførte penge. Jeg har kigget lidt på regnestykket:

Maks. beløb for overførsler fra en MobilePay-konto/dag: 1.500 kr. Maks. beløb en MobilePay-konto kan modtage pr. år: 50.000 kr. Maks. beløb der kan hæves fra et Dankort i en automat pr. dag: 15.000 kr.

Så hver svindler skal bruge ét taletidskort pr. stjålet Dankort, der skal misbruges, men det beløb ignorerer vi (et sted mellem 30-100 kr.).

Pengene overføres til et muldyr, der har oprettet en MobilePay og får pengene sat ind på sin konto.

Hvis operationen skal ske i løbet af én dag, før politiet reagerer, så kan der altså maks. svindles fra 10 kort for maksimumbeløbet (15.000/1.500).

Hvis der går længere tid, så vil MobilePay-modtagerens konto være opbrugt efter 33 overførsler. Hvis det er jævnt fordelt over flere kort, så vil det tage 3 dage, og hvert offer vil have mistet knapt 5.000 kr.

Hvis politiet aldrig reagerer, eller hverken offer eller bank opdager noget, kan kortet naturligvis fortsat misbruges med 1.500 kr./dag, så længe der er nye muldyr klar til at modtage pengene.

Hvis vi tager politiets oplysninger til Metroxpress for pålydende, så må vi antage, at der i hver sag er 5 muldyr.

http://www.mx.dk/nyheder/danmark/story/25003870

Med en håndfuld igangværende sager, så er den samlede svindel ved hjælp af MobilePay 5 x 5 x 50.000 kr. = 1.250.000 kr.

Metroxpress skrev i februar om den samlede svindel med Dankort:

http://www.mx.dk/nyheder/danmark/story/31765212

Det løb i 2013 op i 53,2 millioner kroner. Svindlen via MobilePay udgør altså umiddelbart 2,4% af den samlede svindel, hvis vi antager, at de oplyste tal fra politiet dækker alle sager, og svindlen med Dankort i 2014 er på samme niveau som i 2013.

Ud af det samlede forbrug på Dankort er det dog forsvindende lidt, da danskerne i 2013 foretog transaktioner for 319 milliarder kroner:

http://www.nets.eu/dk-da/Om/nyheder-og-presse/Pages/Dankort-forbruget-i-2013.aspx

Hvad er lektien? Hold øje med din konto. Dine Dankort-oplysninger kan misbruges, hvis de falder i forkerte hænder. MobilePay er blot én metode.

12
22. oktober 2014 kl. 14:02

Jeg skulle forleden tilmelde mit nye visa kort til Pay Pal. Der blev trukket ca 10 kr. som straks blev krediteret da jeg svarede på en kontrol mail. På den måde kan konto og person verificeres.

13
22. oktober 2014 kl. 14:18

Danske Bank fortalte på GOTO at målsætningen med MobilePay var at det skulle være nemt at bruge, og at du skulle kunne sætte MobilePay op på 2 minutter. Det fungere ikke så godt sammen med at brugeren skal vente på at en transaktion går igennem på kontoen.

11
22. oktober 2014 kl. 14:02

Hvis kreditkort oplysningerne allerede er kompromitterede - så kan de misbruges på mange måder og så er problemet allerede opstået og mobilpay er blot en kanal.

Så jeg synes da mere denne historie er at stjålne/kompromitterede oplysninger kan misbruges (d'uh) mere end det er mobilpay der misbruges. Taletidskort debat eller ej.

9
22. oktober 2014 kl. 12:58

Bemeldte politikommissær er altså ikke undertegnede. Så I kan stadig trygt dele jeres hackererfaringer ... ;)

Med mindre antallet af misbrugstilfælde stiger eksplosivt, tror jeg i øvrigt ikke, der sker meget fra Danskes side. Den altoverskyggende årsag til MobilePays succes er jo netop, at det er meget nemt at tilmelde sig.

4
22. oktober 2014 kl. 11:28

Så det burde være ret let at følge pengesporet til modtagerens bankkonto.

Overskriften "MobilePay misbrugt" er ikke rammende: Det er kortoplysningerne for et kreditkort, der misbruges, denne gang gennem MobilePay. Misbrugerne kunne istedet f.eks. købe varer hos Amazon... Skulle overskiften så være "Amazon misbrugt", når nogen bruger stjålne kreditkort hos dem? Det sker vel hver eneste dag...

3
22. oktober 2014 kl. 11:24

Troede det var en saga blot og man efter logning og terrorbekendtgørelser også skulle oplyse informationer, eller er jeg forkert på den?

20
22. oktober 2014 kl. 18:16

Mere end 150000 danskere bor i udlandet. Mange af dem bruger taletidskort, når de besøger Danmark

28
24. oktober 2014 kl. 11:48

Det skal da kun eksponeres hvis de vil bruge mobile pay.

