Pas på: Overbevisende fupmail fra 'PBS' vil stjæle dine kortoplysninger

Svindlere har tirsdag morgen udsendt et større antal phishing-mails, som forsøger at lokke kreditkortdata ud af danskere ved at forfalske PBS som afsender. Spær kortet straks, hvis du er hoppet i fælden, lyder rådet fra PBS.

Tirsdag morgen har et større antal danskere modtaget en e-mail, som ser ud til at stamme fra PBS, hvori modtageren opfordres til at oprette en kode til 'Verified by Visa' og 'Mastercard Securecode'.

E-mailen er afsendt af svindlere, som forsøger at lokke kreditkortoplysninger ud af danskere. Derfor opfordrer PBS kraftigt til, at man helt undlader at forsøge at åbne den vedhæftede webformular.

»Det ser ud til at være ret stort. Jeg har allerede fået 30 mails og flere opkald. Man skal undlade at åbne det vedhæftede dokument og undlade at besvare mailen og afgive sine fortrolige kortdata,« siger pressechef Søren Winge fra PBS til Version2.

Version2 har også modtaget adskillige tips om den rundsendte mail.

PBS blev brugt som madding i et lignende angreb i september sidste år.

**Læs også: **Cybergangstere misbruger PBS som madding i danske phishing-mails

E-mailen indeholder en tekst på dansk, som helt korrekt beskriver de to sikkerhedsprodukter til Visa og Mastercard, men e-mailen har også vedhæftet en webformular.

Formularen henter indhold fra PBS' server og har også et legitimt link til PBS' hjemmeside, men formularen sender data til en server på et udenlandsk webhotel.

På formularen bliver brugeren bedt om at udlevere sit kortnummer, udløbsdato, sikkerhedskode og de sidste fire cifre i sit CPR-nummer. Formularen spørger også efter den kode til Verified by Visa, som brugeren allerede har. Hvis man udfylder formularen og sender data, havner disse oplysninger hos svindlerne og ikke hos PBS.

Hvis man allerede er gået i fælden, som kan virke ganske overbevisende, så skal man ifølge PBS tage kontakt til sin bank og få spærret sit kort.

Koder til Verified by Visa og Mastercard Securecode er beregnet til at give ekstra sikkerhed i forbindelse med internethandel, fordi brugeren skal identificere sig ved hjælp af en kode over for sin bank i forbindelse med handlen. Det betyder, at en kriminel ikke blot skal være i besiddelse af selve kortet, men også skal kende et kodeord.

Hvis man vil oprette sine koder til kreditkortene, så sker det via netbanken. Hverken banker eller PBS vil på noget tidspunkt udsende mails, hvori brugerne opfordres til at følge et link og udlevere deres fortrolige oplysninger.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (17)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Torben Mogensen Blogger

De fleste phishing mail, jeg får, er enten på maskinoversat dansk eller engelsk, så alene det, at denne er på rimeligt godt dansk, gør den bedre end de fleste. Desuden var afsenderadressen ikke åbentlyst suspekt.

Generelt skal man lade være med at afgive kreditkortoplysninger på opfordring af en email, men man skal være endnu mere forsigtig, hvis man i denne mail ikke bliver tiltalt med navn, men i stedet med sin emailadresse (som i dette tilfælde), "Dear Paypal user" eller lignende. Dog er navn ikke en garanti mod phishing -- ofte forekommer ens navn på nettet sammen med ens emailadresse, så det er ikke svært at finde begge dele på nettet.

  • 0
  • 0
Michael Christensen

1: Institutioner som PBS vil aldrig forspørge om oplysninger på den måde.

2: Der er ikke anvendt HTTPS.

3: HTTP POST adressen er til en server, der må siges at være uden for PBS's scope ;-)

Men det er skrevet på et ganske forståeligt dansk, billederne er hentet på PBS's hjemmeside, så jeg kan måske forstå, at nogle hopper i fælden, selvom phishing tricket burde være kendt....

  • 0
  • 0
Gunnar Ericsson

At nogen hopper på limpinden mere! Alle banker advarner jo mod den slags och siger igen og igen at de ALDRIG spörger efter kontonummer og koder over internet. Her i Finland er det meget få hvis ens nogen der går i den fälden!

  • 0
  • 0
Jan Agermose

istedet for al den snak om hvad man burde og ikke burde kunne gennemskue og hvad "man" kan finde på at sende (og det er ikke så lidt) eller ej, så er det her et super godt spørgsmål at stille til ens udbyder eller IT afdeling, hvis man høre til dem, der har fået den: "hvorfor har jeg fået den når nu PBS har gjort det super nemt for DIG, at forhindre at jeg fik mailen?".

PBS har, som ansvarlig virksomhed, udstyret domænet "pbs.dk" med et simpelt figeraftryk, der fortæller alle, ALLE, andre mailservere i verden, der >gider checket det<, om en given mail, der angiver at komme fra "pbs.dk" rent faktisk gør det.

