Vellavet NemID-phishing mail bruger DDoS-angreb som lokkemad

12. februar 2015 kl. 13:4727
En phishing-kampagne forsøger at narre NemID-oplysninger ud af danskerne ved med forklaringen om, at tjenesten har været ramt af et DDoS-angreb.
Artiklen er ældre end 30 dage

Modtager du en mail med ordlyden 'Kaere vaerdsatte Nem ID medlem', så lad vær med at klikke på linket i skrivelsen. Der er nemlig tale om en phishing-mail, hvor kriminelle forsøger at narre dine NemID-loginoplysninger ud af dig, som jo typisk også giver adgang til netbanken.

Mailen er forsøgt gjort autentisk ved at beskrive et DDoS angreb mod NemID, der har sendt den offentlige login-løsning til tælling i tre timer.

Netop den type angreb, hvor systemet bag NemID bliver bombarderet med falske-forespørgsler, har ad flere omgange faktisk gjort NemID-systemet utilgængeligt.

Den virker meget vellavet?

Artiklen fortsætter efter annoncen

»Ja. Vi må jo desværre sige, at det ikke er første gang, det er vellavet. Men det er skrevet på lidt dårligt dansk, og der går noget maskinoversættelse i noget af det,« siger kontorchef indenfor systemforvaltning og sikkerhed i Digitaliseringsstyrelsen Morten Mejer-Warnich.

Han fortæller, at Digitaliseringsstyrelsen løbende oplever forsøg på phishing, hvor NemID benyttes til at lokke brugerne til at afgive fortrolige informationer eller klikke på skadelige links.

På borger.dk har Digitaliseringsstyrelsen samlet information om phishing, herunder opstillet gode råd til at gennemskue, om der er tale om en phishing-mail.

På hjemmesiden står der, at et af kendetegnene ved en phishing-mail kan være dårlig dansk og manglende danske bogstaver, altså æ, ø og å.

Har I nogle modsvar, hvis de it-kriminelle begynder at formulere sig bedre?

»Ikke andet, end vi er nødt til at følge med, og netop i det hele taget kigge på de trusler, der måtte komme mod sikkerheden.«

Linket i de nuværende phishing-mail ser ud til at pege på NemID-domænet nemid.nu - men en nærmere og ganske kort undersøgelse, Version2 har foretaget, viser, at det sender brugeren til et helt andet domæne, der på overfladen er en tro kopi af NemID.nu, og som indeholder en boks, hvor brugeren bliver bedt om at indtaste sine login-oplysninger og uploade et billede af nøglekortet. Det skal man selvfølgeligt ikke gøre.

»Jeg har ikke selv klikket på linket, men det er jo en del af phishing som fænomen. At man medsender et link, der fører et andet sted hen, end det ser ud til,« siger Morten Mejer-Warnich.

Han fortæller, at NemID.nu vil blive opdateret med et eksempel fra den aktuelle phishing-kampagne.

27 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
27
14. februar 2015 kl. 14:45

Er det farligt at klikke paa de falske links eller er det først farligt, naar man følger anvisningerne?

23
13. februar 2015 kl. 14:07

stærkt forbedret udgave med næsten korrekt dansk retskrivning !

Jeg har altid undret mig over hvorfor disse mails er så håbløst ringe. Når man nu gør sig ulejligheden med at oversætte dem og sende dem ud til tusinder af danskere, hvorfor så ikke lige bruge de ekstra 5 minutter på at sikre sproget er i orden?

Kan det være et bevidst valg? De virker jo, disse håbløst dårligt oversatte mails. Ja, det må man da formode, siden de bliver ved med at komme.

Hvis nu de var godt lavet, så selv erfarne IT-brugere hoppede på dem, så ville vi som samfund jo være nød til at gøre noget ved problemet.

Som det er nu, er det kun de dummeste (svageste) borgere der bliver ramt, og der er ikke rigtig nogen der har medfølelse med ofrene. Det er folks egen skyld, og derfor er der ingen (IT-kyndige, folk med magt) der rigtig føler behov for at gøre noget ved det.

Spekulerer de kriminelle i at gå efter de svageste, som ingen gider forsvare? Ville de save den gren over de selv sidder på, hvis de lavede bedre spam-mails?

