- Publicerad
- Uppdaterad
Sedan april i år har internetexperten Peter Forsman fått 1600 mail per månad med företagsavtal, kvitton, ljudfiler och abonnemangsuppgifter i sin elektroniska brevlåda på domänen nomail.se. Problemet är att mailen inte skulle till honom, utan till helt andra personer.
Anders Frick
En av Sveriges största teknikkedjor har förprogrammerat sin kassamjukvara fältet för e-post med kundens mobilnummer följt av @nomail.se, en domän som sedan mitten av april tillhör internetexperten Peter Forsman. Genom en så kallad ”catch all”-teknik hamnar alla kvitton, garantiunderlag och mail till domänen @nomail.se i Peter Forsmans mailbox när kunderna knappar in sina telefonnummer i affären.
”Och jag ser inte bara kundens information, utan även vad denne inhandlat och med vilket betalningssätt (korttyp och 4 sista siffrorna i kortnumret osv.) Tro mig när jag säger att informationen som visas är mer än tillräckligt för en luttrad vishingbedragare skulle kunna förmå kunden att utföra några extra BankID-inloggningar/signeringar”, skriver Peter Forsman på sin blogg.
Teknikkedjan är inte ensam om att skicka e-post till nomail.se. Detsamma gäller bland annat en sydsvensk återförsäljare av mobilabonnemang – en aktör som arbetar med en av Sveriges största mobiloperatörer.
”Här har jag till och med mailat vd för återförsäljaren för att få denne att inse det urkorkade i att skicka kundavtal till nomail@nomail.se – en adress som de inte reserverat. Men nej – ingen respons eller återkoppling, bara nya avtal”, skriver Peter Forsman.
Han har även fått cirka 400 röstmeddelanden från en telefonileverantör som är helägda av en annan större teknikkedja. Telefonileverantören tillhandahåller egen en röstmeddelandetjänst och skickar okrypterade ljudfiler som bilagor i mail till nomail@nomail.se
”Det finns naturligtvis ytterligare en uppsjö av fler leverantörer och företag som skickar känsliga meddelanden och kundkvitton m.m, men dessa tre ser jag som mest illa. Det här inlägget är inte avsett att skada eller riskera ”föranleda kurspåverkan”, utan att se som en glad sommarhälsning, tillsammans med en uppmaning till att säkra era system och säkerställa att ni vet till vilka e-postadresser ni skickar era meddelanden. För tänk vad tråkigt det skulle varit om nomail.se hade registrerats av en illasinnad bedragare istället, eller för den delen anmält till IMY. Det skulle kunnat sluta i riktigt allvarliga grejer”, avslutar Peter Forsman sitt blogginlägg.