Ro på: Det ligner phishing, men det er bare en e-mail fra Rejsekort

En mail fra Rejsekorts Kundecenter indeholder flere phishing-indikatorer, der bør få advarselslamperne til at lyse hos modtageren. Men det er den ægte vare.

Som en del Version2-læsere vil vide, så er der grund til at være på vagt, hvis en mail giver sig ud for at være fra eksempelvis Skat, men kommer fra skat-dk.underligurl.org

Og hvis samme mail tilmed forsøger at lokke følsomme data ud af modtageren, så bør samtlige alarmklokker ringe.

Dise og flere andre elementære råd har Digitaliseringstyrelsen udgivet på borger.dk under titlen 'Seks gode råd mod netsvindel'

Version2-læser Brian Høy blev i tvivl om, hvorvidt ovenstående mail var et phishing-forsøg eller ej.

Hos Rejsekort virker det som om, man har læst rådene med omvendt fortegn.

I hvert fald er Version2 via et tip fra læser Brian Høy blevet opmærksom på en mystisk mail, der giver sig ud for at komme fra Rejsekort Kundecenter.

Afsenderen af mailen står som 'kundecenter@kc-rejsekort.dk'. Svindlere forsøger typisk at anvende domæner, der lægger sig tæt op af legitime domæner.

I dette tilfælde ville de fleste nok forvente, at afsenderdomænet var rejsekort.dk

Hvis man modtager en mail med en underlig webadresse, og man er det mindste i tvivl om, hvorvidt det er den ægte vare, så opfordrer Digitaliseringsstyrelsen til at indtaste den angivede webadresse i browseren.

Et browseropslag på kc-rejsekort.dk kaster dog ikke meget lys over sagen, da siden blot indeholder en besked om 'access forbidden'.

Hvad selve mailen angår, så opfordrer den modtageren til at svare retur med et registrerings- og kontonummer for at få udbetalt en restsaldo på et spærret rejsekort. Man skal dog ikke dele den slags data, lyder advarslen fra Digitaliseringsstyrelsen.

Den er god nok

Trods advarselslamperne, er der dog tale om en ægte mail fra Rejsekort.

Det oplyser Camilla Struckmann i et skriftligt svar til Version2. Hun er Sekretariatschef hos Movia, der er medejer af Rejsekort A/S.

»Den vedhæftede mail er sendt af Rejsekorts A/S. Mailen bliver udsendt fra kundecentrets sagsbehandlersystem og det er derfor den hedder kundecenter@kc-rejsekort.dk.«

Siden januar er der sendt 6609 mails og breve ud i stil med ovenstående, fortæller hun.

Når mails kommer fra kc-rejsekort.dk er forklaringen, at domænet er en del Rejsekort Kundecenters sagsbehandlingssystem, som har været anvendt siden 2012.

Kan I i den forbindelse så forstå, at modtageren kan blive forvirret over, at afsender-mailadressen - der udbeder sig et kontonummer via mail - fremstår som kc-rejsekort.dk?

»Ja, det er vi opmærksomme på. Sådanne mails sendes kun i tilfælde, hvor vi er nødt til at få et korrekt kontonummer fra kunden for at sikre udbetaling til kunden. Der er oftest tale om børn, som ikke har NEMkonto. Vi bemærker dog, at mailen adskiller sig fra generelle phishing mails, da der er et dansk telefonnummer til Rejsekort Kundecenter (det samme som på hjemmesiden) og, at det er personrettede mails og ikke mails der sendes til mange på en gang,« forklarer Camilla Struckmann.

I det konkrete tilfælde oplyser Version2's læser, at der netop er tale om, at han bestilt et nyt rejsekort til sin datter, som endnu ikke har en Nemkonto.

Overvejer Rejsekort.dk så at ændre noget i forhold til disse mails, så de fremstår mindre phishing-agtige?

»Rejsekort Kundecenter planlægger i 2017 at sætte en portalløsning til sikker kommunikation mellem kunde og kundecenter i drift. Så vil kunden ikke skulle svare på mailen, men anvende portalen til at afgive oplysningerne,« oplyser Camilla Struckmann.

Version2 har desuden spurgt, om rådene fra Digitaliseringsstyrelsen i forhold til at spotte phishing er noget, som Rejsekort A/S vil skele til fremover i forbindelse med kundehenvendelser.

