Warning: Missing argument 2 for wpdb::prepare(), called in /home/stromber/public_html/kryptoblog/wp-content/plugins/wp-super-edit/wp-super-edit.core.class.php on line 109 and defined in /home/stromber/public_html/kryptoblog/wp-includes/wp-db.php on line 1222
Gamla (o)hederliga Fraudkamp-avdelningen är tillbaka » Kryptoblog

Gamla (o)hederliga Fraudkamp-avdelningen är tillbaka

October 20th, 2006 by Joachim Strömbergson Leave a reply »

Så var det dags igen – Nordeas kunder har än en gång varit måltavla för ett phisingförsök. Detta borde bli tredje eller fjärde gången bara på ett drygt år.

I artikeln hos IDG låter det som om phisingförsöket väsentligen varit en upprepning som inte lett till något. Aftonbladet blåser å andra sidan upp historien ordentligt och citerar Bo Ehlin på Nordea som säger att ca 100 kunder den här gången blivit av med pengar till ett totalt värde av två till fya miljoner kronor. (IDG kallar Ehlin för Bo, och Aftonbladet för Boo.)

Det mail som skickats ut ser ut att vara identiskt med tidigare försök. En högst ovetenskaplig undersökning i min närhet visade dock att det verkligen var främst Nordeakunder som hade fått det här utskicket. Andra personer som fått tidigare brev hade inte fått det. Om det beror på färre antal mail, eller om attacken varit bättre riktad mot Nordeakunder vågar jag dock inte ens gissa.

Även denna gång tar Nordea upp det faktum att dom har väldigt många kunder (2.3 miljoner). Dock gör dom inte samma explicita slutsats den här gången att det är därför dom är utsatta för attacker, vilket dom gjort tidigare. Jag tycker att det nu börjar bli uppenbart att det är bara Nordea som utsätts för attacker, och att det nog snarare beror på att man valt en säkerhetslösning som gör det enkelt att attackera.

Den stora frågan jag ställer mig är när den totala kostnaden för att ersätta kunder, spåra och återställa felaktiga transaktioner samt hantera PR-situationen överstiger kostnaden för att byta till ett säkert (läs: mycket säkrare) system för sina Internettjänster. Att Nordea räknar på det hoppas och tror jag. Gör dom inte det är dom närmast brottsligt inkompetenta.

Men fram tills dess att Nordea byter system kommer vi att få se fler mail från Nordeas Fraudkampavdelning, och är du Nordeakund kom då bara i håg en sak: Skicka det mailet i papperskorgen.

No related posts.

Related posts brought to you by Yet Another Related Posts Plugin.

Advertisement

3 comments

  1. Ej lättlurad Nordea-kund :-) says:

    Jag tycker att du är lite hård mot Nordea… Att “man valt en säkerhetslösning som gör det enkelt att attackera” betyder inte automatiskt att kunderna utsätts för större risk.

    Ett system som attackeras 100.000 ggr men med ett säkerhetssystem med bara 0,001% “failure rate” är väl bättre än ett system som bara attackeras 10 ggr med 100% “failure rate”. (rent generellt alltså, förutsatt att konsekvenserna är lika stora vid “failure”)

    När attackerna är många märks de ju iaf… (och man får bättre “rate-of failure”statistik…)

  2. Joachim says:

    I fallet Nordea innebär det faktiskt att deras system utsätter sina kunder för en ökad risk. Jag var på ett seminarie med Joakim von Braun och han hade mer information om attackerna.

    Det finns färdiga phisingsystem där det finns en lista med banker att attackera. Det gemensamma för bankerna som fanns med i listan var att dom har svaga system. Nordea var den svenska bank som fanns med.

    Jag drar slutsatsen att dom som tagit fram phisingsystemet har koll på vilka banker som är värda att attackera – dvs det finns en chans att komma över information som krävs för att sno pengar.

    Alltså: Nordeas dåliga säkerhet gör att deras kunder blir måltavla för attacker. Och dina tankar om failure rate faller därför då de andra bankerna i dag kör med bättre system och har inte heller (så vitt jag vet) utsatts för attacker över huvud taget.

    Såg för övrigt i GP att Nordea även denna gång hävdade att det är för att dom är störst som dom attackeras.

    Du kanske inte är lättlurad, men det tråkiga är att det finns som går på dessa mail. Och det riktigt trista är att bara för att man är lite lättlurad kan man (pga bankens mindre bra säkerhetslösning) bli av med pengar. Även om banken än så länge ersätter förlusten.

Leave a Reply

You must be logged in to post a comment.