MobilePay misbrugt

Politiet melder om en håndfuld tilfælde, hvor MobilePay bliver misbrugt af kriminelle med anonyme taletidskort til smartphones.

Ifølge Rigspolitiets Cyber Crime Center er der lige nu en håndfuld igangværende sager mod kriminelle, der misbruger Danske Banks populære betalings-app, MobilePay. Det skriver MetroXpress.

Metoden er ifølge politikommissær Martin Kofoed, at den kriminelle aflurer eller køber de oplysninger, der står på et kreditkort. Derefter opretter de en MobilePay-konto med en smartphone og et anonymt taletidskort. Og med det kan den kriminelle så handle i stadig flere og flere butikker samt med private, der også benytter MobilePay, eller overføre penge til en række medgerningsmænd, som hæver pengene i hæveautomater.

»Udbyttet kan være højt, og det foregår organiseret og systematisk. I hver sag er der mindst fire-fem sigtede personer,« siger Martin Kofoed.

Danske Banks chef for MobilePay, Mark Wraa-Hansen, oplyser, at banken overvåger problemet tæt og dækker tab, som skyldes svindel. Han mener dog, at der er tale om få sager.

MobilePay har nu 1,6 millioner brugere.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (31)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Casper Olsen

Ja jeg ved godt vi ikke kan li nemID, men problemet ville jo øjensynlig blive mindre (helt forsvinde), hvis man havde krav om nemID til oprettelse af en MobilePay konti.

Forhåbentlig kan de også følge sporet, til den person som vælger at hæve penge i en hæveautomat.

Morten Grouleff

Så det burde være ret let at følge pengesporet til modtagerens bankkonto.

Overskriften "MobilePay misbrugt" er ikke rammende: Det er kortoplysningerne for et kreditkort, der misbruges, denne gang gennem MobilePay. Misbrugerne kunne istedet f.eks. købe varer hos Amazon... Skulle overskiften så være "Amazon misbrugt", når nogen bruger stjålne kreditkort hos dem? Det sker vel hver eneste dag...

Henning Wangerin

Ja jeg ved godt vi ikke kan li nemID, men problemet ville jo øjensynlig blive mindre (helt forsvinde), hvis man havde krav om nemID til oprettelse af en MobilePay konti.

Eller ved at sløve oprettelsen ned, ved at enten at sende 1 øre til den bankkonto som folk skal opgive, med en kode i psoteringsteksten. Eller lave en reservation af 1 øre på kortet med en kode i posteringsteksten som så kan ses i netbanken.

Så kan de da med god sansynlighed verifisere personen uden at kende ham.

Jeg har set det brugt et par steder. blandt andet hos paypal som vist nok bruger den sidste.

Morten Grouleff

Man kan sagtens købe simkort uden at registrere sig. F.eks. har Lebara pakker rettet til turister til formålet.

Men det gør heller ingen forskel: misbrug af kortoplysninger kunne lige så godt ske over et åbent wifi på en Starbucks. Så misbruget skal stoppes ved at gøre misbrug af kortoplysninger sværere, uanset hvad man misbruger dem hos. Ikke ved at have bedre styr på telefonnumre: Telefonnumre er ret dårlige som autentifikation, og jeg synes ikke vi skal presse på for at få mere overvågning af telefonnumre end vi allerede har.

Casper Olsen

Nej, dankortoplysninger er blevet misbrugt igennem MobilePay - der er forskel.


Præcis - I første omgang troede jeg også der var tale om at folk havde fået adgang til andres MobilePay konti, men det viste sig jo så at være lidt "Ekstra blads" overskrift over artiklen.

Eller ved at sløve oprettelsen ned, ved at enten at sende 1 øre til den bankkonto som folk skal opgive, med en kode i psoteringsteksten. Eller lave en reservation af 1 øre på kortet med en kode i posteringsteksten som så kan ses i netbanken.

Så kan de da med god sansynlighed verifisere personen uden at kende ham.

Jeg har set det brugt et par steder. blandt andet hos paypal som vist nok bruger den sidste.

Paypal bruger (brugte?) netop den metode, da jeg for længe siden havde en konti ved dem. En smart måde, at verificere man faktisk har kontrol over kort og bank konti.

Martin Kofoed

Bemeldte politikommissær er altså ikke undertegnede. Så I kan stadig trygt dele jeres hackererfaringer ... ;)

Med mindre antallet af misbrugstilfælde stiger eksplosivt, tror jeg i øvrigt ikke, der sker meget fra Danskes side. Den altoverskyggende årsag til MobilePays succes er jo netop, at det er meget nemt at tilmelde sig.

Rasmus Winther

De anonyme taletidskort kan man købe for 30kr i TDC butikken, det ved jeg fordi jeg har et i mit Webasto fyr til bilen. Faktisk fik jeg en 100kr seddel fra værkstedets kasseapparat, så jeg lige kunne købe et par ekstra med, nu jeg alligevel skulle have til mig selv. Ingen kontrol der (i TDC butikken, altså).

Allan S. Hansen

Hvis kreditkort oplysningerne allerede er kompromitterede - så kan de misbruges på mange måder og så er problemet allerede opstået og mobilpay er blot en kanal.

Så jeg synes da mere denne historie er at stjålne/kompromitterede oplysninger kan misbruges (d'uh) mere end det er mobilpay der misbruges.
Taletidskort debat eller ej.

Jakob Sørensen

(...) hvis man havde krav om nemID til oprettelse af en MobilePay konti.