29
24. oktober 2014 kl. 12:06

Det skal da kun eksponeres hvis de vil bruge mobile pay.

Jo, men så er vi jo tilbage ved oprettelsen af den mobile betaling.

Jeg reagerer egentlig på debattens undertoner af at identifikationen skal lægges på anskaffelsen af SIM-kort, og ikke oprettelsen af betalingsaftalen/programmet.

10
22. oktober 2014 kl. 13:35

De anonyme taletidskort kan man købe for 30kr i TDC butikken, det ved jeg fordi jeg har et i mit Webasto fyr til bilen. Faktisk fik jeg en 100kr seddel fra værkstedets kasseapparat, så jeg lige kunne købe et par ekstra med, nu jeg alligevel skulle have til mig selv. Ingen kontrol der (i TDC butikken, altså).

6
22. oktober 2014 kl. 11:41

Man kan sagtens købe simkort uden at registrere sig. F.eks. har Lebara pakker rettet til turister til formålet.

Men det gør heller ingen forskel: misbrug af kortoplysninger kunne lige så godt ske over et åbent wifi på en Starbucks. Så misbruget skal stoppes ved at gøre misbrug af kortoplysninger sværere, uanset hvad man misbruger dem hos. Ikke ved at have bedre styr på telefonnumre: Telefonnumre er ret dårlige som autentifikation, og jeg synes ikke vi skal presse på for at få mere overvågning af telefonnumre end vi allerede har.

2
22. oktober 2014 kl. 11:15

Nej, dankortoplysninger er blevet misbrugt igennem MobilePay - der er forskel. At Danske Bank så tillader taletidskort er hovedrystende. De eneste der bruger sådan noget er vel efterhånden kun kriminelle? Hvilket formål tjener de ellers i dagens Danmark?

18
22. oktober 2014 kl. 17:43

Hvilket formål tjener de ellers i dagens Danmark?

Jeg har en mobil, men jeg önsker jeg ikke at have et abonnement?

Jeg har et 3G modem som ligger et öde sted og sender lidt telemetri på SMS og jeg önsker ikke at häfte for mere end 200-300 kroner hvis nogen hugger dimsen?

Min sön får hugget sin telefon hele tiden og har måske ikke lyst til at komme på en liste (som der ikke findes en dokumenteret procedure til at komme af igen) hvis tyven ringer til de forkerte folk i Somalia?

7
22. oktober 2014 kl. 12:54

Nej, dankortoplysninger er blevet misbrugt igennem MobilePay - der er forskel.

Præcis - I første omgang troede jeg også der var tale om at folk havde fået adgang til andres MobilePay konti, men det viste sig jo så at være lidt "Ekstra blads" overskrift over artiklen.

Eller ved at sløve oprettelsen ned, ved at enten at sende 1 øre til den bankkonto som folk skal opgive, med en kode i psoteringsteksten. Eller lave en reservation af 1 øre på kortet med en kode i posteringsteksten som så kan ses i netbanken.</p>
<p>Så kan de da med god sansynlighed verifisere personen uden at kende ham.</p>
<p>Jeg har set det brugt et par steder. blandt andet hos paypal som vist nok bruger den sidste.

Paypal bruger (brugte?) netop den metode, da jeg for længe siden havde en konti ved dem. En smart måde, at verificere man faktisk har kontrol over kort og bank konti.

1
22. oktober 2014 kl. 11:01

Ja jeg ved godt vi ikke kan li nemID, men problemet ville jo øjensynlig blive mindre (helt forsvinde), hvis man havde krav om nemID til oprettelse af en MobilePay konti.

Forhåbentlig kan de også følge sporet, til den person som vælger at hæve penge i en hæveautomat.

15
22. oktober 2014 kl. 15:01

(...) hvis man havde krav om nemID til oprettelse af en MobilePay konti.

Problemet er at opfordringen (som jeg læser det på fx. dr.dk) går på at man skal verificerer med NemID ved hvert login. Dette vil være katastrofalt for brugervenligheden og bør for enhver pris undgås. Jeg er dog enig med dig i, at man godt kunne lave en verificering med NemID, eksempelvis når man tilknytter et nyt kort til sin MobilePay.

5
22. oktober 2014 kl. 11:31

Ja jeg ved godt vi ikke kan li nemID, men problemet ville jo øjensynlig blive mindre (helt forsvinde), hvis man havde krav om nemID til oprettelse af en MobilePay konti.

Eller ved at sløve oprettelsen ned, ved at enten at sende 1 øre til den bankkonto som folk skal opgive, med en kode i psoteringsteksten. Eller lave en reservation af 1 øre på kortet med en kode i posteringsteksten som så kan ses i netbanken.

Så kan de da med god sansynlighed verifisere personen uden at kende ham.

Jeg har set det brugt et par steder. blandt andet hos paypal som vist nok bruger den sidste.