Pas på: Svindlere beder danskere om at opdatere MobilePay
-
Hvis din MobilePay fortsat skal fungere, skal du forbinde din konto til MitID.
-
Sådan lyder opfordringen i en lang række beskeder, der i øjeblikket sendes ud til danskerne.
-
Men beskederne er svindel, og formålet er at høste dine informationer, såsom CPR-nummer og kortoplysninger.
MobilePay skal bare fungere. Du bruger det hele tiden og vil gerne slippe for bøvl, hvis du står med mobilen i hånden og en betaling, der skal gennemføres.
Derfor læser mange nok også med, når beskeden fra MobilePay tikker ind:
“Det er nu strengt påkrævet at verificere din konto med MitID for at opfylde PSD2-krav til stærk kundeautentifikation (SCA) og Finanstilsynets retningslinjer. Dette skal gøres inden fristen 27. januar 2026. Efter fristen bliver din konto midlertidigt spærret for udgående transaktioner”.
“Tak for at holde MobilePay sikkert,” slutter beskeden, der også indeholder et link, hvor man kan gennemføre sikkerhedsverifikationen.
Du ved sikkert allerede nu - muligvis fordi du har læst overskriften på denne artikel - at der er tale om svindel. Og lige nu hærger lignende beskeder fra “MobilePay” sendt på både mail og sms.
TjekDet har selv modtaget beskeder, der udgiver sig for at være fra MobilePay, ligesom vi kan se, at danskere i hobetal anmelder telefonnumre, som svindel-beskederne sendes fra, på tjenesten 180.dk.
Men hvad sker der egentlig, hvis man ikke opdager, at der er tale om svindel, og klikker på linket?
Det kan du blive klogere på her, ligesom du kan få svar på, hvorfor en dansk mand fra Fredensborg dukker op i TjekDets eftersøgning.
Troværdige kopier
Svindel-beskederne kommer i flere forskellige udgaver og sendes fra forskellige mailadresser og telefonnumre. Vi tager udgangspunkt i en sms sendt fra telefonnummer 92148808, som over 1.000 personer tilsyneladende har modtaget.
Vi klikker på linket og bliver ført ind til hjemmesiden “mobiiepay.dk”, der dog med det samme viderestiller til www.login1.adgang.me. Er man opmærksom på de to domænenavne, vil mange nok mistænke, at der er tale om svindel. Kigger man blot på det, der møder én på skærmen, er det straks sværere at gennemskue.
Siden ligner en-til-en den ægte vare. “Vi har netop opdateret MobilePay,” står der. Vi klikker “Fortsæt”.
Nu skal vi indtaste et CPR-nummer. Da vi ikke ønsker at bruge et ægte CPR-nummer, laver vi et opdigtet. På næste side bliver vi bedt om at indtaste vores telefonnummer. Vi har en mistanke om, at svindelnummeret kan slutte med et opkald fra svindlerne, som det er set i andre svindelnumre.
Derefter skal vi, som det også står forklaret i beskeden, bekræfte vores identitet over for MobilePay - eller rettere Mobiiepay - med MitID. Vi indtaster både id og adgangskode - begge opdigtede.
Nu skal vi vælge, hvilken bank vi benytter os af. Igen er det værd at understrege professionaliteten bag. Listen viser samtlige danske banker med korrekte navne og logo. Vi vælger en tilfældig bank og går videre. Herefter bliver vi bedt om at logge ind på den mobile udgave af den bank, vi har valgt. Også den side ligner på en prik den valgte banks mobilversion. Vi indtaster CPR-nummer og den fire-cifrede kode og klikker næste.
Siden loader nu med MobilePays bevægelige figurer. Det ser yderst troværdigt ud. Til sidst skal vi indtaste kortoplysninger. “Bruges kun til at verificere din identitet og sikre sikkerheden,” hævder siden.
Beroliget indtaster vi falske kortoplysninger, udløbsmåned og sikkerhedscifre. Og så:
“Bekræftelse fuldført”. Du kan nu fortsætte med at benytte vores tjeneste, står der på siden, inden vi viderestilles til den egentlige MobilePay-app.
På få klik har svindlerne altså høstet vores CPR-nummer, telefonnummer, loginoplysninger til MitID, loginoplysninger til bank og kortoplysninger. Oplysninger, de i sig selv ikke nødvendigvis kan bruge til at stjæle penge.
