Ny svindel:

Nå knekker de denne koden også

Her er det lett å bli lurt.

ENGANGSKODE: Trodde du kontoen din var vanntett mot inntrengere fordi du har aktivert totrinnspålogging? Det er den ikke. Foto: Pål Joakim Pollen
ENGANGSKODE: Trodde du kontoen din var vanntett mot inntrengere fordi du har aktivert totrinnspålogging? Det er den ikke. Foto: Pål Joakim Pollen Vis mer
Publisert
Sist oppdatert

– Vi har oppdaget en uautorisert overføring på 58,82 dollar fra PayPal-kontoen din. For å blokkere overføringen, vennligst bekreft din identitet ved å taste inn koden vi sender deg på SMS.

Slik starter en robotisert samtale til Motherboard-journalist Joseph Cox i et kontrollert forsøk. Rett etterpå mottar han en helt legitim SMS fra PayPal med koden til totrinnsbekreftelsen.

Når denne tastes inn, får Cox beskjed om at transaksjonen er blokkert, og at han ikke trenger å bekymre seg dersom kontoen er blitt belastet. Refusjon blir gitt innen 48 timer.

Men i realiteten ble han akkurat loppet for 58,82 dollar - nettopp fordi han oppga engangskoden.

Ny type svindel

Dette er svindlernes nye triks. Siden mange tjenester beskytter sine brukere ekstra med såkalt totrinnsbekreftelse eller tofaktorautentisering, holder det ikke lenger om de finner ut av brukernavnet og passordet ditt for å kapre kontoen din.

De må også få tilgang til engangskoden fra en kodebrikke, app eller SMS.

Senest forleden dag skrev vi om at Google nå tvinger alle brukere til å bruke det ekstra sikkerhetsleddet:

Men det er nettopp denne koden de klarer å få tak i med telefonsamtalen som finner sted.

Typisk har de i dette tilfellet fått tak i brukernavnet og passordet (+ telefonnummeret), for eksempel fra en datalekkasje et annet sted der man har brukt samme kombinasjon, men får ikke logget på uten engangskoden.

I det telefonsamtalen besvares, prøver de så å logge på i andre enden. Da kommer de til siden der man må taste inn engangskoden fra SMS-en, og den sendes da til offerets telefon. Ved at offeret taster inn den under samtalen, kan bakmennene putte den rett inn i skjemaet og fullføre påloggingen.

«Blomstrende marked»

Det finnes folk på nettet som tjener penger ved å la andre kjøpe tilgang til slike automatiserte løsninger, typisk for noen hundre dollar i måneden, og de mest populære har flere tusen kunder.

Det var i samarbeid med en av disse Motherboard prøvekjørte løsningen – som offer for svindelen.

- Boten er fin for folk som ikke har ferdigheter innen sosial manipulering. Ikke alle er komfortable og overbevisende på telefonen, skjønner du, sier en av bakmennene til Motherboard.

Botene kan brukes mot mange tjenester - ikke bare PayPal, men for eksempel Amazon, CoinBase (kryptovaluta) og en rekke nettbanker. Til nettstedet sier Amazon at de er klar over problemet med slike oppringninger og selskapet har laget en egen informasjonsside rundt falske meldinger, e-poster og oppringninger.

For den som kjøper tilgang til en slik tjeneste, styres det hele via chattetjenester som Telegram eller Discord. Svindleren trenger bare å taste inn telefonnummeret og «hvem» som skal stå for oppringningen, og så går resten av seg selv. I videoen under (fra en som selger slike tjenester) kan du se hvor enkelt det fungerer:

Vær på vakt

Det er nok bare et tidsspørsmål før de første nordmennene blir forsøkt svindlet på denne måten - med tiden sikkert også med en norsk robotstemme.

Derfor er det viktig å huske at nettkontoene dine slett ikke er vanntette selv om du har aktivert totrinnspålogging. Husk også ikke å oppgi disse engangskodene med mindre du selv prøver å logge på.

Det er også en nyttig påminner om at passordene dine bør være ulike på alle tjenester du benytter. Bruker du det samme overalt, og ett nettsted opplever datainnbrudd, vil det være gode muligheter for å misbruke kontoene dine andre steder på nettet.

Vi bryr oss om ditt personvern

dinside er en del av Aller Media, som er ansvarlig for dine data. Vi bruker dataene til å forbedre og tilpasse tjenestene, tilbudene og annonsene våre.

Les mer