For noen dager siden mottok Dnb-kunde Jens Møller - som for tiden er bosatt i Kina - en epost fra banken. Der ba den norske storbanken ham om å oppdatere sin egen personinformasjon. Hvis ikke ville kontoen hans bli sperret innen tre uker, kunne han lese.

Møller ble mildt sagt forundret. De siste årene har nemlig et samlet bank-Norge prøvd å innprente i kundene deres at de ikke vil be kunder om sensitive opplysninger via SMS eller epost.

– Veldig spesielt av Dnb

– Bankene har selv gått hardt ut og sagt at de aldri vil sende disse formuleringene til kundene sine per epost. Jeg synes det er veldig spesielt at Dnb introduserer denne praksisen nå, og ber meg sende inn et skjema med veldig sensitive opplysninger via post. Dette kunne de definitivt gjort på en smidigere måte, sier han.

Oppfordringen Møller viser til kan man også lese på Dnbs egne nettsider:

«Vi vil aldri be deg oppgi eller bekrefte betalingsinformasjon eller personopplysninger via e-post eller SMS.», skriver banken.

Møller sier at svindlere lett kunne ha endret på eposten og brukt den til sin fordel for å lure til seg svært sensitive opplysninger om bankkundene.

Sikkerhetsekspert: – Er du sikker på at dette ikke er svindel?

Sikkerhetsekspert Hans Marius Tessem begynner å le når digi.no viser ham eposten Dnb har send ut til noen av bankkundene sine.

Hans Marius Tessem er ikke imponert over hvordan Dnb velger å innhente personopplysninger på. Foto: Norsis

– Jeg tror ikke på det. Er du sikker på at dette ikke er svindel? utbryter han til digi.no når vi tar kontakt.

Ifølge ham er det nemlig en konsensus i sikkerhetsbransjen at man aldri skal be om sensitive opplysninger per epost. Dette er noe banknæringen også har omfavnet, ifølge ham.

– Det er svært vanskelig å kommunisere et sikkerhetsbudskap om noen banker plutselig skal begynne å ta seg friheter. Dette har vært en bransjestandard i en årrekke, påpeker han.

Burde brukt nettbanken

Ifølge Tessem kunne Dnb hentet inn kundeopplysningene på en mye smidigere måte:

Ved å be kundene om å oppdatere personinformasjonen sin i nettbanken, der man må logge seg inn via tofaktorautentisering, kunne disse opplysningene verifiseres uten noen usikre mellomledd.

Dnb opplyser til digi.no torsdag kveld at de skal ha varslet kundene sine om endringen via et varsel i nettbanken.

– Vi er åpne for å se på forbedringer i ordlyd og metode for å kontakte våre kunder, sier Even Westerveld.

Denne eposten sendte Dnb til noen av sine kunder fredag 21. oktober.

Han er informasjonssjef i Dnb og bekrefter overfor digi.no at banken har sendt denne eposten. Ifølge ham har banken prøvd å innhente personopplysningene ved å kontakte kundene direkte via telefon, sms og i nettbanken uten hell.

Terrorfinansiering og økokrim

Siste skritt i informasjonsinnhentingen for banken har så vært å be kundene om å oppdatere personopplysningene sine via epost.

– Vi er pålagt av myndighetene å innhente personsensitiv informasjon fra våre kunder. Den nye hverdagen er at banker kan misbrukes i terrorfinansiering og økonomisk kriminalitet. Derfor er det svært viktig at vi har så god informasjon som mulig. Da strekker vi oss også langt for å innhente disse opplysningene.

Informasjonssjefen er sikker på at sikkerhetsekspert Tessem ikke hadde vært så krass i sin kritikk hvis han hadde visst at banken hadde prøvd å få tak i bankkundene via andre kanaler tidligere.

Det er ikke Tessem enig med ham i:

– Dnb forkludrer her budskapet til en samlet sikkerhetsbransje. Om dette fortsetter blir vi nødt til å slutte å gi dette rådet. For folk flest blir det svært vanskelig å skille mellom det som er svindel og det som ikke er det, sammenfatter han.

Interessert i sikkerhet? Les flere saker om datasikkerhet på vår samleside »