Pas på: Falske beskeder fra DAO rammer Danmark

Fup og spam 26. mar 2026  -  4 min læsetid
Tjekdet
DAO har haft rigeligt at se til på det seneste. Nu udnytter svindlere også det danske distributionsselskab. Foto: Thomas Traasdahl/Ritzau Scanpix

  • Har du modtaget en SMS fra DAO om manglende eller forkert adresse? Så skal du passe ekstra godt på.

  • Svindlere udsender i øjeblikket falske beskeder, der lægger sig i samme beskedtråd som rigtige beskeder fra DAO. 

  • Beskederne indeholder links, der fører til falske DAO-hjemmesider bygget til at stjæle oplysninger gennem phishing. 

  • TjekDets research viser, at der er tale om et omfattende netværk af phishingsider, der udnytter DAOs navn og brand. Svindlen udspringer tilsyneladende fra Kina.

Skrevet af: Jonas Bjørnager

Dansk Avis Omdeling - bedre kendt som DAO - er i øjeblikket genstand for stor mediebevågenhed og kritik, der sker i kølvandet på en række sager om uåbnet post, der dukker op i skraldespande.

Som om det ikke var nok, har svindlere nu lanceret en kampagne, hvor distributionsselskabet ufrivilligt lægger navn til et netværk af såkaldte phishingsider, der forsøger at franarre dig oplysninger og penge.

Det starter typisk med, at du modtager en SMS om, at DAO mangler din adresse, eller at din pakke har været forsøgt leveret. Beskeden indeholder et link, hvor du kan indtaste de manglende oplysninger, og så lægger den sig i samme tråd, som rigtige beskeder fra DAO - men denne SMS er sendt af svindlere.

Tilmeld dig TjekDets nyhedsbrev

Linket fører til en af flere hjemmesider, der ligner DAOs, og som har navne, der indeholder eller minder om “dao” i forskellige varianter. Her bliver du trin for trin franarret først personlige oplysninger, og afslutningsvis snupper svindlerne penge og kortoplysninger.

TjekDet har identificeret en server, der udelukkende indeholder domæner med hjemmesider,  der imiterer DAO - hele 34 af slagsen i skrivende stund. Serveren kan knyttes til en kinesisk “host”, der råder over et netværk, der tidligere er koblet til phishing og malware.

En anden server tilknyttet en anden host indeholder 14 falske DAO-domæner med dertilhørende phishingsider. Samtlige domæner på tværs af de to servere er alle registrerede fra begyndelsen af marts og frem til i dag. De fører alle til Kina. 

Designet til høst af informationer 

Svindlen starter med, at du modtager en SMS, hvor afsenderen står angivet som “DAO”. Den ser legitim ud, og den placerer sig i samme tråd som tidligere SMS’er fra DAO - SMS’er der forklarede, at din pakke nu var ankommet. Dengang var der tale om rigtige beskeder om rigtige pakker, som du afhentede.  

I beskeden står der, at din adresse eller dit husnummer mangler, eller at din pakke har været forsøgt leveret uden held. Du skal derfor klikke på linket i beskeden, hvor du kan indtaste de nødvendige oplysninger, så leveringen kan nå frem.

SMS’en ser ud til at komme fra DAO, som du tidligere har fået beskeder fra, så den må da være god nok, tænker du måske.

Null

De falske beskeder lægger sig i samme beskedtråd som rigtige beskeder fra DAO. Billede: Screenshot af SMS.  

Men svindlerne gør brug af såkaldt SMS-spoofing, hvor de manipulerer afsendernavnet til at se ud som om, det er DAO, der har sendt beskeden.    

Når du klikker på linket, bliver du sendt til en af flere hjemmesider, der på overbevisende vis ligner DAOs. De mange hjemmesider kopierer nemlig DAOs rigtige hjemmeside - dao.as - hvorfra svindlere har stjålet design, logo, billeder og tekst. Du møder altså en hjemmeside, der let kan forveksles med originalen, og har du ovenikøbet en pakke på vej, er der en risiko for, at du allerede har paraderne nede.

Null

Det første, du møder, når du klikker på linket i SMS’en, ser sådan ud. Herfra starter svindlen. Billede: Screenshot fra phishingside.  

Hjemmesiderne ligger placeret på domæner, der også giver anledning til at tro, at der er tale om det rigtige DAO. Var du en smule skeptisk til at begynde med, kan det være, du lader dig overbevise af navne som as-dao.icu, daoipost.icu eller daopst.icu. Medmindre du nærstuderer domænenavnet, kan du nemt overse, at svindlerne gør brug af såkaldt “cybersquatting”, hvor de imiterer det rigtige domænenavn og kun ændrer detaljer i det, så du ikke opdager ændringen.    

