Warning: Missing argument 2 for wpdb::prepare(), called in /home/stromber/public_html/kryptoblog/wp-content/plugins/wp-super-edit/wp-super-edit.core.class.php on line 109 and defined in /home/stromber/public_html/kryptoblog/wp-includes/wp-db.php on line 1222
Fraudkamp! Nordea utsatt för nytt phisingförsök » Kryptoblog

Fraudkamp! Nordea utsatt för nytt phisingförsök

August 31st, 2006 by Joachim Strömbergson Leave a reply »

Nordea har utsatts för ännu ett phisingförsök. Precis som förra gången har ett stort antal email skickats till Svenska adresser. Mailet har titeln NORDEA - PRIVAT – INTERNET. Mailet är ett html-mail som innehåller en uppmaning att klicka på en webbadress för att komma rill en vad som påstås vara en webbplats hos Nordea och där lämna kontoinformation.

I jämförelse med tidigare phisingförsök mot Nordea har texten i mailet blivit bättre, men det är ändå relativt svårt att tänka sig att någon skulle tro att detta är ett genuint mail från Nordea:

God dag, bäste kund!
För Nordea har sommar 2006 blivit en av de mest fulla med illegala operationer. Det blir allt oftare att den konfidentiella informationen om våra kunder intresserar svindlare. Det är rätt många som vänder sig till oss för att vi skyddar deras konto mot förlust av pengar.

På grund av det förklarar Nordea nästa månad för månaden av fraudkamp. Fram till 1 September skall alla våra kunder aktivera den nya kontosäkerhetssystemet. Vi har genomfört ett stort arbete för att förbättra det. Systemet har blivit kontrollerat av ledande specialister inom e-betalningssytemen och alla oberoende expeterter har redan bekräftat dess fullvärdighet vad gäller fraudbekämpning. På grund av att dessa uppgifter kan användas av kriminella, piblicerar vi inte dem i öppna källor.

Du har blivit slumpmässigt vald som deltagare i systemets avslutningsprov. För tillfället föreslår vi att Du klickar på länken http://app.nordea.se/login/security.html och genom en vanlig inloggning till Internet-banking aktiverar det nya säkerhetssytemet. För tillfället kan Du märka vissa förbiseenden medan Du arbetar. Vi vet att de finns, och ber Dig därför att inte ge oss någon tillägginformation om problem som har uppståt, vi skall lösa dem på egen hand.

Vi skall uppmärksamma Dig att från och med september blir Du tvungen att använda det nya säkerhetssystemet i alla fall, annars kommer Dina konton bli blockerade tills Din fulla personliga identifikation är klar. Därför föreslår vi att Du så snart som möjligt börjar tillämpa de nya säkerhetsstandarderna.

Med vänliga hälsningar,
Nordea fraudkampavdelningen


Fraukampavdelningen, låter som ett spännande ställe!

Webadressen i mailet är falsk (spoofad, dvs den ser ut att leda till ett annat ställe än den gör), och klickar man adressen hamnar man på en server som inte tillhör Nordea. Istället leder adressen till maskiner hos operatörer i Malaysia, Thailand, Singapore, Hong-Kong etc. Troligen privatpersoner datorer som tagits över och numera ingår i nätverk med kapade datorer (Botnets). Skulle man ändå få för sig att klicka på adressen hamnar man på en webbserver som ser ut så här:

(Bilden tagen av Slaytanic – mer bilder på phisingsidan finns här på Flickr.)

IDG har i sin artikel om phisingförsöket intervjuat Nordeas presschef Boo Ehlin. Boo hävdar att skälet till att Nordea är mycket mer utsatt för phisingförsök är att banken är mycket större än andra banker i Norden. Det tror inte jag. Visst, en lokal bank i ex Mellerud är antagligen inte intressant att attackera, deras relativa litenhet och anonymitet ger visst skydd. Men att förlita sig på anonymiteten räcker inte, har en liten bank dålig säkerhet så riskerar dom ändå att hamna i problem. Och om man är en STOR bank med dålig säkerhet ber man nästan om att få problem. Och det är precis vad Nordea gör.

Nordea, till skillnad från exempelvis SEB och Föreningssparbanken (blivande Swedbank) förlitar sig bara på skraplotter (papperlappar med engångskoder) tillsammans med identitet för att godkänna kunder och deras transaktioner. Kan man få en kund att uppge denna information är det väsentligen fritt fram att skicka kundernas pengar dit man själv vill. Storleken på banken är inte det väsentliga, det är den bristande säkerheten som gör Nordea (och deras kunder) till ett attraktivt mål. Vad som (bland annat) saknas är dynamiska koder, så kallad challenge-response som gör att möjligheten att i förväg veta vilka koder som skall användas drastiskt minskar.