»Rejsekort Kundecenter arbejder løbende på at forbedre kommunikationen med kunderne og mails er en væsentlig del af denne kommunikation. Mails om kontooplysninger fra kunden vil dog først kunne leve helt op til anbefalingerne, når vi har implementeret portalløsningen til sikker kommunikation,« fremgår det af det skriftlige svar fra Camilla Struckmann.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Følg forløbet

Kommentarer (21)

Lasse Mølgaard

Sidste afsnit af artiklen gør mig ikke mere tryg:

Mails om kontooplysninger fra kunden vil dog først kunne leve helt op til anbefalingerne, når vi har implementeret portalløsningen til sikker kommunikation

Får kunderne så et link til portalen, som peger på kc-rejsekortet.dk?

Hvorfor ikke blot have en A (og AAAA) til f.eks. kundeservice.rejsekort.dk?

De mest brugte webservere kan SAGTENS finde ud af virtuelle host. Også selvom man smider en smule kryptering oven i hatten. :-)

Lasse Mølgaard

Hvis det var ikke var fordi jeg bor for langt væk rejsekortet hovedkontor, så var jeg næsten fristet til at sende en uopfordret ansøgning til stedet.

IT kravene kan da ikke være særligt høje?

... men på den anden side. Der er sikkert lidt for mange politiske hensyn, der skal tages til, at jeg vil beskæftige mig med systemet. :-)

Thomas Sevelsted Lauritzen

"Vi bemærker dog, at mailen adskiller sig fra generelle phishing mails, da der er et dansk telefonnummer til Rejsekort Kundecenter (det samme som på hjemmesiden) og, at det er personrettede mails og ikke mails der sendes til mange på en gang."

1) Danske telefonnumre er ikke sikret mod at indgå i phishing! Skat har eksempler på at deres nummer (som står på deres hjemmeside) har været med i flere phishing mails. Se her http://skat.dk/SKAT.aspx?oId=80125

2) Personligt rettede mails. De personligt rettede kaldes spear phishing og bliver mere udbredte. Ens navn i toppen af mailen er ingen garanti for at afsenderen har rent mel i posen.

Det er skidt at rejsekortet sender phishing-lignende mails ud, for det gør det svært for deres kunder at lære forskellen på sand og falsk kommunikation.

Men at jeg syntes det er usmagelig når rejsekort taler uden om og begynder at forsvarer deres "phishing" mail, for så gør de virkelige deres brugere en bjørnetjeneste (i den oprindelig forstand).

Få nu løst problemet og skabt sikker og troværdig kommunikation i stedet for at tale uden om.

Claus Nedergaard Jacobsen

Der er ikke fugls føde på denne historie. Er man i tvivl, ja så ringer man til nummeret oplyst i mailen.

Det kan også fakes. Se nedenstående Spam mail fra et firma med et tilsyneladende dansk agentur og dansk nummer. Ringer du til det, bliver du efter lang tid viderestillet til en engelsktalende servicedesk, der intet aner om det danskklingende navn eller det danske nummer. De hævder dog, at alt er i sin bedste orden, og at den danske medarbejder nok skal ringe tilbage til dig. Det gjorde han så aldrig....

Dear Claus,
Tried reaching you couple of times but unable to hear back from you.
Wondering if you have any updates on your participation for the Enterprise Architecture for Decision Makers scheduled in Copenhagen: 19 - 20 Sep '16 will provide an excellent opportunity to understand how to use Enterprise Architecture (EA) to realize business goals in "Information Technology and Services".
We have seen the applicability of EA across a wide range of problems in several business verticals including companies of various sizes.
Some of the Key Challenges & Opportunities we have focused in Information Technology and Services are
• Multiple regulatory frameworks and architecture
• Use of new technology to create product to open new business potential & opportunities
• Strategy and roadmap for new product release
• Time to market
• Optimal use of resources and services for greater efficiency and on-time delivery
• Need for co-ordination among interdisciplinary teams for effective delivery
We have a special super saver pricing for <mit firma>, confirm your particiaption on or before 31th July.
Let us know and we will block a seat for you.
Thanks & Regards,
Guld Lars
Enterprise Architecture Services
+45 36 946 365

Simon Hyldig

Tilbage i august (så ved selvfølgelig ikke om det er ændret siden) fik jeg også mail fra dem som mest af alt lign phishing.
En manglende betaling helt tilbage fra 2014, de åbenbart først havde opdaget nu ifm. tank-op-aftale som var fejlet...