26
13. februar 2015 kl. 16:15

Hvis det var sandt, så stod det godt nok skidt til med moralen i vores fag.

Jeg tror egentlig ikke det er fordi moralen er specielt lav, i den aktuelle sag tror jeg ganske enkelt ikke NemID folkene kan finde ud af hvad de skal gøre.

Det er ihvertfald det indtryk jeg sidder tilbage med hvis jeg sådan skuer lidt udover de forskellige mere eller mindre halvoffentlige emailløsninger.

PS: Er der nogen der kender Assemble.dk ? Det ser ikke ud til domænet anvendes til email, måske kunne man overtale ejeren til at oprette en "v=DMARC1; p=reject;" DMARC record, så kunne vi da slippe for mere @nemid.dk phish.

24
13. februar 2015 kl. 14:19

Spekulerer de kriminelle i at gå efter de svageste, som ingen gider forsvare? Ville de save den gren over de selv sidder på, hvis de lavede bedre spam-mails?

Lige med nemid og kreditkort fiskning giver det ikke umiddelbart mening, at det skal være dårligt skrevet.

Men dengang Nigeria-mailene (du har arvet fra en du ikke kender / vundet lotteriet du ikke deltog i) florerede gav det mening: Det var kun fjoldser, som kunne finde på at overføre penge for "bank-gebyrer", "visa" osv. Hvis mailen var skrevet på korrekt engelsk ville spammeren spilde for meget tid på folk, som alligevel ville droppe ud på et senere tidspunkt. Formentlig har en anseelig procentdel af "fjoldserne" overført penge. Så i nogle tilfælde har dårlig grammatik virket som et filter for spammerne.

22
13. februar 2015 kl. 11:58

Det forekommer mig ganske tankevækkende at den udgave af "Nem ID" mailen som jeg fik i indbakken her kl. ca 10 er i en stærkt forbedret udgave med næsten korrekt dansk retskrivning !

12
12. februar 2015 kl. 18:06

Man ved ikke helt om man skal græde eller grine af NemID og deres problemer med phishing. NemID bærer bestemt deres del af skylden for at de phishes meget og bestemt også at helt almindelige danskere kommer i tvivl om hvad der er ægte og hvad der er fusk, det har jeg tidligere skrevet et lille indlæg om her : https://henrik.schack.dk/2014/08/30/nemid-phishing/

Nu skal jeg jo ikke sidde her og være kritisk uden samtidig at komme med nogle konstruktive forslag til forbedringer. Derfor, kære NemID

  1. Find jeres identitet, er i Nets, Certifikat.dk eller NemID, vælg EN identitet og anvend den 100% konsekvent.

  2. Teknisk oprydning, sørg for jeres emails rent faktisk er loyale mod jeres identitet, herunder korrekte From og Sender-Envelope adresser og ikke mindst links i emails.

  3. Kommuniker hvad jeres identitet/email identitet er, der er jo ingen mennesker i dette land der aner hvad der står i From feltet på en ægte NemID email.

  4. Implementer tekniske forhindringer for kriminelle, DMARC email authentication standarden har efterhånden nogle år på bagen, det er på tide vi kommer igang med at implementere den her i Danmark.

15
13. februar 2015 kl. 04:07

Find jeres identitet, er i Nets, Certifikat.dk eller NemID, vælg EN identitet og anvend den 100% konsekvent.

Mener du nemid.dk eller den der nemid domæne på en eller anden ø i stillehavet?

Bortset fra det, så synes jeg på ingen måde at nemid.nu lyder som et popsmart spam-domæne, så det vil jeg da helt klart sådan intuitivt stole på som værende officielt dansk. Lidt ligesom når man får interessante kommentarer på ens blok hvor afsender er nudewomen4u eller onlineloan2u eller lign. Det er klart heller ikke spam.

Btw. nogen særlig grund til, at nemid.nu virker fint, men nemid.dk bliver stoppet i NoScript med en advarsel om anticlick fraud. Hvorfor i alverden holder i de to servere adskilt i stedet for at slå det sammen til .dk domænet. Har aldrig fattet hvad nemid i det hele taget gør med danskernes private data udenfor dansk territorium og dansk lov.

