Frykter svindelbølge med denne metoden

Du aner fred og ingen fare, og så er kontoen plutselig tømt. I en fersk rapport beskriver NorSIS hva de frykter blir den nye svindeltrenden.

I rapporten Trusler og trender 2019-2020 presenterer Norsk senter for informasjonssikring (NorSIS) digitale trusler mot ulike virksomheter og befolkningen for øvrig.

Hele rapporten finner du her.

Angrep rettet mot mennesker istedenfor hackerangrep mot datamaskiner er noe NorSIS ser som en klar trend.

– Sosial manipulasjon har vi sett over lang tid, hvor brukere blir lurt til å gi fra seg brukernavn, passord og kredittkortopplysninger. Det er mye enklere å angripe et menneske enn å hacke seg inn i en datamaskin, sier seniorrådgiver Vidar Sandland i NorSIS.

Svindlerne har undersøkt deg

De kriminelle prøver ikke å bryte seg gjennom avanserte antivirusprogrammer eller brannmurer, men utnytter heller mennesker uten høy digital kompetanse.

Den siste tiden har svindlere utviklet en sofistikert form for phishing, som NorSIS frykter man vil se mye mer av fremover.

– NorSIS frykter en trend hvor BankID blir brukt i forbindelse med svindelforsøk. Hvis en kriminell klarer å gjennomføre en slik BankID-svindel, kan vedkommende tømme bankkontoen din, advarer Sandland.

Svindlernes metode begynner med at du mottar en e-post eller SMS som tilsynelatende kommer fra noen du stoler på, som banken din. I e-posten kan det for eksempel stå at billånet ditt er godkjent, og at du må logge deg inn i banken for å bekrefte lånet.

– I et slikt angrep har svindlerne undersøkt deg på forhånd. De vet hvilken bank du har og om du har mye penger. Jo mer de vet om deg, jo mer troverdig kan de lage e-posten. Derfor bør du være forsiktig med hva du legger ut i sosiale medier, sier Sandland.

– Da er kontoen tømt

Om du klikker på linken i e-posten, åpnes en side som kan se helt lik ut som banken din. Du blir bedt om å logge deg inn med BankID for å bekrefte at du er deg.

– Du kommer til en falsk nettside som ser helt identisk ut med nettbanken du bruker til daglig. Deretter blir du bedt om å logge inn med vanlig BankID. Du gir fra deg personnummer, passord og engangskode, forteller Sandland.

Det er i forbindelse med dette at svindlerne har utviklet en utspekulert måte å lure deg på. Informasjonen du skriver inn i feltet for BankID på den falske nettsiden, dukker nemlig opp hos svindleren i samme øyeblikk.

Samtidig som du skriver inn BankID-opplysninger på den falske nettsiden, bruker svindleren denne informasjon til å logge seg inn i den faktiske banken din.

– Så lurer de deg til å gi fra deg engangskoden en gang til, slik at de faktisk kan gjennomføre en transaksjon og tømme kontoen din. Etter at du har lagt inn engangskoden for andre gang, får du bare opp en feilmelding på den falske nettsiden. Men da er altså kontoen din tømt, sier Sandland.

Ba om pengene tilbake

Tove er en kvinne i 50-årene bosatt i Innlandet fylke. Hun ønsker ikke å stå frem med fullt navn og bilde, men vil advare andre om det hun opplevde for omtrent et år siden.

Det hele begynte med at hun skulle prøve seg på bitcoin-trading. Hun mistet opp mot 30.000 kroner hos et tradingselskap som senere viste seg å trolig være en svindelaktør, og bestemte seg for å gi seg mens leken var relativt god.

– Jeg innså at det ikke var for meg og at jeg ikke ville ha noe mer det å gjøre. Jeg erkjente at pengene var tapt, forteller Tove.

Noen måneder senere så hun et TV-program som oppfordret svindelofre til å be om å få pengene tilbake. Tove tenkte det ikke kunne skade og sendte en e-post til tradingselskapet om at hun ville ha tilbake pengene hun hadde investert.

