Svindel av EB-konto?

Re: Eurobonusshop svindel?

RedLine said:
Jeg/ vi synes at slik praksis er en uting og prøver og unngå dette, nå snakker jeg ikke på vegne av noen av bankene du nevner men synes generelt at slike ting kraftig svekker bankenes tillit og rykte hos kunden.
Click to expand...


Det er jeg enig i. Men jeg har en følelse at de som har kunnskap eller føler ansvar utover læreboka befinner seg et stykke unna de vanlige kundene. Samme som med SAS gjennom Sykes.
 
Re: Eurobonusshop svindel?

For de som er relativt IT-tekniske så er denne ganske interessant, første delen med hvor lett det er å bryte seg inn hos Qantas

http://vimeo.com/97530814

Når man ser på det som påpekes ifht. sosial medier, mulighet for passordreset og at mange faktisk deler passordet med siter som awardwallet mv. så er det ikke rart det går galt. Om man tenker litt tilbake ifht. SAS-appen så ble det jo også påvist at den sendte ALL bruker- og kredittkortinformasjon ukryptert. Det er også et relativt dårlig tegn når SAS sier: "Nytt passord må bestå av 6-12 tegn"

Det er overraskende at ikke dette har skjedd på et tidligere!
 
Last edited:
Re: Eurobonusshop svindel?

Discus said:
Om man tenker litt tilbake ifht. SAS-appen så ble det jo også påvist at den sendte ALL bruker- og kredittkortinformasjon ukryptert.
Click to expand...

Vet du om den gjør det forsatt? I så fall er det veldig stor sannsynlighet for at dette er grunnen. Tenk å sitte på ukryptert nett på OSL og snappe opp SAS-app trafikk. Da skal du ikke sitte lenge før du har god avkastning i form av gavekort.
 
Re: Eurobonusshop svindel?

mcduck said:
Vet du om den gjør det forsatt? I så fall er det veldig stor sannsynlighet for at dette er grunnen. Tenk å sitte på ukryptert nett på OSL og snappe opp SAS-app trafikk. Da skal du ikke sitte lenge før du har god avkastning i form av gavekort.
Click to expand...

Så lenge sas.no ikke er kryptert så er det omtrent samme saken.

1) Login-formen sendes til browser ukryptert (1. feil)
2) Etter innlogging trykker man på "bestill reise" så havner man på ukrypterte sider og vips (2. feil)
osv. osv.
 
Re: Eurobonusshop svindel?

Det er også blitt svært vanlig stjele å stjele ukrypterte e-post data på flyplassene. Folk som hodeløst logger seg på for å sjekke e-posten sin i Wifi sonene på flyplassene. Vi får en del saker der reisende som skal ut på lengre flyreiser blir hacket rett før dem setter seg på flyet. Mange har kommet frem på ferie og straks fått beskjed av oss at dem har en større svindelsak i gang. Ser for meg at hackede e-post kontoer brukes til mer enn kun å kontakte banken. Må garantert gå ut over Eurobonuskontoer, sov. også.
 
Re: Eurobonusshop svindel?

Etter en laaang kveld så har jeg funnet ut mye som ikke publiseres her. Men jeg har byttet passord på SAS-kontoen, skal ikke logge meg inn på SAS i tide og utide når jeg er ute og reiser og er på gjestenett. Skal også forsøke å huske å bytte passord på SAS-kontoen ofte. Deling av passord med Awardwallet og andre slike tjenester driver jeg ikke med.

Minner også om denne:
Han benyttet sin egen bonusprofil hos SAS og egen mobil til sine undersøkelser.

Her fant han også at både personopplysninger, kredittkortnummer, utløpsdato og CVC-nummer lå lett tilgjengelig.

Sårbarhetene kunne lett utnyttes i et trådløst nettverk, som for eksempel det offentlige nettverket på flyplassen.
Click to expand...
http://www.tu.no/it/2013/05/13/sas-lagret-ukryptert-kredittkortinfo
 
Re: Svindel av konto i Eurobonusshop?

Amazon-gavekort selges ikke gjennom Eurobonusshoppen, men gjennom https://www.rewardspay.com/ direkte fra sas.no Det at Eurobonusshoppen ikke vil vedkjenne seg dette skjønner jeg på en måte for det er antagelig utenfor det de håndterer. På den annen side burde den henvist til rett person/instans.

Hvor ting har sviktet i kjeden er jo fremdeles litt usikkert...
 
Re: Svindel av konto i Eurobonusshop?

Discus said:
Hvor ting har sviktet i kjeden er jo fremdeles litt usikkert...
Click to expand...

Første rykte som nådde meg var vel at det var en grunnleggende feil ved håndtering av sesjonscookies som var den mest åpenbare feilen, men på RewardsPay ser det ut til at man må ha brukernavn og passord. Men at dette peker mot dårlig sikring av SAS sine nettsider virker sannsynlig.
 
Re: Svindel av konto i Eurobonusshop?

gustavf said:
Første rykte som nådde meg var vel at det var en grunnleggende feil ved håndtering av sesjonscookies som var den mest åpenbare feilen, men på RewardsPay ser det ut til at man må ha brukernavn og passord. Men at dette peker mot dårlig sikring av SAS sine nettsider virker sannsynlig.
Click to expand...

Ja, SAS peker seg ut som første kandidat.

Har ikke gransket Rewardpay nøye, om man eks. kan logge inn med en konto og greie å belaste en annen FQTV-konto ved å manipulere data (cookies/hiddenfelt m.v.). Siden man har laget en "SSO-løsning" ved bl.a. å iframe SAS inloggingsboks så lukter det at det er flere ting som ikke er som det burde.

