Advarsel: NemID-phishere kender dit rigtige navn og kortnummer

Annonceindlæg tema

Identity & Access Management er blevet rygraden i digital sikkerhed

Denne side indeholder artikler med forskellige perspektiver på Identity & Access Management i private og offentlige organisationer. Artiklerne behandler aktuelle IAM-emner og leveres af producenter, rådgivere og implementeringspartnere.

Som det fremgår af denne mail, er det tydeligt, at de it-kriminelle på en række områder har forfinet deres teknik ved at tilføje personlige oplysninger. Kilde: CSIS.

En mail med dit rigtige navn og et kreditkortnummer, der er i overensstemmelse med det, der står på dit kort.

Det er elementerne i en ny phishing-kampagne, der er blevet kombineret med social engineering, eller samkørsel af data, og derved opgraderer svindelnummeret til at være meget troværdigt og super målrettet.

De it-kriminelle har på en hel stribe områder forfinet deres angreb ved at tilføje personlige oplysninger på ofret for at fiske efter NemID-login og nøglekort.

Det oplyser sikkerhedsfirmaet CSIS

"Det skræmmende er, at der tilføjes private oplysninger, herunder de fire cifre i kreditkortnummeret, som er korrekte, og matcher ofrets kortoplysninger," skriver firmaet i en advarselsmail.

Kriminelle tiltag, der er medvirkende til at skabe en høj grad af troværdighed omkring de skumle mail-udsendelser.

"Det er første gang, at vi har observeret, at svindlerne bag disse phishing-kampagner målrettet skyder efter udvalgte ofre, og tilmed inkluderer flere personlige oplysninger i den uønskede mail," lyder det fra CSIS.

Der er indtil videre tale om en begrænset mængde phishing-mails, der indeholder de personificerede oplysninger.

Gi' mig dit NemID

Formålet er at lokke modtageren til at videregive følsomme private oplysninger, herunder et billede af det personlige NemID-nøglekort

"Vi har tidligere, som led i en række generelle råd, anbefalet, at hvis den pågældende mail er uden navn og andre person specifikke oplysninger - eksempelvis: "Kære NemID kunde" - så er der stor sandsynlighed for, at det er svindel. Den spilleregel er med denne nye kampagne blevet ændret," vurderer CSIS.

Sikkerhedsfirmaet kan ikke give en forklaring på, hvordan det er lykkedes for svindlerne at tilegne sig muligheden for at samkøre navn, mailadresse, korttype og de fire sidste cifre i kortnummeret og sende det til den rette modtager.

"Det kan tyde på en kompromitteret webshop, der har haft disse informationer liggende, men det er på nuværende tidspunkt spekulationer."

Sådan undgår du ballade

Det er dog relativt enkelt at undgå svindel, hvis du er opmærksom.

Kommunikation omkring dine bankforhold eller kreditkort sker ikke via almindelig mail.

Du vil derfor aldrig modtage en mail fra dit pengeinstitut eller kreditkortudsteder, som beder dig om at udlevere dine kreditkortoplysninger, NemID-nøgler eller personlige oplysninger.

Læs også:

Dansk firma: Fik hacket Apple ID og modtog for 650.000 kroner iPhone 6

Svindlere automatiserer målrettet phishing - dette skal du passe på

Sikkerhedsfirma: Online-bankrøvere slipper væk med 6,5 milliarder kroner