Sikkerhedseksperter: Danske Bank hjælper spoofing-svindlere
I sidste uge sendte Danske Bank et brev ud til 214.000 privatkunder, som kan øge risikoen for, at kunderne ender som svindelofre for såkaldt spoofing, hvor svindlere forfalsker telefonnumre. Det slår to sikkerhedseksperter fast, efter de har set brevet.
I mailen skriver man, at mange kunder i øjeblikket oplever opkald fra svindlere, og at man skal være varsom med, hvem man deler sine oplysninger med.
Men i en sætning til sidst i brevet opfordrer man kunderne til at tjekke denne side for at afgøre, om opkaldet virkelig kommer fra banken. På siden er der en liste med alle de telefonnumre, som banken bruger til at kontakte kunderne.
Kunderne kan dog ikke stole på listen, fortæller Jacob Herbst, medejer af sikkerhedsfirmaet Dubex:
»Der hvor deres information desværre går helt galt, er den ene linje, hvor de skriver, at man ud fra et telefonnummer kan se, at det er dem, som ringer,« skriver han i en mail og uddyber:
»Det er på mange planer forkert at antyde, at et telefonnummer giver sikkerhed for hvem der ringer. I sidste ende kan det gøre deres kunder mindre kritiske og dermed reelt i større fare for at ende som svindelofre.«
Kriminelle kan bruge listen til at lave spoofingopkald og udgive sig for at være banken, og derfor er det farligt, at Danske Bank i brevet legitimerer telefonnumrene, ifølge Keld Norman, it-sikkerhedsekspert hos Dubex:
»Banken oplyser de telefonnumre, man ringer fra, og så tager man simpelthen bare dem og spoofer, når man skal lave ulykker,« siger han.
Det er let af spoofe
En kendt og ofte brugt kriminel manøvre er, når svindlere ringer bankkunder op og udgiver sig for at være fra banken. Man forsøger at få kunden til at udlevere sine oplysninger, så svindleren kan tilgå vedkommendes konto og stjæle penge.
Jo mere legitimt opkaldet er, jo større er sandsynligheden for, at bankkunden kan snydes, og derfor bruger kriminelle spoofing. Med værktøjet kan svindlere ringe til en kunde og selv vælge, hvilket nummer der skal vises i ofrets display.
Man kan købe sig adgang til tjenesten på nettet, og ifølge Keld Norman er det ikke særlig besværligt, hvis man har lidt viden om it.
»Jeg har installeret et program, der er gratis, og det har taget mig ca. 30 minutter at finde ud af, hvordan man sætter det op. Det er installeret på en Linux,« siger han og uddyber, at han har lavet sin egen virtuelle telefonrobot der, når man ringer til den, spørger hvilket nummer man vil ringe til, og hvad der skal vises i modtagerens display.
»Det er vitterligt fem kodelinjer, man lægger ind i det her program, og så har man sin egen robot. Så kan jeg bruge den, og det koster mig omkring 100 kroner om måneden at have det kørende selv.«
Hvis svindlerne får fat på Danske Banks liste med ‘legitime’ telefonnumre, kan man ringe en kunde op, og når personen tager telefonen, er det et af Danske Banks numre, der vises i displayet.
»De kriminelle vil tage numrene og sætte dem ind som afsendernummer på sms’en eller på opkaldet. Det er mere overbevisende for bankens kunder, at svindleropkaldet vitterligt kommer fra bankens telefonnummer. Så banken har udleveret de numre, de ringer fra, og så behøver svindleren ikke selv at finde ud af det. Så kan svindleren bare tage udgangspunkt i den liste,« fortæller Keld Norman.
Se her en video, hvor Keld Norman viser, hvordan et spoofingopkald fungerer.
Danske Bank kender risikoen
Version2 har henvendt sig til Danske Bank og blandt andet spurgt ind til, om banken har sikret mod spoofing, og hvad man eventuelt har gjort.
Det har banken ikke svaret på, men skriver i et generelt svar på henvendelsen, at man er opmærksom på spoofing-risikoen:
»Det er klart, at en liste med telefonnumre kan blive misbrugt af svindlere – ligesom alle offentligt tilgængelige numre i øvrigt. Vi har indtil nu vurderet, at vi havde en god løsning, men det vil vi genoverveje på baggrund af jeres henvendelse.«
Det bedste, kunderne kan gøre, hvis man vil tjekke, om opkaldet er spoofet, er at ringe tilbage eller kontakte banken, ifølge Keld Norman.
»De numre, der ringer til en, skal man som udgangspunkt ikke stole på. Og så skal man selvfølgelig have antennerne ude. Ring tilbage, og det skal være til et af de numre, banken har,« siger han.
Selvom brevet kan øge risikoen for, at Danske Banks kunder ender som spoofing-ofre, er det godt, at banken gør kunderne opmærksomme på en høj aktivitet fra svindlere, understreger begge sikkerhedseksperter. Da mange af de kriminelle er fra udlandet, er der en relativt lav sandsynlighed for, at de får fat på listen, vurderer Keld Norman.
Spoofing er et gammelt problem
Spoofing har været et problem for danske bankkunder i flere år, og derfor udviklede et samarbejde mellem flere store banker og teleselskaber for omkring fire år siden et proof of concept på en løsning, der gør det umuligt for svindlere at ringe med spoofing og lade som om, de er fra banken.
Men bankerne var ikke interesseret, viser en rundringning, Version2 lavede sidste år. Ingen af bankerne havde implementeret værktøjet, for ifølge Telia ville ingen betale for løsningen.
Projektet blev droppet, men efter Version2’s artikler om spoofing sidste år, blev der pustet nyt liv i det.
Jakob Willer, direktør i Teleindustrien, oplyser til Version2, at projektet stadig er i gang, og at man tilmed har startet et nyt projekt mod spoofing. Han vil ikke uddybe yderligere om de to projekter.
Opdateret d. 29/7 2021 klokken 13.21: Danske Bank har nu slettet listen med telefonnumre, som man kan læse mere om i morgen tidlig på Version2.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