Uansett - bonuspoeng har tradisjonelt vært til bruk for fly og hoteller, så har man lagt på noen "krimskrams" man kan få hjem i posten og deretter gavekort på iTunes og Amazon og vips er poengkontoen "hard valuta" uten at SAS (og andre selskaper) innser at de må sikre seg på lik linje med en bank eller kredittkortselskap.
 
Re: Svindel av konto i Eurobonusshop?

Og basert på kursen 10$ per 1k poeng, så er da en EBP med 500k poeng på konto omtrent 300.000 kroner i verden. ;)

-A
 
Re: Svindel av konto i Eurobonusshop?

Betyr dette også at man bør tenke seg om før man laster ned boardingpass på mobilen mtp hvilken nett man er på? Bør man også være forsiktig med app bruk på 3/4g?

(Ikke så teknisk av meg...)
 
Svindel av konto i Eurobonusshop?

sitrus said:
Betyr dette også at man bør tenke seg om før man laster ned boardingpass på mobilen mtp hvilken nett man er på?
Click to expand...


Vil tro at det er mulig å fange opp boardingpass også, men det har jo begrenset verdi siden du også skal med flyet. Dessuten så risikerer en hacker å avsløre seg på den måten, så det er nok svært lite sannsynlig.

sitrus said:
Bør man også være forsiktig med app bruk på 3/4g?
Click to expand...


Bruk av mobilnett, 3G/4G er sikkert da datatrafikken går direkte fra deg til eks. Telenor. Det er ingen lett måte og fange opp trafikken eller ta over nettverket som det er på trådløse nettverk( Wifi). Dersom en hacker kommer seg inn hos Telenor da snakker vi sikkerhetsbrudd av dimensjoner.
 
Re: Svindel av konto i Eurobonusshop?

Vil tro at disse APP'ene bruker ssl/tls for ende-til-ende kryptering
 
Re: Svindel av konto i Eurobonusshop?

Anmeld forholdet.

jeg ble tappet for drøye 30k for noen år siden. Bakhistorien er at uvedkommende hadde fått tak i kortnr, utløpsdato og cvc kode på visakortet mitt.

Når dekningen plutselig mangler på kortet, og jeg ringer dnb så får jeg beskjed om at grunnen til manglende dekning er at "jeg" har kjørt med color line Sandefjord - Strømstad for drøye 30k siste døgnet. Jeg har jo vært nordafor på jobb, så det er ganske umulig. Jeg får videre beskjed om å ringe color line. Jeg gjør så, men til tross for at mitt kort er brukt til å betale med så kan ikke dem utgi navn på passasjerer osv som har brukt billetter kjøpt med mitt kort. Jeg anmelder forholdet, og ett noen dager har politiet fått ut disse opplysningene, og saken er oppklart.

At Norge AS er skrudd slik sammen at vedkommende går fri er forsåvidt en annen sak. Men VISA dekket umiddelbart mine tapte penger.
 
Re: Svindel av konto i Eurobonusshop?

sail4fun said:
Vil tro at disse APP'ene bruker ssl/tls for ende-til-ende kryptering
Click to expand...
Initielt gjorde de ikke det i det hele tatt, og på generelt grunnlag så bør man ikke regne med at de gjør det. Vedr. SAS-appen så tok grep tidligere (ref. post lenger opp i tråden), så det er grunn til å anta at den bruker sikker forbindelse nå.
 
Re: Eurobonusshop svindel?

RedLine said:
Jeg/ vi synes at slik praksis er en uting og prøver og unngå dette, nå snakker jeg ikke på vegne av noen av bankene du nevner men synes generelt at slike ting kraftig svekker bankenes tillit og rykte hos kunden.
Click to expand...

Det er en vanlig prosedyre at kunden først kontakter stedet som eventuelt har trukket for mye før banken tar over, hvis det da ikke er åpenbart at kunden har blitt svindlet. Hvis det er snakk om svindel så må man bare hive seg rundt og anmelde/ evt bestride inkassosak fort som f.
 
Re: Svindel av konto i Eurobonusshop?

sitrus said:
Betyr dette også at man bør tenke seg om før man laster ned boardingpass på mobilen mtp hvilken nett man er på? Bør man også være forsiktig med app bruk på 3/4g?

(Ikke så teknisk av meg...)
Click to expand...

Ingen grunn til total panikk her, men generelt bør man være varsom med alt som ikke går kryptert. Og hvertfall ikke koble seg ukritisk opp på "Free WiFi" og lignende for deretter å logge seg inn på alle sine kontoer rundt forbi. Og mobilnettet er generelt tryggere enn trådlåst ja.

RedLine said:
Vil tro at det er mulig å fange opp boardingpass også, men det har jo begrenset verdi siden du også skal med flyet.
Click to expand...

Generelt inneholder et BP veldig mye informasjon, ref videoen som ble linket til lenger opp så holdt det med et boardingpass for å få tilgang til bonuskontoen til en QF-kunde. Holdningen om at "det er jo begrenset med informasjon" er det som ofte fører til de store lekkasjene, siden litt info her og litt info der gjør at man plutselig sitter med det store bildet
 
You must log in or register to reply here.

Similar threads

SudCaravelle
Bonusbookinger ved alliansebytte og andre billetteringseffekter
2 3
Replies
42
Views
5K
Discus
Discus
mikro
Til Madrid med SAS, Iryo, Iberia og SAS Link
Replies
14
Views
2K
mikro
mikro
dc-8-63
God lørdag fra vest….
Replies
7
Views
898
Hypern
Hypern
LN-REF
Til Luanda i Angola med SAS og Lufthansa
Replies
17
Views
2K
LN-REF
LN-REF
Fnate
Med SAS 321 I business til Toronto
Replies
9
Views
3K
B747-8
B
Back
Top