– Først hørte jeg ingenting, men så ringte en mann som sa jeg skulle få tilbake pengene. Han bekreftet at jeg hadde penger til gode hos dem.

Tove syntes det hadde tatt lang tid før tradingselskapet tok kontakt, men fikk håp om at noen av pengene kunne komme tilbake på konto. For alt hun visste på det tidspunktet, var dette et legitimt tradingselskap.

Det var det dessverre ikke.

– Så identisk ut som vanlig BankID

Tove måtte verifisere sin identitet før hun kunne motta pengene. Mens hun snakket med den vennlige og høflige mannen fra tradingselskapet på telefon, ble hun tilsendt en link.

– Jeg klikket på linken, og kom inn på en side med et vindu som så identisk ut som vanlig BankID. Jeg syntes det var rart at jeg ikke kunne logge meg inn med BankId på mobil, men tenkte ikke noe mer over det. Jeg skulle på jobb og hadde ikke så god tid, sier Tove.

Hun tastet inn fødselsdato, personlig passord og engangskode fra kodebrikken.

– Da jeg hadde logget meg inn og verifisert hvem jeg var, hadde jeg en dårlig magefølelse etterpå. Tenk om dette er lureri, tenkte jeg.

Tove ringte banken for å sperre kortene og endre passordet sitt. Banken kunne imidlertid ikke sperre transaksjoner, fikk hun vite. Da hun sjekket banken, stod pengene der fortsatt.

– Føltes som livet var over

Det var først da Tove sjekket banken ni dager senere, at pengene var borte. Selv hadde hun ikke så veldig mye stående på konto, men hun var også kasserer for et grendehus.

– Til sammen forsynte svindlerne seg med 186.000 kroner. Da jeg fikk det i fleisen, føltes det som livet var over. Jeg ble rasende på meg selv og på de som hadde lurt meg.

Tove mener nordmenn skal være forsiktige med å tro at det bare er dumme mennesker som blir lurt på denne måten.

– Jeg føler selv jeg er en oppegående dame som ikke går så lett på limpinnen. Det finnes de som er mer godtroende og naive enn meg. Det er utrolig viktig å være oppmerksom. Vær kritisk, råder Tove.

Har du blitt svindlet?

– Det viktigste du gjør

Flere nordmenn har altså opplevd denne typen svindel allerede, og nå frykter NorSIS at dette vil bli en av de neste store svindelbølgene. Mer enn fire millioner nordmenn har i dag BankID, som brukes som autentiseringsmetode for alt fra netthandel til banktjenester.

– Før brukte vi BankID kun til å logge oss på nettbanken. Nå bruker vi BankID nesten overalt, også når vi kjøper varer og tjenester. Terskelen for å gi fra seg informasjon om BankID har blitt mye lavere, ettersom vi har blitt mer vant til å bruke det. Det utnytter svindlerne, sier Sandland.

NorSIS mener dette kan bli en stor fremtidig trussel. Ved hjelp av denne typen sosial manipulasjon kan kriminelle manipulere alt fra adresseendringer til å gjøre regelrette utbetalinger, slik Tove opplevde.

– Det viktigste du gjør er å ikke logge inn med BankID basert på å følge en link du har mottatt på SMS eller e-post. Skriv heller inn adressen til nettstedet du ønsker å logge deg inn på, og logg deg inn på den måten, oppfordrer Sandland.

Kommunikasjonssjef Hanne Kjærnes i BankID understreker at du ikke bør skrive inn personlig informasjon etter du mottar en link.

– Er du usikker, anbefaler vi å kontakte banken din i forkant. Vi er også svært interessert i å jobbe sammen med norske myndigheter, som Norsis, for å forhindre svindel og sørge for enda større sikkerhet for norske bankkunder, sier Kjærnes.

Lik TV 2 Nyhetene på Facebook