Advarsel: Scam med MobilePay

posted in: Sikkerhed, virus m.v. | 0

Bondefangeri (scam) gør ofte brug af It. Det seneste eksempel gør brug af MobilePay App’en: En fremmed spørger om han kan få nogle kontanter af dig, hvis han overfører pengene på MobilePay til dig. Du siger ja, giver ham et par hundrede kroner, når du har modtaget besked om, at overførslen har fundet sted og får efterfølgende lænset hele din konto.

Politiet efterforsker sagen for at finde ud af, hvordan det kan lade sig gøre. Lad os håbe, det lykkes for dem – og at vi får mere information om, hvordan det har kunnet lade sig gøre.

Jeg finder det ekstremt bekymrende. Det er selvfølgeligt bekymrende om politiet har ressourcerne til at få stoppet muligheden og sat forbryderne bag lås og slå, men helt generelt, så kan det jo være en bombe under MobilePay systemet.

For hvordan kan det (teoretisk) lade sig gøre?

  1. Hvis enhver betaling med MobilePay giver betaleren kontodetaljer, der kan bruges til tyveri, så ser det ikke godt ud. Det er næppe tilfældet – jeg ser ikke umiddelbart nogle interessante detaljer i mit kontoudtog for de betalinger jeg har foretaget v.h.a. MobilePay. Og det vil jo være en risiko for enhver privat eller forretning, der accepterer betaling over MobilePay.
  2. Hvis betalinger fra en bestemt bank giver betaleren kontodetaljer, som kan bruges til tyveri, så samarbejder MobilePay med en bank, som de har godkendt på et noget utilstrækkeligt grundlag.
  3. Hvis transmission af en MobilePay betaling fra din mobiltelefon kan kompromitteres, hvis du bruger en bestemt udbyder eller opholder dig et bestemt sted – fx indenfor en meter fra forbryderen – så er det en trussel mod enhver brug af MobilePay i en forretning, ved en pølsevogn eller….
  4. Mange bondefangertricks udføres af to samarbejdende forbrydere. I det konkrete tilfælde kan det fx være en ekstra person bag dig, som aflurer din pinkode, når du logger ind for at kontrollere den modtagne betaling. Men kendskab til pinkoden i sig selv er jo ikke nok til at få adgang til din konto. (Jeg skal vist lige have genopfrisket, hvordan man opretter forbindelse fra app’en til en konto).
  5. Det mest sandsynlige er nok, at din telefon, som benyttes til bekræftelse af modtagelsen af beløbet, er blevet udstyret med et spy-program af en slags. Der findes fx forskellige keyloggere, som sender fx din gps position og alt hvad du taster til en central server. Men MobilePays interne data vedrørende din konto, burde forhåbentligt være kraftigt krypteret både på telefonen og under kommunikationen med MobilePay, så man kan jo frygte at denne kryptering ikke er tilstrækkelig eller er blevet brudt. Det finder politiet forhåbentligt ud af mere om, når de får analyseret de telefoner, der har været brugt i tyveriet.
  6. .. eller også er hele historien ikke ganske sand: Anmelderne husker forkert, fx glemt at fortælle at de har overladt til tyven at “låne” deres mobiltelefon et øjeblik, eller…

Historien kommer fra Fyens.dk. Du kan læse ritzaus telegram om det aktuelle tyveri her: dr.dk politiet-advarer-folk-i-nattelivet-om-mobilepay-tricktyve – at det kan foretages i Odenses natteliv giver kun anledning til endnu større bekymring: Det tyder ikke på at det er nødvendigt med adgang til voldsomme ressourcer og specialiseret it indsigt.

Politiet har indtil videre frikendt MobilePay og anser tyverierne for at være mere traditionelle bondefangertricks, hvor offeret lader sig distrahere. Men der mangler dog nogle mere overbevisende detaljer, for at jeg helt er klar til at købe den forklaring se opfølgningen fra fyens.dk Fyns-Politi-Tricktyve-distraherer-ofre-Mobilepay-fejler-ikke-noget

Dr.dk har også en tilsvarende opfølgning: dr.dk tricktyve-aflurer-folks-mobilepay-stoerre-sikkerhed-paa-vej

MobilePay står for overførsel af over 100 mill. kr dagligt (mobilepay.dk MobilePay-3millioner-brugere)

Indtil videre: Jeg vil bruge MobilePay med den største forsigtighed – eller slet ikke.

SIDSTE: Fyens.dk har gjort et glimrende arbejde med at følge op på sagen, så der nu også er en beskrivelse, der forklarer, hvordan det kan lade sig gøre og at MobilePay arbejder på at opdatere appen, så det ikke er muligt: fyens.dk Op-mod-30-sager-Politi-i-haelene-paa-Mobilepay-svindlere

Generelt om keyloggere til Android telefoner: keyloggers.mobi: best-android-keylogger og fx denne udgave til både iPhones, iPads og andre smartphones: keyloggers.mobi ikeymonitor-review

NB NB NB: Hvis din mobiltelefon uden at du forstår hvorfor, er begyndt at bruge mere strøm end vanligt, så FIND UD AF HVORFOR!