Phishing-forsøkene mot norske kort- og bankkunder blir stadig mer utspekulerte. Svindlerne sender deg en epost som ser ut som den kommer fra banken, men hvis du går på limpinnen går informasjonen helt andre steder enn du tror.
Derfor reagerer sikkerhetsekspert Per Thorsheim kraftig på en epost som nylig ble sendt ut fra Entercard, som er kortpartner for blant annet LO, Sparebank 1, Visa og Mastercard.
- Den bærer alle tegn på å være en phishing-epost, sier Thorsheim til DN.no
Ikke klikk!
Han har gått Entercard etter i sømmene og reagerer på flere til dels "hårreisende" valg. Det første er at lenkene i eposten ikke fører til Entercard selv, men til et markedsføringsbyrå som kundene ikke har noe forhold til. Thorsheim mener dette gjør det vanskelig å skille eposten fra phishing.
- Du har helt sikkert hørt at hvis du mottar epost med lenker som går i hytt og pine, så skal du ikke klikke på dem, sier han.
2004, 2005 elller 2006?
Videre inneholder eposten tre råd om hvordan man velger koder. ”Velg din personlige PIN-kode i nettbanken, da er den enklere å huske”, skriver Entercard.
For å sette folk på sporet av en god pinkode foreslår de årsmodell på bil, favorittårgang på vin eller en viktig merkedato.
- Når de foreslår årsmodell på bil, er det vanligvis en av 20 årganger. Det samme gjelder for vin, eller merkedager, sier Thorsheim.
Han viser til at forskning tyder på at folk ofte velger koder som er lette å gjette, og mener dette kan gjøre det enda enklere.
Hårreisende
Etter å ha sett på eposten sjekket Thorsheim også sikkerheten på nettsiden til Entercard. Den mener han er så dårlig satt opp at den kan gjøre det lettere å stjele finansiell informasjon.
- Innloggingssiden til Entercard bryter enhver mulig regel som finnes til den standarden. Det er hårreisende elementære feil, og det er uforståelig at nettsiden har sluppet ut på nett, sier han.
Han mener krypteringen er satt opp slik at den kan knekkes på minutter eller timer med en vanlig bærbar pc. Hadde det vært gjort riktig kunne det tatt amerikanske myndigheter år å knekke kodene, mener han.
Ikke for betalinger
- I denne saken skulle vi vært grundigere med å kvalitetssikre jobben byrået har gjort når de har sendt ut epost til noen av våre kunder, vedgår Melita Ringvold Hasle i EnterCard.
Hun forteller at eposten gikk ut til 20.000 av deres kunder.
Når det gjelder sikkerheten på nettsiden mener hun den er testet og vurdert som god. Men Entercard gjør nå en ny vurdering av løsningen.
- Den er satt opp slik fordi vi har kunder med eldre plattformer, sier hun, om innloggingssiden Thorsheim kritiserer.
Hun sier denne nettsiden ikke brukes til betalinger.
I valg av pinkoder mener hun det viktigste er at kundene husker dem, og at de derfor må få velge selv.
- Dere gir tre eksempler som alle handler om datoer?
- Kundene har fått mange forskjellige råd, og vi er trygge på at de ikke velger for åpenbare tallkombinasjoner sier hun.
Les også: - Samsung Galaxy S4 har alt (Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.