I galleriet nedenfor kan du se, hvordan svindlerne trin for trin snyder oplysningerne ud af dig - på en hjemmeside, der til forveksling ligner det MobilePay, du kender.
Til hvilken nytte?
Selv om de har login-oplysninger til MitID, har de stadig ikke adgang til borgerens MitID, som jo er installeret på borgerens telefon eller pc med yderligere verifikations-oplysninger fra blandt andet pas. På samme måde skal man oftest godkende en online-betaling foretaget med kort via enten MitID, sms-kode eller noget andet. Det kaldes 3D Secure.
Det er derfor sandsynligt, at formålet - i første omgang i hvert fald - er at høste informationerne. De er nemlig penge værd i sig selv og sælges som pakker - såkaldte fullz - på blandt andet det mørke internet.
Da TjekDet sidste år afdækkede Danmarks største netværk af telefonsvindlere, var netop fullz et yderst vigtigt element for svindlerne.
Svindlerne ringede op til ofrene med et maskeret nummer, så det så ud som om, at opkaldet stammede fra politiet, banker eller andre institutioner, danskerne som oftest har tiltro til.
For at overbevise ofrene om, at de faktisk talte med en politi- eller bankansat udnyttede de informationerne fra fullz, og nævnte i flæng ofrets CPR-nummer, login til MitID og lignende. Information som det netop typisk kun er en bank eller lignende, der ligger inde med.
På den måde kunne de overtale ofrene til at swipe på betalinger, overføre penge til forskellige konti og lignende.
Rasmus fra Fredensborg
Lad os vende tilbage til svindel-beskeden fra “MobilePay”, der landede i TjekDets indbakke. Vi undersøgte mailen, fordi lignende svindel-mails ofte sendes fra mailadresser med obskure navne. Et eksempel: std24891@phichai.ac.th.
Men denne gang var afsendermailen anderledes mundret, nemlig “kontakt@forbrugerservice.dk”. Vi slår derfor forbrugerservice.dk op i forskellige systemer, der nogle gange afslører, hvem der står bag domænet. Og dermed også muligvis bag mailadressen, der sendte svindel-mailen.
Her dukker navnet Rasmus Listberg Schmidt op. Der står, at han registrerede domænet “forbrugerservice.dk” i år 2000.
Han er mildest talt overrasket, da vi taler med ham over telefonen. Det viser sig, at han ikke har noget med svindlen at gøre, men at andre misbruger navnet på hans domæne.
“Nå, sygt nok,” siger han, da TjekDet forklarer, hvorfor vi kontakter ham.
Han fortæller, at han oprettede domænet for år tilbage, fordi han ville lave en hjemmeside, hvor han ville skrive om positive forbrugeroplevelser. Altså et slags opslagsværk for steder, hvor man som forbruger kan forvente god service, fortæller han. Men det blev aldrig til noget.
“Siden har ikke været aktivt i 20 år og har heller ikke været tilknyttet noget som helst, så det undrer mig, at mailadressen kan være aktiv,” siger han.
Og det er den sandsynligvis heller ikke. For da Rasmus Listberg Schmidt gennem TjekDet finder ud af, at nogen tilsyneladende udgiver sig for at sende mails fra hans domæne, beslutter han sig for at skrive til mailen.
Men helt som ventet får han en mail retur om, at mailen ikke kunne leveres til kontakt@forbrugerservice.dk. Den mail har han videresendt til TjekDet.
Det, der sandsynligvis er sket, er, at svindlerne har spoofet sig til mailadressen kontakt@forbrugerservice.dk, så det ser ud som om, at beskederne om Mobilepay kommer herfra. Sandsynligvis med et formål om at fremstå mere troværdige og samtidig skjule den egentlige afsender.
Præcis som når telefonsvindlerne spoofer sig til et telefonnummer, der tilhører en bank eller myndighed.
Er skaden sket, og du ligesom TjekDet udfyldte CPR-nummer og kortoplysninger gennem den falske besked, skal du kontakte din bank.
Vil du have besked om aktuel svindel direkte i din indbakke? Tilmeld dig TjekDets nyhedsbrev Fup & Spam og få advarsler om digital svindel, når det er allermest aktuelt. Tilmeld dig her.
