Vellavet NemID-phishing mail bruger DDoS-angreb som lokkemad

En phishing-kampagne forsøger at narre NemID-oplysninger ud af danskerne ved med forklaringen om, at tjenesten har været ramt af et DDoS-angreb.

Modtager du en mail med ordlyden 'Kaere vaerdsatte Nem ID medlem', så lad vær med at klikke på linket i skrivelsen. Der er nemlig tale om en phishing-mail, hvor kriminelle forsøger at narre dine NemID-loginoplysninger ud af dig, som jo typisk også giver adgang til netbanken.

Mailen er forsøgt gjort autentisk ved at beskrive et DDoS angreb mod NemID, der har sendt den offentlige login-løsning til tælling i tre timer.

Netop den type angreb, hvor systemet bag NemID bliver bombarderet med falske-forespørgsler, har ad flere omgange faktisk gjort NemID-systemet utilgængeligt.

Læs også: Få overblikket: Sådan rystede simple drengestreger Danmarks digitale infrastruktur

Den virker meget vellavet?

»Ja. Vi må jo desværre sige, at det ikke er første gang, det er vellavet. Men det er skrevet på lidt dårligt dansk, og der går noget maskinoversættelse i noget af det,« siger kontorchef indenfor systemforvaltning og sikkerhed i Digitaliseringsstyrelsen Morten Mejer-Warnich.

Læs også: Eksperter: Skat bør bruge Digital Post for at mindske phishing

Han fortæller, at Digitaliseringsstyrelsen løbende oplever forsøg på phishing, hvor NemID benyttes til at lokke brugerne til at afgive fortrolige informationer eller klikke på skadelige links.

På borger.dk har Digitaliseringsstyrelsen samlet information om phishing, herunder opstillet gode råd til at gennemskue, om der er tale om en phishing-mail.

På hjemmesiden står der, at et af kendetegnene ved en phishing-mail kan være dårlig dansk og manglende danske bogstaver, altså æ, ø og å.

Har I nogle modsvar, hvis de it-kriminelle begynder at formulere sig bedre?

»Ikke andet, end vi er nødt til at følge med, og netop i det hele taget kigge på de trusler, der måtte komme mod sikkerheden.«

Linket i de nuværende phishing-mail ser ud til at pege på NemID-domænet nemid.nu - men en nærmere og ganske kort undersøgelse, Version2 har foretaget, viser, at det sender brugeren til et helt andet domæne, der på overfladen er en tro kopi af NemID.nu, og som indeholder en boks, hvor brugeren bliver bedt om at indtaste sine login-oplysninger og uploade et billede af nøglekortet. Det skal man selvfølgeligt ikke gøre.

»Jeg har ikke selv klikket på linket, men det er jo en del af phishing som fænomen. At man medsender et link, der fører et andet sted hen, end det ser ud til,« siger Morten Mejer-Warnich.

Han fortæller, at NemID.nu vil blive opdateret med et eksempel fra den aktuelle phishing-kampagne.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (27)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#7 Rune Jensen

Som flere andre også har nævnt er dette en åbenlys phishing mail. Vi skal dog her huske på, at det er langt lettere for jer med teknisk indsigt at aflure hvad der er phishing og hvad konsekvenserne ved at følge instruktionerne kan være.

Man bør prøve at forstå det ikke som et IT-spørgsmål, men som et virkeligt spørgsmål.

Altså, fx. noget, som kan ske ansigt til ansigt fx.

Det er helt universelle midler, de bruger, og en sådan scam kan laves med nøjagtigt de samme virkemidler i det virkelige liv.

Så i virkeligheden, så handler det om at kende nogle små tegn på, hvad der antyder scam, og tænke dem som generiske, ikke IT-tekniske.

Ét af de ting, de bruger er tidspresset. Det er så helt utroligt så meget det bruges. Du får at vide, du skal handle indefor en bestemt tid. Det sætter dig under pres, som gør det bliver sværere at tænke rationelt, fordi nu har du pludselig en deadline.

Det burde ikke være svært at lave sådan en scam i virkeligheden og face-to-face, bare med en anden historie.

Hovedsagen er, at tidspresset først og fremmest gør, man får mindre focus på, fx. hvem er afsenderen. Ikke hvem han påstår han er, men hvem han i virkeligheden er. Så hvad er emailadressen?

Det andet er, hvordan er det formuleret, og passer det til den afsenderen påstår at være?

Er det plausiblet, at en sådan mail i det hele taget vil blive afsendt fra den institution mv.? For det er det jo ikke... NemID vil IKKE spørge om din NemID kode. Ever. Og slet ikke via mail, som er hamrende usikkert og iøvrigt ikke sikret.

