Yousee Phising – Falske Yousee mails

For tiden er falske Yousee mails i omløb, hvor de forsøger at stjæle dine Dankortoplysninger. Se her hvordan den ser ud og hvordan du ser den er falsk. 
På IT-blogger.dk viser jeg dig ind imellem falske mails og fuskerhjemmesider, så du kan se eksempler på hvad du skal varsomme overfor, når du bevæger dig rundt på internettet. Jeg fik for nyligt denne mail tilsendt.

Hej, 
Adgang til din konto er begrænset til følgende næste
Vi har bemærket, at du har betalt regningen to gange
(Dit filnummer: (1580_12)
For at bekræfte din tilbagebetaling
Klik her.

I emnelinjen stod der “Faktura”. Det er altså et emne der straks får dig til at tænke at det handler om penge. Det er typisk ved disse falske mails, der også kaldes Phising mails, at emnet tiltrækker din opmærksomhed ved at sige det handler om penge.
Den ser tilsyneladende ud til at komme fra Yousee, men hvis du kigger hvilken mailadresse der står bag mailen er det yousee@mail.com. Domænet mail.com tilhører ikke Yousee, men er en tilfældig mailtjeneste ligesom Hotmail eller Gmail. Den kan altså tilhøre hvem som helst. Dette bekræfter også at mailen ikke kommer fra Yousee, fordi en mail fra Yousee ville jo komme fra et domæne der hedder yousee.dk i stedet.
Mailen er skrevet på dansk, dog med en del sproglige fejl. Noget der ofte kendetegner Phising mails, men som du ikke skal lade dig snyde af, hvis der ikke er sproglige fejl. Hele mailen var et billede med et Yousee logo i toppen. Når man klikker på billedet ledes man hen på en adresse der hedder http://kpid.sumselprov.go.id/administrator/. Igen her ville Yousee jo ikke lede dig hen på et andet domæne end Yousee.dk.
Hvis du går ind på linket, vil du se denne side:

Det er en hjemmeside der ser ud til at være en side hvor du kan opdatere dine betalingsoplysninger overfor Yousee. Du bliver altså her bedt om at indtaste dine Dankort oplysninger – men det skal du ALDRIG gøre. Og kommer du til det, skal du spærre dit kort.
Bemærk at URL adressen begynder med HTTP:// og ikke HTTPS://. Det betyder at det ikke er en sikker forbindelse, og hvis det nogensinde skulle være en side hvor du skal opdatere betalingsoplysninger, ville den som minimum være sikker.
Siden indeholder et Yousee logo for at få dig til at tro at det er en ægte Yousee side. Inden formularen står der “Alle felter er obligatoriske” hvilket skal få dig til at udfylde alle felter. Ellers bliver du bedt om at udfylde både navn, adresse, e-mail, password og Dankortoplysninger. Dem der står bag denne Phising side vil altså få rigelig med informationer om dig, som de kan bruge.
For at summere op, er der altså følgende tegn på at det er en Phising mail:

• Mailen kommer ikke fra en @yousee.dk adresse.
• Mailen består af et billede med tekst og ikke bare tekst.
• Mailen indeholder en del sproglige fejl.
• Linket peger ikke hen på en yousee.dk side.
• Hjemmesiden den peger hen på er ikke en HTTPS:// side.
• Der spørges efter loginoplysninger og Dankortoplysninger.

Hvis du er i tvivl, så indtast ALDRIG Dankortoplysninger på en hjemmeside du er kommet til ved et link. Log i stedet direkte ind på yousee.dk og undersøg sagen der – eller ring til Yousee’s kundeservice.

Hvem står bag?

Det er ikke til at vide hvem der står bag, fordi det er ikke nemt at finde ud af. I dette tilfælde er hjemmesiden et subdomæne til sumselprov.go.id, men det er slet ikke sikkert det er dem. Ofte vil en hacker bare have plantet hjemmesiden hos dem.
På denne hjemmeside kan ejeren bag et domæne slås op. I dette tilfælde har jeg slået ejeren af sumselprov.go.id op og så får jeg en liste med oplysningerne på den der ejer domænet. I dette tilfælde kan jeg se at det er nogen der hedder Kominfo fra Indonesien, der ejer domænet. Det er ikke til at sige om de er involveret i denne Phising mail, men umiddelbart tror jeg det ikke.
Det vigtigste er bare, at der er masser af tegn på at dette er en Phising mail, så hvis du modtager den så slet den. Indtast ALDRIG dine loginoplysninger eller Dankortinformationer.