De falske DAO-hjemmesider er i virkeligheden phishingsider, der udnytter DAOs navn og brand til at stjæle oplysninger fra dig. Du bliver ledt igennem et forløb, hvor du trin for trin forærer svindlerne dine person- og kortoplysninger, der efterfølgende kan misbruges til at stjæle dine penge eller til at sælge dine oplysninger videre til brug i yderligere svindel. Du kan se, hvordan forløbet ser ud i galleriet herunder.

 

Omfattende netværk af phishingsider

TjekDet har identificeret mindst 48 forskellige domæner, der alle kan knyttes til phishing i DAOs navn. Alle domæner er oprettet siden begyndelsen af marts, og de er bygget op på samme måde med identiske hjemmesider. Flere kommer løbende til.

Phishingdomænerne, vi har undersøgt, er fordelt på to severe, der tilhører to forskellige hosts. På den ene finder vi 34 falske DAO-domæner, og på den anden finder vi 14. Vi finder desuden indikationer på endnu flere phishingdomæner på en tredje server, men her er selve hjemmesiderne inaktive i skrivende stund.

Her er 10 eksempler på domæner, der indeholder identiske DAO-hjemmesider, som skal snyde dig til at afgive dine oplysninger:

 - as-dao.icu 
 - dao-assion.icu 
 - dao-asuui.icu
 - dao-asvisu.icu 
 - daoiiox.icu 
 - daoios.icu 
 - daoipost.icu 
 - daoosi.icu
 - daopst.icu
 - daoteams.com
 

Den første server kan vi knytte til en kinesisk host kaldet “Shenzhen Tencent Computer Systems Company Limited”, der råder over det såkaldte AS-nummer, AS132203. AS-nummeret er en form for id eller “postnummer” for et netværk af eksempelvis servere og ip-adresser, der bruges til at styre, hvordan data finder vej mellem netværk. Netop AS132203 er tidligere koblet til phishing og malware.

Den anden server er tilsyneladende hostet hos selskabet “Turing Group Limited”, der hører hjemme i New Zealand, men som også har forbindelser til servere i Kina. Når vi slår domænerne fra den server op, kan vi se, at de også er registrerede i Kina med et kinesisk navn, telefonnummer og adresse. Oplysningerne lader til at være falske - telefonnummeret tilhører eksempelvis et hotel i byen Shijiazhuang.  

Den tredje server er også hostet hos Turing Group Limited, og også her finder vi oplysninger, der peger i retning af Kina.

Alt i alt tyder det på, at pakkeplattenslagerne skal findes i Kina, og da samtlige undersøgte domæner med phishingsider har identisk indhold, kan det tyde på, at samme svindlere står bag.

Ifølge DAO er det svært at komme svindlen til livs:

“Svindel med falske hjemmesider er desværre noget som rigtigt mange firmaer bliver udsat for, og det er en type svindel, som det er virkelig svært at gøre noget ved. Vi informerer vores kunder via vores egen hjemmeside dao.as/undgaa-svindel/, hvor vi tydeligt beskriver de faldgruber, der kan være, og hvordan man kan undgå dem.”, siger Niels Søby Vesterager, der er IT Sikkerhedschef hos DAO.

Er du faldet i fælden og har oplyst dine kreditkortoplysninger til svindlerne, bør du kontakte din bank.

Hvis du kan lide TjekDets artikler og vil være sikker på ikke at gå glip af den nyeste, så følg os på Facebook ved at klikke her.

Du kan også tilmelde dig TjekDets gratis nyhedsbreve, hvor vi tipper dig om vores seneste faktatjek, advarer om digital svindel og deler seneste nyt om mis- og desinformation – direkte i din mailindbakke. Tilmeld dig nyhedsbrevene her.

 

Opdateret 26. mar 2026

Vil du vide mere?

Redaktionen anbefaler

Tjekdet

Pas på: Svindlere beder danskere om at opdatere MobilePay

Tjekdet

Nej, du mister ikke dine billeder: Falske cloud-mails snyder danskerne

Tjekdet

Pas på, hvis du har fået besked om nyt sundhedskort

Tjekdet

Imerco igen udsat for kinesisk kopiering: Marianne faldt i med begge ben

Tjekdet

Svindlere har udviklet tro kopier af webshops: "Historisk" mange falder i

Tjekdet

Afsløring: Kriminelle forbereder svindel med den kommende årsopgørelse