Vellavet NemID-phishing mail bruger DDoS-angreb som lokkemad

27 kommentarer.  Hop til debatten
En phishing-kampagne forsøger at narre NemID-oplysninger ud af danskerne ved med forklaringen om, at tjenesten har været ramt af et DDoS-angreb.
person
Jakob Møllerhøj
journalist
12. februar 2015 kl. 13:47
errorÆldre end 30 dage
person
Jakob Møllerhøj
journalist

Modtager du en mail med ordlyden 'Kaere vaerdsatte Nem ID medlem', så lad vær med at klikke på linket i skrivelsen. Der er nemlig tale om en phishing-mail, hvor kriminelle forsøger at narre dine NemID-loginoplysninger ud af dig, som jo typisk også giver adgang til netbanken.

Mailen er forsøgt gjort autentisk ved at beskrive et DDoS angreb mod NemID, der har sendt den offentlige login-løsning til tælling i tre timer.

Netop den type angreb, hvor systemet bag NemID bliver bombarderet med falske-forespørgsler, har ad flere omgange faktisk gjort NemID-systemet utilgængeligt.

Den virker meget vellavet?

Artiklen fortsætter efter annoncen

»Ja. Vi må jo desværre sige, at det ikke er første gang, det er vellavet. Men det er skrevet på lidt dårligt dansk, og der går noget maskinoversættelse i noget af det,« siger kontorchef indenfor systemforvaltning og sikkerhed i Digitaliseringsstyrelsen Morten Mejer-Warnich.

Han fortæller, at Digitaliseringsstyrelsen løbende oplever forsøg på phishing, hvor NemID benyttes til at lokke brugerne til at afgive fortrolige informationer eller klikke på skadelige links.

På borger.dk har Digitaliseringsstyrelsen samlet information om phishing, herunder opstillet gode råd til at gennemskue, om der er tale om en phishing-mail.

På hjemmesiden står der, at et af kendetegnene ved en phishing-mail kan være dårlig dansk og manglende danske bogstaver, altså æ, ø og å.

Artiklen fortsætter efter annoncen

Jobs

Dine job
Vis alle

Har I nogle modsvar, hvis de it-kriminelle begynder at formulere sig bedre?

»Ikke andet, end vi er nødt til at følge med, og netop i det hele taget kigge på de trusler, der måtte komme mod sikkerheden.«

Linket i de nuværende phishing-mail ser ud til at pege på NemID-domænet nemid.nu - men en nærmere og ganske kort undersøgelse, Version2 har foretaget, viser, at det sender brugeren til et helt andet domæne, der på overfladen er en tro kopi af NemID.nu, og som indeholder en boks, hvor brugeren bliver bedt om at indtaste sine login-oplysninger og uploade et billede af nøglekortet. Det skal man selvfølgeligt ikke gøre.

»Jeg har ikke selv klikket på linket, men det er jo en del af phishing som fænomen. At man medsender et link, der fører et andet sted hen, end det ser ud til,« siger Morten Mejer-Warnich.

Han fortæller, at NemID.nu vil blive opdateret med et eksempel fra den aktuelle phishing-kampagne.

add
add
add
add
27 kommentarer.  Hop til debatten
Fortsæt din læsning
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
27
Aage Andersen
14. februar 2015 kl. 14:45

Er det farligt at klikke paa de falske links eller er det først farligt, naar man følger anvisningerne?

  • more_vert
    • insert_linkKopier link
23
Thomas Jensen
13. februar 2015 kl. 14:07

stærkt forbedret udgave med næsten korrekt dansk retskrivning !

Jeg har altid undret mig over hvorfor disse mails er så håbløst ringe. Når man nu gør sig ulejligheden med at oversætte dem og sende dem ud til tusinder af danskere, hvorfor så ikke lige bruge de ekstra 5 minutter på at sikre sproget er i orden?

Kan det være et bevidst valg? De virker jo, disse håbløst dårligt oversatte mails. Ja, det må man da formode, siden de bliver ved med at komme.

Hvis nu de var godt lavet, så selv erfarne IT-brugere hoppede på dem, så ville vi som samfund jo være nød til at gøre noget ved problemet.

Som det er nu, er det kun de dummeste (svageste) borgere der bliver ramt, og der er ikke rigtig nogen der har medfølelse med ofrene. Det er folks egen skyld, og derfor er der ingen (IT-kyndige, folk med magt) der rigtig føler behov for at gøre noget ved det.

Spekulerer de kriminelle i at gå efter de svageste, som ingen gider forsvare? Ville de save den gren over de selv sidder på, hvis de lavede bedre spam-mails?

  • more_vert
    • insert_linkKopier link
26
Henrik Schack
13. februar 2015 kl. 16:15

Hvis det var sandt, så stod det godt nok skidt til med moralen i vores fag.