De bad mig blot overføre 300,- til deres konto, uden at have vedhæftet nogen som helst form for dokumentation omkring den manglende betaling, faktura eller andet...
Useriøs kommunikation...
http://imgur.com/YYOMiEC

Henrik Schack

De bad mig blot overføre 300,- til deres konto, uden at have vedhæftet nogen som helst form for dokumentation omkring den manglende betaling, faktura eller andet...
Useriøs kommunikation...
http://imgur.com/YYOMiEC


Det er godt nok topmålet af elendig konfiguration rejsekort.dk har på kc-rejsekort.dk domænet.
Kopier tekst fra email, send med en returnpath der har en SPF record, og vupti har man en email der ser mere ægte ud end den ægte.
(Med en SPF record ville det røde advarsels spørgsmålstegn i emailen forsvinde)

Sune Foldager

Nu kan man jo ikke bruge et kontonummer til andet end at sætte penge ind med; de er normalt ikke specielt hemmelige, så det er da en indikator for at det måske ikke er phishing.

Daniel Korsgaard

... også selvom det faktisk ikke var intentionen.

Vi skal ikke begynde at så tvivl om, hvorvidt emails der ligner phishing emails, rent faktisk er phishing. Det vil bare forvirre borgere til at begynde at tro at der måske kunne være tale om ægte mails, i fremtiden.

Alle modtagere af de emails fra kc-rejsekort.dk bør betrakte dem som phishing, og rapportere dem alle som phishing forsøg. Så må rejsekort.dk sku rette ind hvis de vil have borgere til at tage deres emails seriøse.

Vi skal ikke til at finde på underlige særregler. Så når Bedstemor ringer og spørger om det er phishing, så sig JA!

Christian Nobel

http://imgur.com/YYOMiEC

Det er godt nok imponerende.

Blandt rådene mod phishing er også at se på stavning, og også her fejler Rejsekortet fælt (mine fremhævninger):

Vi skriver til dig, da da du har en eller flere ubetalte faktura vedrørende dit rejsekort.

Fakturaerne kan vedrører...

eller en startoptankningen...

som du bedes indbetale inden 10 dage, ses beløbet ikke... (skulle være punktum og ny linie).

Tank-op-aftalen fungerer således, at først bliver det valgte tank-op beløb indsat på rejsekortet. Herefter... (sprogligt er det mere korrekt at benytte komma her i stedet for punktum, alternativt skulle det hele stilles op på punktform).

Etc, etc.

Det er så tåkrummende dårligt dansk, at vedkommende helt klart ville dumpe ved folkeskolens afgangsprøve i dansk.

Lasse Mølgaard

Nu vi er ved mails fra banker.

Af en eller anden grund bliver alle mails, som jeg modtager fra en verificeret Sydbank email adresse automatisk flagget som phising mails af Thunderbird (og kun af det mailprogram)...?

Og det til trods for at indholdet i emailen er helt uskyldigt.

Brian Høy

svar fra spamcheck .
https://s30.postimg.org/x8y25foj5/Udklip.png
så den er rimelig tilforladelig, men jeg har stadig ikke noget samarbejde eller relation til kc-rejsekort.dk

Der er desuden flere detaljer i det hele jeg er ret forundret over:
1: De vil lave udbetaling til kortholder og ikke betaler (Det er mig der står som betaler fra mit rejsekort login)
2: De ikke "bare" overfører til det nye rejsekort.
3: At man ikke kan indtaste det i rejsekort selvbetjening.

Gert Madsen

hvad jeg har fået fra min bank


Jeg kan tilføje, at Finanstilsynet kræver at bankerne skal vide hvem deres kunder er. Intet andet.
Opbevaring af kopier af legitimation, er noget som bankerne selv har opfundet.
Det naturlige var registrering af kørekort/pas-nummer, og en underskrift fra bankmedarbejderen på at vedkommende faktisk har set legitimationen.

Denny Christensen

elsker disse mails hvor der står et link man opfordres til at trykke på

også ved uønskede mails, 'Tryk her for at afmelde' - yeah right..

Rejsekort A/S fortsætter vel bare stimen af uigennemtænkte løsninger?

Henning Hansen
Log ind eller opret en konto for at skrive kommentarer