Men langt det nemmeste at gøre, hvis man bare vil tjekke hurtigt er, indhegn en del af teksten, som skiller sig ud, f.eks. ved stavefejl, højreklik og tag "Søg efter i Google". F***ing easy. Hvis andre er blevet scammed på samme måde, får du response sådan.

  • 4
  • 0
#11 Rune Jensen
  • 4
  • 0
#12 Henrik Schack

Man ved ikke helt om man skal græde eller grine af NemID og deres problemer med phishing. NemID bærer bestemt deres del af skylden for at de phishes meget og bestemt også at helt almindelige danskere kommer i tvivl om hvad der er ægte og hvad der er fusk, det har jeg tidligere skrevet et lille indlæg om her : https://henrik.schack.dk/2014/08/30/nemid-phishing/

Nu skal jeg jo ikke sidde her og være kritisk uden samtidig at komme med nogle konstruktive forslag til forbedringer. Derfor, kære NemID

1) Find jeres identitet, er i Nets, Certifikat.dk eller NemID, vælg EN identitet og anvend den 100% konsekvent.

2) Teknisk oprydning, sørg for jeres emails rent faktisk er loyale mod jeres identitet, herunder korrekte From og Sender-Envelope adresser og ikke mindst links i emails.

3) Kommuniker hvad jeres identitet/email identitet er, der er jo ingen mennesker i dette land der aner hvad der står i From feltet på en ægte NemID email.

4) Implementer tekniske forhindringer for kriminelle, DMARC email authentication standarden har efterhånden nogle år på bagen, det er på tide vi kommer igang med at implementere den her i Danmark.

  • 17
  • 0
#13 Stig Ulriksen

Jeg har skam intet imod naive mennesker, tror faktisk selv jeg er lidt naiv ind imellem, men derfor kan man jo godt tænke sig om.

Hvis du bliver stoppet af en vildt fremmed mand på gaden, som udgiver sig for at være fra politiet, og som på dårligt dansk forklarer at hans uniform er blevet stjålet under et indbrud, og i øvrigt ikke har noget politiskilt. Vil du så også udlevere dine personlige oplysninger til ham?

Jeg ved godt jeg vender historien lidt på hovedet, men der er jo ikke den store forskel.

  • 9
  • 1
#15 Rune Jensen

Find jeres identitet, er i Nets, Certifikat.dk eller NemID, vælg EN identitet og anvend den 100% konsekvent.

Mener du nemid.dk eller den der nemid domæne på en eller anden ø i stillehavet?

Bortset fra det, så synes jeg på ingen måde at nemid.nu lyder som et popsmart spam-domæne, så det vil jeg da helt klart sådan intuitivt stole på som værende officielt dansk. Lidt ligesom når man får interessante kommentarer på ens blok hvor afsender er nudewomen4u eller onlineloan2u eller lign. Det er klart heller ikke spam.

Btw. nogen særlig grund til, at nemid.nu virker fint, men nemid.dk bliver stoppet i NoScript med en advarsel om anticlick fraud. Hvorfor i alverden holder i de to servere adskilt i stedet for at slå det sammen til .dk domænet. Har aldrig fattet hvad nemid i det hele taget gør med danskernes private data udenfor dansk territorium og dansk lov.

  • 5
  • 0
#16 Rune Jensen

Noget andet er så, at nemid helt klart bør virke med https. Jeg får så en:

Webstedets identifikation kunne ikke bekræftes

Du har bedt Firefox om at oprette en sikker forbindelse til www.nemid.dk, men vi kan ikke bekræfte at denne forbindelse er sikker.

Lyder ret betryggende.

  • 6
  • 0
#17 Christian Nobel

Noget andet er så, at nemid helt klart bør virke med https. Jeg får så en:

Webstedets identifikation kunne ikke bekræftes

Du har bedt Firefox om at oprette en sikker forbindelse til www.nemid.dk, men vi kan ikke bekræfte at denne forbindelse er sikker.  

Lyder ret betryggende.

Nets ejer IKKE domænet nemid.dk, hvorfor de heller ikke har ansvar for om hvorvidt certifikatet er i orden eller ej.

Det er et meget godt eksempel på Net's dilettanteri, nemlig at de søsatte et projekt uden overhovedet at have styr på om de kunne få domænet eller ej.