16
13. februar 2015 kl. 04:22

Noget andet er så, at nemid helt klart bør virke med https. Jeg får så en:

Webstedets identifikation kunne ikke bekræftes</p>
<p>Du har bedt Firefox om at oprette en sikker forbindelse til <a href="http://www.nemid.dk">www.nemid.dk</a&gt;, men vi kan ikke bekræfte at denne forbindelse er sikker.

Lyder ret betryggende.

17
13. februar 2015 kl. 08:53

Noget andet er så, at nemid helt klart bør virke med https. Jeg får så en:</p>
<pre><code>Webstedets identifikation kunne ikke bekræftes

Du har bedt Firefox om at oprette en sikker forbindelse til www.nemid.dk, men vi kan ikke bekræfte at denne forbindelse er sikker.
</code></pre>
<p>Lyder ret betryggende.

Nets ejer IKKE domænet nemid.dk, hvorfor de heller ikke har ansvar for om hvorvidt certifikatet er i orden eller ej.

Det er et meget godt eksempel på Net's dilettanteri, nemlig at de søsatte et projekt uden overhovedet at have styr på om de kunne få domænet eller ej.

18
13. februar 2015 kl. 09:58

Jeg var godt klar over, de ikke har nets.dk, fordi det domæne var taget og de ikke havde sikret ejerskab inden, men hvad er forklaringen på nemid.dk? Enhver med en halv hjernecelle kan sguda sige sigselv, at står valget imellem nemid.nu og nemid.dk, hvis man nu ikke lige kan huske adressen, så vinder nemid.dk?

Det er en DANSK service i DANMARK, right?

Hvad hulen bestiller de så på .nu?

Jeg er ikke professionel udi sikkerhed, men det jeg siger, giver helt logisk mening for mig. Hvis man skal lære folk at have tillid til servicen, så skal man fame have et DK domæne.. Ikkemindst fordi et .dk domæne netop er under dansk lov og på dansk grund.

Det andet lyder uigennemttænkt og halvfærdigt.

Jeg vil sige det svarer lidt til at få en mail fra Microsoft, hvor domænet i mailen er fx. fastmail eller aolonline. Giver det mening, at Microsoft ikke sender deres mail fra eget domæne, microsoft.com? Giver det mening at en offentlig dansk institution ikke har et dansk TLD, .dk? Skal vi også have fx, et skat.nu? Jeg kan godt forestille mig ganskle mange morsomheder, der vil kunne skabes på det.

Som sagt så virker det "spammy" med et .nu domæne i dansk kontekst, og i forbindelse med dether hvor det offentlige har deres troværdighed lagt i det, vil jeg sige at spam indikerer phishing. Måske helt fint til et privat firma, men ikke til dette.

Det er selvfølgelig bare min mening, men det betyder også at jeg ikke bruger nemid overhovedet. Jeg skal ikke have nogen med halvfærdige løsninger til at "passe på" mine data.. Ellers tak.

29
21. februar 2015 kl. 14:24

Hvordan klarer du dig uden NemID? Det er jo det, der er problemet: et monopol.

6
12. februar 2015 kl. 16:03

Siden jeg meget vaerdsatte person har fået 11 af den slags mails.

2
12. februar 2015 kl. 14:09

Jeg synes nu ikke, den er særlig vellavet. Man skal da være mere end almindelig naiv for at hoppe på den. Der står jo næsten Google Translate på den og der mangler logo osv.

13
12. februar 2015 kl. 20:19

Jeg har skam intet imod naive mennesker, tror faktisk selv jeg er lidt naiv ind imellem, men derfor kan man jo godt tænke sig om.

Hvis du bliver stoppet af en vildt fremmed mand på gaden, som udgiver sig for at være fra politiet, og som på dårligt dansk forklarer at hans uniform er blevet stjålet under et indbrud, og i øvrigt ikke har noget politiskilt. Vil du så også udlevere dine personlige oplysninger til ham?

Jeg ved godt jeg vender historien lidt på hovedet, men der er jo ikke den store forskel.

3
12. februar 2015 kl. 15:28

Tja, om der er logo på er nu ikke noget mål for, om den er ægte.

1
12. februar 2015 kl. 13:56

ALLE alarmklokker bør ringe når en mail starter med : Kaere vaerdsatte XXX medlem

Og at man skal uploade et billede af sit personlige nøglekort??? Nej!