Nordea har lagt upp följande text om attacken på sin webbplats:


Falsk e-post i omlopp


Ett falskt e-postmeddelande i Nordeas namn har skickats ut till personer i Sverige. Mottagarna av brevet uppmanas att uppge uppgifter som personlig kod och engångskoder. Detta meddelande är inte från Nordea.

Vi uppmanar personerna som har fått e-postmeddelandet att ta bort det från datorn. Om man har klickat på länken i e-postmeddelandet, bör man uppdatera och köra sitt virusprogram.

Har du lämnat uppgifter om personnummer, personlig kod och engångskod, ska du kontakta bankens Kundcenter, telefon 0771 – 22 44 88 eller Internetsupport 020 – 42 15 16.


Vidare finns det en länk (på Nordeas webbplats som leder till en annan sida på Nordeas webbplats – det är inte så lätt att veta i det här läget…) till en sida om hur man skyddar sina uppgifter.
Jag håller med Nordea-Boo om en sak: Kasta detta phisingmail och andra generella uppmaningar från banker att logga in på en viss webbplats direkt. Din bank skickar inte ut mail för att be dig att logga in på en specifik sida. Det kommer aldrig att ske, det gör bara skurkar.

No related posts.

Related posts brought to you by Yet Another Related Posts Plugin.

Advertisement

8 comments

  1. Peter says:

    Försökte i går tipsa Nordea om hur de enkelt kan informera mottagare av detta mail att det är falsk. Tyvärr studsar mail till abuse@nordea.se, men har nu fyllt i ett webbformulär så får vi se vad som händer.

    Mailet hämtar en bild från Nordeas servrar och det borde vara relativt enkelt för de att ändra sökväg till den bilden i sina egna system och ersätta den nuvarande bilden med en som har texten “Varning. Detta är ett bedrägeriförsök, läs mer på http://www.nordea.se/”.

  2. Bo says:

    Skickade ett mail genom deras formulär några minuter efter att jag fick mailet igår, har inte fått nåt svar än.

    Inte lätt å hitta vart man ska skicka sin abuse nånstans, då är tex. Paypal bättre som har en sida där man kan rapportera phisingförsök.

  3. Love says:

    Varför skulle challenge-response vara så mycket bättre ? Det blir bara en MITM attack, istället för en “offline” attack.

    challenge-response som det används idag har vanligvis inte binding till kanalen (https), så därför förlorar du i alla fall.

  4. mslt says:

    Love: Därför att MITM är en aktiv attack, medan attacker mot Nordea kan vara passiva. Det är svårare att automatisera en MITM-attack mot challenge-response än vad det är att passivt samla in engångskoder och sedan i efterhand manuellt utnyttja dessa. AFAICS.

  5. Olle W says:

    Det är ju totalt omöjligt att hitta en säkerhetsrelateras e-mail-adress till Nordea, så att man kan hjälpa dem gemon att rapportera om phishingförsök. De har bara div formulär på sina hemsidor. Hittar inte en enda e-mail-adress på Nordeas sidor.

    Verkar otroligt

  6. Olle W says:

    Det är ju totalt omöjligt att hitta en säkerhetsrelateras e-mail-adress till Nordea, så att man kan hjälpa dem gemon att rapportera om phishingförsök. De har bara div formulär på sina hemsidor. Hittar inte en enda e-mail-adress på Nordeas sidor.

    Verkar helt otroligt.

  7. Challenge-response says:

    Om challenge-delen i ett challenge-response-förfarande innehåller belopp och till-kontonr (som en hash-summa), borde man inte omöjliggöra MITM-attacker då? Förutsatt att banken ser till att en viss challenge-kod som skickats ut bara är användbar tillsammans med de aktuella transaktions-uppgifterna.

    De banker som använder challenge-response, hur tar de fram sina challenge-koder?

    /D

  8. Joachim says:

    Bra fråga D.

    Det skiljer mellan bankerna. Swedbank (ex FSB) tar valda delar av konto, belopp och (tror jag) datum och sätter samman till den utmaning. SEB å sin sida tar liknande information plus ett slumptal och kör sedan hela rasket genom en envägsfunktion.

    Fördelen med SEB:s metdod är som jag ser det att den är svårare att gissa, och därmed svårare för en bedragare att spoofa. Å andra sidan är det med Swedbanks metod lättare för dig som kund att se att utmaningen är fel, om du ex skall skicka dina vanliga pengar för hyran och utmaning plötsligt är för ett annat belopp och ett annat konto finns det iaf en chans för dig att se detta.

    Dock tror jag det är få personer som verkligen tittar på siffrorna. Om man kan gå på dom riktigt dåliga breven som Nordea-bedragarna framgångsrikt använt tror jag att man inte skulle reagera på att utmaningen vid signeringen ser märklig ut. Det är bara en bunt siffror som skall skrivas in i dosan och trycka på en knapp.

Leave a Reply

You must be logged in to post a comment.