  • 12
  • 0
#18 Rune Jensen

Jeg var godt klar over, de ikke har nets.dk, fordi det domæne var taget og de ikke havde sikret ejerskab inden, men hvad er forklaringen på nemid.dk? Enhver med en halv hjernecelle kan sguda sige sigselv, at står valget imellem nemid.nu og nemid.dk, hvis man nu ikke lige kan huske adressen, så vinder nemid.dk?

Det er en DANSK service i DANMARK, right?

Hvad hulen bestiller de så på .nu?

Jeg er ikke professionel udi sikkerhed, men det jeg siger, giver helt logisk mening for mig. Hvis man skal lære folk at have tillid til servicen, så skal man fame have et DK domæne.. Ikkemindst fordi et .dk domæne netop er under dansk lov og på dansk grund.

Det andet lyder uigennemttænkt og halvfærdigt.

Jeg vil sige det svarer lidt til at få en mail fra Microsoft, hvor domænet i mailen er fx. fastmail eller aolonline. Giver det mening, at Microsoft ikke sender deres mail fra eget domæne, microsoft.com? Giver det mening at en offentlig dansk institution ikke har et dansk TLD, .dk? Skal vi også have fx, et skat.nu? Jeg kan godt forestille mig ganskle mange morsomheder, der vil kunne skabes på det.

Som sagt så virker det "spammy" med et .nu domæne i dansk kontekst, og i forbindelse med dether hvor det offentlige har deres troværdighed lagt i det, vil jeg sige at spam indikerer phishing. Måske helt fint til et privat firma, men ikke til dette.

Det er selvfølgelig bare min mening, men det betyder også at jeg ikke bruger nemid overhovedet. Jeg skal ikke have nogen med halvfærdige løsninger til at "passe på" mine data.. Ellers tak.

  • 8
  • 0
#23 Thomas Jensen

stærkt forbedret udgave med næsten korrekt dansk retskrivning !

Jeg har altid undret mig over hvorfor disse mails er så håbløst ringe. Når man nu gør sig ulejligheden med at oversætte dem og sende dem ud til tusinder af danskere, hvorfor så ikke lige bruge de ekstra 5 minutter på at sikre sproget er i orden?

Kan det være et bevidst valg? De virker jo, disse håbløst dårligt oversatte mails. Ja, det må man da formode, siden de bliver ved med at komme.

Hvis nu de var godt lavet, så selv erfarne IT-brugere hoppede på dem, så ville vi som samfund jo være nød til at gøre noget ved problemet.

Som det er nu, er det kun de dummeste (svageste) borgere der bliver ramt, og der er ikke rigtig nogen der har medfølelse med ofrene. Det er folks egen skyld, og derfor er der ingen (IT-kyndige, folk med magt) der rigtig føler behov for at gøre noget ved det.

Spekulerer de kriminelle i at gå efter de svageste, som ingen gider forsvare? Ville de save den gren over de selv sidder på, hvis de lavede bedre spam-mails?

  • 6
  • 0
#24 Michael Thomsen

Spekulerer de kriminelle i at gå efter de svageste, som ingen gider forsvare? Ville de save den gren over de selv sidder på, hvis de lavede bedre spam-mails?

Lige med nemid og kreditkort fiskning giver det ikke umiddelbart mening, at det skal være dårligt skrevet.

Men dengang Nigeria-mailene (du har arvet fra en du ikke kender / vundet lotteriet du ikke deltog i) florerede gav det mening: Det var kun fjoldser, som kunne finde på at overføre penge for "bank-gebyrer", "visa" osv. Hvis mailen var skrevet på korrekt engelsk ville spammeren spilde for meget tid på folk, som alligevel ville droppe ud på et senere tidspunkt. Formentlig har en anseelig procentdel af "fjoldserne" overført penge. Så i nogle tilfælde har dårlig grammatik virket som et filter for spammerne.

  • 2
  • 0
#26 Henrik Schack

Hvis det var sandt, så stod det godt nok skidt til med moralen i vores fag.

Jeg tror egentlig ikke det er fordi moralen er specielt lav, i den aktuelle sag tror jeg ganske enkelt ikke NemID folkene kan finde ud af hvad de skal gøre.

Det er ihvertfald det indtryk jeg sidder tilbage med hvis jeg sådan skuer lidt udover de forskellige mere eller mindre halvoffentlige emailløsninger.

PS: Er der nogen der kender Assemble.dk ? Det ser ikke ud til domænet anvendes til email, måske kunne man overtale ejeren til at oprette en "v=DMARC1; p=reject;" DMARC record, så kunne vi da slippe for mere @nemid.dk phish.

  • 1
  • 0
Log ind eller Opret konto for at kommentere