Etter kritikk fra to danske sikkerhetseksperter har Danske Bank slettet en liste med telefonnumre som hadde som hensikt å beskytte kundene deres mot spoofing-angrep, melder Version2.dk.
Sikkerhetsekspertene mente listen hadde motsatt funksjon og at den hjalp svindlerne heller enn kundene.
35 trygge numre, eller?
Bakgrunnen for kritikken var at Danske Bank hadde sendt en e-post til sine 214.000 kunder med en liste over de 35 telefonnumrene de brukte. I e-posten hevdet banken at kundene kunne stole på oppringningen dersom de ble oppringt fra et av numrene på listen.
Kritikken som kom fra to sikkerhetseksperter fra Dubex, Keld Norman og Jacob Herbst, gikk på akkurat dette. De påpekte ovenfor Version2.dk at det ikke gir noen sikkerhet å sjekke telefonnummeret, da det lett kan forfalskes av svindlere, det er det som kalles spoofing.
Digi.no har også tidligere omtalt hvor enkelt et spoofing-angrep kan gjennomføres – i denne saken. Når en angriper vet hvordan hen gjør det, kan det ta under en time å sette opp en ny spoofing-tjeneste.
De to sikkerhetsekspertene tror listen kan gjøre kundene enda mindre kritiske til svindlere som spoofer telefonnummeret sitt for å virke som om de ringer fra banken, når kundene kan sjekke nummeret opp mot listen i e-posten.
Numrene fjernet
To dager etter kritikken fra sikkerhetsekspertene har Danske Bank fjernet listen over telefonnumrene fra siden.
I en e-post fra Danske Bank til Version2 skriver de at etter å ha kikket på den gjeldende siden, ser de at kundene er best stilt med en generell guide om hvordan man håndterer en mistenkelig oppringning eller sms.
Nå skriver heller banken følgende på hjemmesiden:
«Av sikkerhetshensyn kan vi ikke dele numrene vi ringer fra offentlig, da svindlere kan få det til å se ut som om at de ringer fra et av Danske Banks numre. Du kan med andre ord ikke stole på at et bestemt telefonnummer er sikkert.»
Del ikke opplysninger
Nå gir banken kundene samme råd som sikkerhetsekspertene rådet dem til å komme med, nemlig å kontakte banken dersom de får en mistenkelig oppringning eller sms fra noen som utgir seg for å være Danske Bank.
Danske Bank skriver også at et sikkert tegn på svindel er dersom personen som ringer og utgir seg for å være fra en bank eller myndighet, ber om personlige opplysninger.
Banken poengterer at de eller andre myndigheter aldri ber om personlige opplysninger eller om at man overfører penger.
På norske Danske Banks nettsider finnes ikke den samme siden, men de ber også kundene sine om å rapportere svindel til banken:
«Har du mottatt en skadelig epost eller sms? Hvis eposten eller smsen bruker Danske Bank som avsender, ber vi deg rapportere svindelen ved å videresende eposten eller smsen til falskpost@danskebank.no.»