Jeg tror egentlig ikke det er fordi moralen er specielt lav, i den aktuelle sag tror jeg ganske enkelt ikke NemID folkene kan finde ud af hvad de skal gøre.

Det er ihvertfald det indtryk jeg sidder tilbage med hvis jeg sådan skuer lidt udover de forskellige mere eller mindre halvoffentlige emailløsninger.

PS: Er der nogen der kender Assemble.dk ? Det ser ikke ud til domænet anvendes til email, måske kunne man overtale ejeren til at oprette en "v=DMARC1; p=reject;" DMARC record, så kunne vi da slippe for mere @nemid.dk phish.

  • more_vert
    • insert_linkKopier link
24
Michael Thomsen
13. februar 2015 kl. 14:19

Spekulerer de kriminelle i at gå efter de svageste, som ingen gider forsvare? Ville de save den gren over de selv sidder på, hvis de lavede bedre spam-mails?

Lige med nemid og kreditkort fiskning giver det ikke umiddelbart mening, at det skal være dårligt skrevet.

Men dengang Nigeria-mailene (du har arvet fra en du ikke kender / vundet lotteriet du ikke deltog i) florerede gav det mening: Det var kun fjoldser, som kunne finde på at overføre penge for "bank-gebyrer", "visa" osv. Hvis mailen var skrevet på korrekt engelsk ville spammeren spilde for meget tid på folk, som alligevel ville droppe ud på et senere tidspunkt. Formentlig har en anseelig procentdel af "fjoldserne" overført penge. Så i nogle tilfælde har dårlig grammatik virket som et filter for spammerne.

  • more_vert
    • insert_linkKopier link
22
Bo Albrechtsen
13. februar 2015 kl. 11:58

Det forekommer mig ganske tankevækkende at den udgave af "Nem ID" mailen som jeg fik i indbakken her kl. ca 10 er i en stærkt forbedret udgave med næsten korrekt dansk retskrivning !

  • more_vert
    • insert_linkKopier link
12
Henrik Schack
12. februar 2015 kl. 18:06

Man ved ikke helt om man skal græde eller grine af NemID og deres problemer med phishing. NemID bærer bestemt deres del af skylden for at de phishes meget og bestemt også at helt almindelige danskere kommer i tvivl om hvad der er ægte og hvad der er fusk, det har jeg tidligere skrevet et lille indlæg om her : https://henrik.schack.dk/2014/08/30/nemid-phishing/

Nu skal jeg jo ikke sidde her og være kritisk uden samtidig at komme med nogle konstruktive forslag til forbedringer. Derfor, kære NemID

  1. Find jeres identitet, er i Nets, Certifikat.dk eller NemID, vælg EN identitet og anvend den 100% konsekvent.

  2. Teknisk oprydning, sørg for jeres emails rent faktisk er loyale mod jeres identitet, herunder korrekte From og Sender-Envelope adresser og ikke mindst links i emails.

  3. Kommuniker hvad jeres identitet/email identitet er, der er jo ingen mennesker i dette land der aner hvad der står i From feltet på en ægte NemID email.

  4. Implementer tekniske forhindringer for kriminelle, DMARC email authentication standarden har efterhånden nogle år på bagen, det er på tide vi kommer igang med at implementere den her i Danmark.

  • more_vert
    • insert_linkKopier link
15
Rune Jensen
13. februar 2015 kl. 04:07

Find jeres identitet, er i Nets, Certifikat.dk eller NemID, vælg EN identitet og anvend den 100% konsekvent.

Mener du nemid.dk eller den der nemid domæne på en eller anden ø i stillehavet?

Bortset fra det, så synes jeg på ingen måde at nemid.nu lyder som et popsmart spam-domæne, så det vil jeg da helt klart sådan intuitivt stole på som værende officielt dansk. Lidt ligesom når man får interessante kommentarer på ens blok hvor afsender er nudewomen4u eller onlineloan2u eller lign. Det er klart heller ikke spam.

Btw. nogen særlig grund til, at nemid.nu virker fint, men nemid.dk bliver stoppet i NoScript med en advarsel om anticlick fraud. Hvorfor i alverden holder i de to servere adskilt i stedet for at slå det sammen til .dk domænet. Har aldrig fattet hvad nemid i det hele taget gør med danskernes private data udenfor dansk territorium og dansk lov.

  • more_vert
    • insert_linkKopier link
16
Rune Jensen
13. februar 2015 kl. 04:22

Noget andet er så, at nemid helt klart bør virke med https. Jeg får så en:

Webstedets identifikation kunne ikke bekræftes</p>
<p>Du har bedt Firefox om at oprette en sikker forbindelse til <a href="http://www.nemid.dk">www.nemid.dk</a&gt;, men vi kan ikke bekræfte at denne forbindelse er sikker.

