Nej, du har ikke fået en bøde: Stor bølge af parkeringssvindel målrettet København
-
I øjeblikket modtager et stort antal danskere sms’er, hvor det påstås, at modtageren har en ubetalt parkeringsbøde.
-
Sms’erne indeholder links til hjemmesider, der tilsyneladende er Københavns Kommunes, og hvor man kan betale sin bøde.
-
I virkeligheden er hjemmesiderne falske, og der er tale om såkaldt phishing-svindel, hvor formålet er at få adgang til borgernes personlige oplysninger, herunder kortoplysninger.
-
TjekDet har identificeret mere end 100 hjemmesider, der udgiver sig for at være Københavns Kommune. Svindlen trækker tråde til Kina og andre phishingkampagner, som blandt andre distributionsselskabet DAO ufrivilligt måtte lægge navn til.
Har du fået en sms fra “Park” om en ubetalt faktura, regning eller bøde? Indeholder beskeden et link, hvor “parkering”, “dk”, “kk” eller en blanding indgår? Så skal du være særligt opmærksom.
Gennem sms’er bliver du ført til én af mindst 100 identiske hjemmesider, der tilsyneladende er Københavns Kommunes, hvor du skal indtaste din nummerplade og betale for en parkeringsbøde, du ikke vidste, du havde fået.
Hjemmesiderne ser umiddelbart troværdige ud, de bærer Københavns Kommunes byvåben og logo, og så er bøden så lille, at du lige så godt kan få den ud af verden.
Men der er mange gode grunde til at være særdeles skeptisk og undlade at klikke eller indtaste noget. Sms’erne og hjemmesiderne er del af et større svindelnummer, hvor kriminelle forsøger at franarre dig oplysninger gennem såkaldt phishing.
TjekDets research viser, at de mange hjemmesider kan knyttes til samme netværk, og de trækker tråde til lignende phishing-svindel, der i de seneste måneder er skyllet ind over Danmark. Flere af siderne er fortsat aktive.
I øjeblikket advarer Københavns Kommune selv om falske sms’er - både på egen hjemmeside og på Facebook.
Antallet af parkerings-phishingsider er sandsynligvis langt højere - især hvis man inkluderer sider, der imiterer private parkeringsselskaber.
“Du har en ubetalt faktura”
Som vi ofte ser ved lignende phishing-svindel, starter det med en på overfladen uskyldig sms, der sendes til et stort antal danskere. Det er typisk sådan, svindlere etablerer den første kontakt til potentielle ofre, som vi eksempelvis for nylig så det med ATP og DAO.
Phishing gennem sms’er kaldes også for smishing.
Ligheden er næppe helt tilfældig, for phishingkampagnen, der udnyttede DAO, kan vi nu forbinde til den nuværende parkerings-phishing. Det vender vi tilbage til.
Sms’erne findes i forskellige varianter, der alle har det til fælles, at det påstås, at modtageren har en form for manglende betaling for parkering - en faktura, bøde eller regning. Dét kobles ofte sammen med, at betalingen skal finde sted snarest, så man undgår, at beløbet stiger.
Præcis hvad en eventuel faktura eller bøde drejer sig om, og hvad man “skylder”, fremgår ikke, og man bliver derfor nødt til at klikke på det medfølgende link for at blive klogere. Det er lige præcis det, svindlerne vil have.
Her ses et eksempel på, hvordan en af de falske sms’er ser ud. Sms’en er én blandt flere, som TjekDets journalister har modtaget. Billede: Skærmbillede af falsk sms.
Når man klikker på linket, havner man på en hjemmeside, der til forveksling ligner Københavns Kommunes. Her bliver man indledningsvist bedt om at indtaste sin nummerplade.
På næste side skal man nu indtaste kortoplysninger og telefonnummer, så man kan betale for en fiktiv bøde på 17 kr - et beløb, der ligger væsentligt under, hvad en rigtig parkeringsbøde almindeligvis koster.
Det handler måske heller ikke om at stjæle penge i første omgang. For klikker man “bekræft betaling”, så har man foræret kortoplysninger til svindlerne, der kan bruges eller sælges på et senere tidspunkt.
