Att tänka på säkerhet i tekniska lösningar på nätet tycks fortfarande vara väldigt svårt. Nyhetssajter repeterar ofta de vanligaste tipsen för användare, ”Kolla att du är på rätt sajt”, ”Kolla vem som är avsändare”, ”Klicka inte på okända länkar” osv. Det är utmärkta grundtips, tyvärr hjälper de ofta inte alls när tjänster på nätet inte själva förstår problemet. Ett bra exempel på det landade nyss i min inkorg.
Ett mejl som tydligen kommer från någon som heter ”noreply-se”. Avsändaren har helt enkelt struntat i att ange ett namn så mejlsystemet visar istället del av mejladressen. Början på ärenderaden säger att mejlet innehåller en faktura från UC. Redan här börjar varningsklockan vibrera lite, en faktura från UC borde rimligtvis ha UC som avsändare. Även om de använder en tredjepart för att göra utskick finns det inga tekniska hinder för att fylla i ett avsändarnamn (och använda korrekt domän i mailadress).
Texten i mejlet börjar med ”Tack för att du är kund hos oss på UC”. Fortfarande ser jag inget som tyder på att det verkligen kommer från UC. En uppmaning att klicka på en länk för ”ladda ned din faktura som PDF” lockar inte särskilt mycket. Men en länk som sägs gå till ”Mina sidor” är intressant, den borde väl ändå gå till en uc.se-domän? Nej, det gör den inte, den går till ”customer.horizonafs.com/SE/uc”. Vad ”horizonafs” är har jag ingen aning om, men det är definitivt inte UC. Det finns en UC-logga på sidan, men den bevisar förstås inget alls. Längst ned står det ”Riverty Sweden AB”.
Det finns en knapp för att logga in med BankID, det ger åtminstone en känsla av säkerhet. Den provar jag och hamnar på en sajt som heter ”signicat.com”. Definitivt inte heller UC.
Här uppmanas jag att fylla i mitt personnummer. Det inger inte heller något förtroende, då BankID starkt rekommenderar att tjänster använder QR-kod istället för personnummer. Uppenbart tycker inte Riverty/Horisonafs/Signicat att det är en rekommendation värd att följa. Jag vet inte ens om det verkligen är en äkta BankID-inloggning. Jag chansar och knappar in mitt personnummer…
Se där, det poppar faktiskt upp en inloggning i BankID-appen. Men där står nu YTTERLIGARE ett okänt företagsnamn, ”Arvato Finance AB”.
Vid det här har laget har jag alltså mötts av okänd avsändare på mejlet, länkar och omdirigeringar till okända sajter och företagsnamn som jag inte har anledning att lita på för en påstådd faktura från UC. Varför skulle NÅGON lita på den här betalningslösningen?
Nu är det förstås så att jag faktiskt använder en tjänst från UC och visste att de använder den här usla betallösningen.
Vad gäller ”Riverty Sweden” så tycks deras verksamhet ha flyttat in i ”Arvato Finance AB”, men de har inte bemödat sig att uppdatera sin sajt eller använda korrekta domännamn. IT-kompetens tycks överhuvudtaget vara en brist i företaget, deras mail hade en ”SPF fail” eftersom det skickats från en IP-adress de inte konfigurerat SPF för. Själva betalningen jag försökte göra på sajten gick inte heller så bra. Efter att jag knappat in mitt mobilnummer för Swish-betalning, så fick jag följande informativa meddelande:
och ett klick på OK-knappen ledde vidare till:
Om den här lösningen krävt kortbetalning hade jag vägrat lämna mina kortuppgifter till en så uppenbart undermålig och opålitlig tjänst. Nu är det Swish vilket i sammanhanget är ganska säkert. Det är också anmärkningsvärt att Signicat, som BankID-integratör, accepterar att en site identifierar sig själv som ”Riverty Sweden AB” och sedan loggar in användare under ett BankID tillhörande ett annat företag. Det ger inte något förtroende för Signicat som leverantör.
Men att UC, som bland annat säljer tjänster som ”ID-skydd” och ”Bedrägerispärr”, använder en tjänst som helt och hållet ser ut som ett bedrägeriförsök är fullständigt vansinnigt. INGEN borde behöva drabbas av såna här lösningar där man som användare tvingas sitta och fundera över vem det egentligen är man förväntas betala till.
— uppdatering —
Det går fortfarande, två månader efter att jag skrev ovanstående, inte att betala med Swish. Det enda som hänt är att UC lagt upp en infotext på sin sajt. Hur någon affärsmässig verksamhet kan acceptera TVÅ MÅNADER med en trasig betalningslösning är obegripligt.