Lyder ret betryggende.

  • more_vert
    • insert_linkKopier link
17
Christian Nobel
13. februar 2015 kl. 08:53

Noget andet er så, at nemid helt klart bør virke med https. Jeg får så en:</p>
<pre><code>Webstedets identifikation kunne ikke bekræftes

Du har bedt Firefox om at oprette en sikker forbindelse til www.nemid.dk, men vi kan ikke bekræfte at denne forbindelse er sikker.
</code></pre>
<p>Lyder ret betryggende.

Nets ejer IKKE domænet nemid.dk, hvorfor de heller ikke har ansvar for om hvorvidt certifikatet er i orden eller ej.

Det er et meget godt eksempel på Net's dilettanteri, nemlig at de søsatte et projekt uden overhovedet at have styr på om de kunne få domænet eller ej.

  • more_vert
    • insert_linkKopier link
18
Rune Jensen
13. februar 2015 kl. 09:58

Jeg var godt klar over, de ikke har nets.dk, fordi det domæne var taget og de ikke havde sikret ejerskab inden, men hvad er forklaringen på nemid.dk? Enhver med en halv hjernecelle kan sguda sige sigselv, at står valget imellem nemid.nu og nemid.dk, hvis man nu ikke lige kan huske adressen, så vinder nemid.dk?

Det er en DANSK service i DANMARK, right?

Hvad hulen bestiller de så på .nu?

Jeg er ikke professionel udi sikkerhed, men det jeg siger, giver helt logisk mening for mig. Hvis man skal lære folk at have tillid til servicen, så skal man fame have et DK domæne.. Ikkemindst fordi et .dk domæne netop er under dansk lov og på dansk grund.

Det andet lyder uigennemttænkt og halvfærdigt.

Jeg vil sige det svarer lidt til at få en mail fra Microsoft, hvor domænet i mailen er fx. fastmail eller aolonline. Giver det mening, at Microsoft ikke sender deres mail fra eget domæne, microsoft.com? Giver det mening at en offentlig dansk institution ikke har et dansk TLD, .dk? Skal vi også have fx, et skat.nu? Jeg kan godt forestille mig ganskle mange morsomheder, der vil kunne skabes på det.

Som sagt så virker det "spammy" med et .nu domæne i dansk kontekst, og i forbindelse med dether hvor det offentlige har deres troværdighed lagt i det, vil jeg sige at spam indikerer phishing. Måske helt fint til et privat firma, men ikke til dette.

Det er selvfølgelig bare min mening, men det betyder også at jeg ikke bruger nemid overhovedet. Jeg skal ikke have nogen med halvfærdige løsninger til at "passe på" mine data.. Ellers tak.

  • more_vert
    • insert_linkKopier link
29
Jens Rahbek
21. februar 2015 kl. 14:24

Hvordan klarer du dig uden NemID? Det er jo det, der er problemet: et monopol.

  • more_vert
    • insert_linkKopier link
6
Ditlev Petersen
12. februar 2015 kl. 16:03

Siden jeg meget vaerdsatte person har fået 11 af den slags mails.

  • more_vert
    • insert_linkKopier link
2
Stig Ulriksen
12. februar 2015 kl. 14:09

Jeg synes nu ikke, den er særlig vellavet. Man skal da være mere end almindelig naiv for at hoppe på den. Der står jo næsten Google Translate på den og der mangler logo osv.

  • more_vert
    • insert_linkKopier link
13
Stig Ulriksen
12. februar 2015 kl. 20:19

Jeg har skam intet imod naive mennesker, tror faktisk selv jeg er lidt naiv ind imellem, men derfor kan man jo godt tænke sig om.

Hvis du bliver stoppet af en vildt fremmed mand på gaden, som udgiver sig for at være fra politiet, og som på dårligt dansk forklarer at hans uniform er blevet stjålet under et indbrud, og i øvrigt ikke har noget politiskilt. Vil du så også udlevere dine personlige oplysninger til ham?

Jeg ved godt jeg vender historien lidt på hovedet, men der er jo ikke den store forskel.

  • more_vert
    • insert_linkKopier link
3
Ditlev Petersen
12. februar 2015 kl. 15:28

Tja, om der er logo på er nu ikke noget mål for, om den er ægte.

  • more_vert
    • insert_linkKopier link
1
Lars Nielsen
12. februar 2015 kl. 13:56

ALLE alarmklokker bør ringe når en mail starter med : Kaere vaerdsatte XXX medlem

Og at man skal uploade et billede af sit personlige nøglekort??? Nej!

  • more_vert
    • insert_linkKopier link