Samtidig tyder TjekDets research på, at svindlerne faktisk gemmer alt, hvad der indtastes på siden, ligegyldigt om man klikker bekræft eller ej. Når vi selv forsøger at indtaste kortoplysninger, får vi en fejlmelding, selvom vi kan se, at oplysningerne sendes videre. Det kan være for at få et offer til at prøve et andet kort, så man pludselig har givet oplysninger om flere kort til svindlerne.
Sådan ser det ud, når man svindles på en af de falske parkeringssider. Billede: Skærmbilleder fra phishingsider.
Når vi undersøger de falske parkeringssider, kan vi se, at der er flere spor, der peger i retning af Kina eller kinesisktalende svindlere. Det betyder ikke nødvendigvis, at det i sidste ende er kinesere, der står for svindlen, men at det sandsynligvis er kinesere, der står bag svindlens infrastruktur og opbygning.
I kildekoden på hjemmesiderne finder vi eksempelvis kinesiske skrifttegn med ord som “forside”, og så har vi identificeret mindst 9 forskellige servere, der alle indeholder domæner, der bruges til parkeringsphishing med Københavns Kommune som omdrejningspunkt.
Fordelt på de 9 servere finder vi mindst 100 forskellige domæner, men med identiske hjemmesider. Alene på én af serverne finder vi i skrivende stund 60 domæner.
Alle servere tilhører den kinesiske virksomhed Shenzhen Tencent Computer Systems Company Limited, og der er sandsynligvis endnu flere. Det er ikke første gang, vi støder på den virksomhed, når vi undersøger, hvor phishingens fundament er placeret.
Phishing på samlebånd
Ved at identificere serverne, der hoster phishingdomænerne, kan vi undersøge, hvad der ellers bliver hostet samme sted. Og det er her, systematikken og omfanget bliver synligt. På de servere, som TjekDet har identificeret, har vi ikke blot fundet domæner relateret til parkeringsphishing, men også falske DAO- og Skat/TastSelv, PostNord- og GLS-domæner.
Og det er ikke kun domæner henvendt Danmark. På serverne kan man også fremsøge domæner, der efterligner både det spanske og det bulgarske postvæsen.
Shenzhen Tencent Computer Systems udbyder hosting anonymt. Det vil sige, at man kan skjule sin identitet ved at have sit domæne hostet gennem dem. Meget peger på, at der er tale om samme bagmænd, da phishingdomænerne er placeret samme steder, da indholdet typisk er identisk, og da infrastrukturen som helhed går igen.
Her er et mindre udsnit af de phishingdomæner, vi finder på en af de identificerede servere. Udover de viste domæner, finder vi her også Skat-domæner. Billede: Skærmbillede af domæneliste.
Derfor kan vi også koble den nuværende parkeringsphishing til phishing med DAO, som vi tidligere har beskrevet. Et andet fællestræk er, at svindlerne typisk bruger domæneudbyderen Gname til at registrere et domænenavn, og at den såkaldte registrant ifølge oplysningerne er kinesisk.
Shenzhen Tencent Computer Systems råder over det såkaldte AS-nummer, AS132203. AS-nummeret er en form for id eller “postnummer” for et netværk af eksempelvis servere og ip-adresser, der bruges til at styre, hvordan data finder vej mellem netværk. Netop AS132203 er tidligere koblet til phishing og malware.
Både de nuværende servere og Shenzhen Tencent Computer Systems server, som vi nævnte i forbindelse med DAO-phishing, hører under AS132203.
Shenzhen Tencent Computer System stiller altså servere til rådighed for svindlerne. Om dette sker bevidst eller ubevidst, ved vi ikke. TjekDet har kontaktet den kinesiske virksomhed for at spørge til deres rolle, og hvordan de selv ser på deres ansvar. Men uden at få svar.
Vi kan se, at svindlerne slet ikke er færdige med hverken Københavns Kommune eller DAO endnu, da der fortsat oprettes nye phishingdomæner, der misbruger begge.
Er du faldet i fælden og har oplyst dine kreditkortoplysninger til svindlerne, bør du kontakte din bank.
Hvis du kan lide TjekDets artikler og vil være sikker på ikke at gå glip af den nyeste, så følg os på Facebook ved at klikke her.
Du kan også tilmelde dig TjekDets gratis nyhedsbreve, hvor vi tipper dig om vores seneste faktatjek, advarer om digital svindel og deler seneste nyt om mis- og desinformation – direkte i din mailindbakke. Tilmeld dig nyhedsbrevene her.