Det koster gratis, det hedder SPF, det findes endda til Exchange.

Hvis du har fået en sådan PBS mail idag, så skyldes det simpelthen, at din udbyder eller IT afdeling IKKE har installeret det simpleste af alle værktøjer.

Ingen af de "PBS phisingmails" vi har scannet for vores kunder idag kommer (heldigvis) fra PBS server og derfor er alle ALENE på det her ene, simple check stoppet før de kunne gøre skade (også på andre regler, men det er mindre vigtigt).

Desværre er det ikke altid så let at stoppe spam, virus og andet dårligt, men HER, her er det faktisk det nemmeste i verden for din udbyder eller IT afdeling - så hvorfor er det ikke sket?

PS.: er dit domæne udstyret med SPF information?

www.openspf.org

  • 0
  • 0
Rene Lauridsen

Ja hvad kan man sige...vær altid paranoid og forvent alle vil tage fusen på dig. Brug aldrig din bank PC til at surfe på....

en fin ting er at have passwords i en 2-3 niveauer alt afhængig af vigtighed så skal man kun huske 3 passwords.

man kan evt. have en fil, eller biblioteksnavn liggende med sit password i man kan copy/paste når man skal bruge det, for at komme udenom diverse keyboardloggers.

hvis du er det mindste i tvivl så sig altid nej

  • 0
  • 0
Niels Dybdahl

1: Institutioner som PBS vil aldrig forspørge om oplysninger på den måde.

Det er faktisk ikke korrekt. I den første udgave af "Verified by Visa" blev der fra onlinebutikken automatisk åbnet et vindue hvor man skulle logge ind i sin webbank. Det var faktisk slet ikke muligt selv at indtaste webbankens URL og så godkende transaktionen. Man skulle bruge det automatisk åbnede vindue.

Dette gik de naturligvis hurtigt væk fra igen, da det jo netop er at træne brugerne i at blive fuppet af phishere.

Og Visa må jo nok siges at være en "institution" i samme klasse som PBS.

  • 0
  • 0
Jesper Lund

Det er faktisk ikke korrekt. I den første udgave af "Verified by Visa" blev der fra onlinebutikken automatisk åbnet et vindue hvor man skulle logge ind i sin webbank. Det var faktisk slet ikke muligt selv at indtaste webbankens URL og så godkende transaktionen. Man skulle bruge det automatisk åbnede vindue.

Dette gik de naturligvis hurtigt væk fra igen, da det jo netop er at træne brugerne i at blive fuppet af phishere.

Sådan fungerer det stadig, bortset fra at du har fået en indlejret (iframe) https side til PBS (som du ikke kan checke certifikatet på, så lad os sige "...måske til PBS") i stedet for et pop-up vindue til din netbank. Og du bruger ikke din netbank kode, men en separat kode.

Jeg kan ikke se at det gør phishing og specielt MITM angreb sværere, men det giver måske en anelse færre problemer for brugere med pop-up blockers.

  • 0
  • 0
Gunnar Ericsson

Det lader til at en og anden siger at man ikke kan vide om det er den egne banken eller ikke. Det er lige meget man skal ALDRIG sende kontonummer og/eller password over internet. INGEN BANK spörg om sådan noget over internet!

  • 0
  • 0
Jesper Jensen Nørregaard

Hej.

Jeg har en kammerat, der tirsdag morgen så sig sur på disse mailbanditter, så han skrev et lille script, der 1) genererer kortinformationer 2) validerer kortinformationerne mod PayPal og sikrer sig, at de IKKE virker 3) spoofer afsenderen 4) sender informationen til spammeren.

så i går kl. 18 havde de omkring 40.000+ falske oplysninger i deres database :-)

  • 0
  • 0
Claus Wøbbe

En lille historie, der stadig nager mig ldit: Da vi forrige år kørte hjem fra ferie i Frankrig og var nået op på nordsiden af Berlin, kunne vi efterhånden se et godt estimat af, hvornår vi ville være ved færgelejet i Rostock.

Jeg ringede derfor fra bilen til Scandlines for at reservere en billet. Jeg fik nu at vide af den onde dame i telefonen at jeg skulle opgive mit kreditkortnummer for at reservere en plads - dvs. man kunne ikke nøjes med at reservere, man skulle simpelthen købe billetten, når man på den måde ringede. Og betalingen skulle foregå akkurat som hvis jeg selv sad ved computeren og købte: jeg skulle opgive kreditkortnummer, navn på kortet SAMT den 3-CIFREDE SIKKERHEDSKODE bagpå!

Jeg gik selvfølgelig først i fornægtelse, blev dernæst målløs og så vred, at jeg smed "røret" på! Aldrig i livet om jeg ville udlevere mine samlede kortloplysninger til en tilfældig telefondame hos Scandlines - jeg kunne jo ikke vide om hun tog notater og solgte mine oplysninger til den russiske mafia - eller evt. selv blev fristet til at bruge mit kort om en uge, en måned, et år...