Problemet er at opfordringen (som jeg læser det på fx. dr.dk) går på at man skal verificerer med NemID ved hvert login. Dette vil være katastrofalt for brugervenligheden og bør for enhver pris undgås. Jeg er dog enig med dig i, at man godt kunne lave en verificering med NemID, eksempelvis når man tilknytter et nyt kort til sin MobilePay.

Jesper Stein Sandal

Vi må antage, at hvis politiet reagerer på en henvendelse om Dankort-misbrug, så kan overførslen spores til et muldyr, som har hævet de overførte penge. Jeg har kigget lidt på regnestykket:

Maks. beløb for overførsler fra en MobilePay-konto/dag: 1.500 kr.
Maks. beløb en MobilePay-konto kan modtage pr. år: 50.000 kr.
Maks. beløb der kan hæves fra et Dankort i en automat pr. dag: 15.000 kr.

Så hver svindler skal bruge ét taletidskort pr. stjålet Dankort, der skal misbruges, men det beløb ignorerer vi (et sted mellem 30-100 kr.).

Pengene overføres til et muldyr, der har oprettet en MobilePay og får pengene sat ind på sin konto.

Hvis operationen skal ske i løbet af én dag, før politiet reagerer, så kan der altså maks. svindles fra 10 kort for maksimumbeløbet (15.000/1.500).

Hvis der går længere tid, så vil MobilePay-modtagerens konto være opbrugt efter 33 overførsler. Hvis det er jævnt fordelt over flere kort, så vil det tage 3 dage, og hvert offer vil have mistet knapt 5.000 kr.

Hvis politiet aldrig reagerer, eller hverken offer eller bank opdager noget, kan kortet naturligvis fortsat misbruges med 1.500 kr./dag, så længe der er nye muldyr klar til at modtage pengene.

Hvis vi tager politiets oplysninger til Metroxpress for pålydende, så må vi antage, at der i hver sag er 5 muldyr.

http://www.mx.dk/nyheder/danmark/story/25003870

Med en håndfuld igangværende sager, så er den samlede svindel ved hjælp af MobilePay 5 x 5 x 50.000 kr. = 1.250.000 kr.

Metroxpress skrev i februar om den samlede svindel med Dankort:

http://www.mx.dk/nyheder/danmark/story/31765212

Det løb i 2013 op i 53,2 millioner kroner. Svindlen via MobilePay udgør altså umiddelbart 2,4% af den samlede svindel, hvis vi antager, at de oplyste tal fra politiet dækker alle sager, og svindlen med Dankort i 2014 er på samme niveau som i 2013.

Ud af det samlede forbrug på Dankort er det dog forsvindende lidt, da danskerne i 2013 foretog transaktioner for 319 milliarder kroner:

http://www.nets.eu/dk-da/Om/nyheder-og-presse/Pages/Dankort-forbruget-i-...

Hvad er lektien? Hold øje med din konto. Dine Dankort-oplysninger kan misbruges, hvis de falder i forkerte hænder. MobilePay er blot én metode.

Frithiof Andreas Jensen

Hvilket formål tjener de ellers i dagens Danmark?


Jeg har en mobil, men jeg önsker jeg ikke at have et abonnement?

Jeg har et 3G modem som ligger et öde sted og sender lidt telemetri på SMS og jeg önsker ikke at häfte for mere end 200-300 kroner hvis nogen hugger dimsen?

Min sön får hugget sin telefon hele tiden og har måske ikke lyst til at komme på en liste (som der ikke findes en dokumenteret procedure til at komme af igen) hvis tyven ringer til de forkerte folk i Somalia?

Martin Storgaard Dieu

Hvis man alligevel skal registreres via NemID, så kunne man vel lige så godt bruge Swipp? Så får man også en løsning de fleste banker har været med til at udvikle. Jeg glæder mig til at se hvordan det udvikler sig når Danske Bank indføre gebyr på MobilePay. Vil folk blot bøje forover og betale, eller bliver Swipp det "nye", eller noget helt tredje?

Er dette i virkeligheden en skræmme kampagne mod MobilePay? Journalistikken peger i hvert fald i den retning.

Oliver Billing

Det er en simpel ligning.

Hvor meget svindel er der, holdt op imod hvor mange brugere man ikke får på at skulle bruge NemID.

Undervurder aldrig hvor mange brugere man mister på selv de simpleste loginløsninger. Mobilepay har spredt sig med lynets hast fordi man uden dikkedarer har kunne overføre penge til hinanden når man nu sad nede på resturanten og skulle dele regningen.

Da Mobilepay kom ud skulle man jo på en PC for at bruge NemID og gudhjælpme finde sit nøglekort.

Anyway, efter min mening retfærdiggøre svindelsen størrelse ikke at man genere sine brugere.

Casper Olsen

Da Mobilepay kom ud skulle man jo på en PC for at bruge NemID og gudhjælpme finde sit nøglekort.

Det var os den gang, at NemID kun var at finde i en JAVA version. Nu har de jo fået JS versionen.

Der ud over så har fx Sydbank i det meste af 2014 på deres mobil App har krævet NemID kode i deres iOS app (som ikke kan afvikle java?!) for at verificere en overførsel, så må de da også kunne kræve at man verficere sig 1 gang, når man opretter et nyt kort i mobilePay App.

Log ind eller Opret konto for at kommentere
Brugerundersøgelse Version2
maximize minimize