Nå, men med en familie med 3 børn på bagsædet, der egentlig bare ville hjem (børnene, altså) og ikke gik helt så meget op i sikkerhed som jeg gjorde, måtte jeg lidt senere ringe op igen og bide i det sure æble.

Da jeg kom hjem skrev jeg en mail til Scandlines direktør, hvor jeg bad dem bekræfte, at de ikke gemte nogen oplysninger om mit kort. Det fik jeg bekræftet og har sovet nogenlunde godt siden.

Men det var fand.. uhyggeligt!

  • 0
  • 0
Jesper Lund

Jeg gik selvfølgelig først i fornægtelse, blev dernæst målløs og så vred, at jeg smed "røret" på! Aldrig i livet om jeg ville udlevere mine samlede kortloplysninger til en tilfældig telefondame hos Scandlines - jeg kunne jo ikke vide om hun tog notater og solgte mine oplysninger til den russiske mafia - eller evt. selv blev fristet til at bruge mit kort om en uge, en måned, et år...

Hvad er forskellen på den situation og nethandel i udenlandske butikker, hvor det ikke er usædvanligt at butikken gemmer kortoplysningerne i deres egne databaser?

  • 0
  • 0
Niels Dybdahl

Og betalingen skulle foregå akkurat som hvis jeg selv sad ved computeren og købte: jeg skulle opgive kreditkortnummer, navn på kortet SAMT den 3-CIFREDE SIKKERHEDSKODE bagpå! ... Aldrig i livet om jeg ville udlevere mine samlede kortloplysninger til en tilfældig telefondame hos Scandlines

Det er da det samme man gør når man køber på internettet: Man oplyser alle kreditkortoplysningerne til et tilfældigt firma med tilfældige medarbejdere. Eller hvis man betaler på en restaurant, tager tjeneren ofte kreditkortet med hen til kasseapparatet. En sag jeg kan huske med kopiering af kreditkortoplysninger skete netop i en restaurant.

Kreditkortsystemet bygger på en ekstrem grad af tillid til dem der har kortene og dem der modtager betaling via kortene og sådan har det altid været og det virker åbenbart.

Sjovt nok er mange af de tiltag der er gjort for at sikre kreditkortene bedre simpelthen at tilføje ekstra tal. Først var det nok med kreditkortnummeret. Så skulle udløbsdatoen også med. Så kom den trecifrede "sikkerhedskode". Visa har så tilføjet nogle tal som ikke står på kortet og nu overvejer PBS noget lignende. Men det nyttet jo ikke noget når man skal opgive tallene for at lave en betaling.

Det eneste som virkeligt løfter sikkerheden er engangskoder. Og specielt hvis der var en let måde at begrænse beløbet som en engangskode kunne bruges til. Det kunne måske laves ved at man havde en serie engangskoder til beløb under 100 kr, en anden til beløb under 1000 kr, en tredie til beløb under 10000 kr og hvis man skulle betale større beløb, skulle man ind i netbanken og få en specialkode.

  • 0
  • 0
Anonym

For god ordens skyld, så bør man bemærke at alle disse sikkerhedsproblemer skabes af PBS/EMV selv.

Så længe vi taler en man-in-the-middle model hvor PBS har kontrollen, vil en angriber altid kunne udpege et offer og trænge sig ind mellem ofret og PBS - det vil være muligt fordi PBS ønsker at muligheden skal være der.

Samtidig gør de identifikationsbaserede modeller det nemt at både målrette angreb og misbruge bagefter fordi den bygger på massivt genbrug af nøgler/identifiers.

I modsætning hertil er der end-to-end modeller uden genbrug af nøgler/identifiers hvor PBS IKKE er eller kan blive man-in-the-middle og vi er sikkerhedsmæssigt totalt ligeglade hvad PBS påstår fordi de er flinke/troværdige/rare.

PBS investerer ikke i sikkerhed for kunderne (som ville give begge parter sikkerhed), men i sikkerhed for dem selv (kommerciel kontrol ned et stænk af forsøg på at holde kriminelle væk).

Man kunne så tro at staten ville investere i sikkerhed. Men nej - man forværrer situationen ved at skalere det kriminalitetsskabende problem samtidig med at man ødelægger datasikkerheden i alle applikationer.

I sidste ende må man så spørge sig selv hvorfor PBS nu byder med deres tradition med aldrig at fortælle om angreb. Svaret er meget enkelt - PBS vil skræmme for at få lov til at styrke deres kommercielle kontrol. Det drejer sig om at tvinge NemId ind over alle dankorttranskationer for at komme ind i realtidskommunikationen via kontrol med identitet hvor man tidligere kun havde kontrol med betalingskanalen.

Og de får held med det så længe det tavse flertal, tilsynsmyndighederne og de "nyttige idioter" (som kun ser på overfladen og tager spinretorikken for gode varer) spiller med på den galaj.

Det er tyveri ved højlys dag. Fra asken til ilden

  • 0
  • 0
Log ind eller Opret konto for at kommentere