Så skyddar du dina pengar

Du har säkerligen sett rubriker i tidningarna om hur “bedragare länsar ditt kontokort” eller hur hackare tar sig in på din internetbank och tömmer sparkontot på pengar. Brottsligheten på nätet har vuxit blixtsnabbt de senaste åren, och den visar inga tecken på att avta. Lite tillskruvat kan man till och med säga att den har ersatt den gamla tidens rån och stölder – för många brottslingar har nätbedrägerier helt enkelt visa sig mer lönsamma.

För en vanlig användare som har drabbats kan det framstå som ett mysterium. Plötsligt är bankkontot tömt på pengar och det är svårt att begripa vad som hänt. Så hur går digitala bedrägerier till egentligen – och vad kan man göra för att skydda sig?

För att svara på det måste man sätta sig in i några av de vanligaste typerna av itbrott. De ser nämligen helt olika ut beroende på om de riktas mot ditt kontokort eller din internetbank.

Nätbanken – viktigast av allt

För den som försöker stjäla pengar från privatpersoner på nätet är internetbanken det “bästa” målet. Orsaken är uppenbar – väl inloggad har bedragaren tillgång till samtliga konton och kan därför komma över stora pengar, betydligt mer än ett stulet kontokortsnummer ger. Det är ju kopplat till ett enda konto, i regel ägarens lönekonto.

Lägg till att internetbanker kan användas för att skicka tiotusentals kronor till ett främmande konto så blir det lätt att förstå varför det är nätbankerna som bedragarna helst försöker ta sig in på.

Tidigare var intrång mot nätbanker relativt enkla att genomföra på grund av de undermåliga säkerhetssystemen. Bland de svenska bankerna gällde det framförallt Nordea. Om du var kund i banken för några år sedan så kanske du kommer ihåg engångskoderna som man skrapade fram på ett plastkort och använde för att logga in och signera betalningar. De var förbluffande enkla att lura till sig. Allt bedragaren behövde göra var att skicka ut tusentals epostmeddelanden som skickade kunden till en falsk kopia av Nordeas webbplats. Där ombads man knappa in två koder. Men istället för att användas för inloggning skickades de till bedragaren, som i lugn och ro kunde använda dem för att logga in och föra över pengar till ett annat konto, ofta i utlandet (läs mer om sådana bedrägerier i kapitel 3: ”Nätfiske och den okända avsändaren”).

Då och då tog angriparna till mer sofistikerade metoder. Istället för den fejkade Nordeasidan användes också en trojan som snappade upp engångskoder i bakgrunden och smusslade undan dem till bedragarna. På så sätt kom de över flera miljoner kronor.

Sedan dess har säkerheten skärpts, vilket har gjort det svårare för bedragarna. Lösningen består i de flesta fall av säkerhetsdosor med kort samt en pin-kod.

Men det vore fel att tro att faran är helt över. För sedan dess har en ny generation trojaner dykt upp. De är utformade för att överlista just de säkerhetssystem som bankerna införde när skrapkoderna visade sig odugliga – den säkerhetsdosa som du troligtvis använder för att logga in på din internetbank.

Men hur fungerar de? Något förenklat kan man säga att den lägger sig som ett extra lager mellan dig och din internetbank. När trojanen väl har tagit kontroll över din dator så har den i princip fritt spelrum att göra vad den behagar. Till exempel vad du ser på skärmen när du loggar in på din internetbank, eller att ändra det du skriver in till något helt annat.

Anta att du ska betala din elräkning. På pappret från elbolaget står kontonummer, summa och en ocr-kod. Du plockar fram dosan och loggar in som vanligt. Men sedan börjar trojanen agera. När du klickar i menyn för att starta en ny betalning kidnappar trojanen formuläret.

Du skriver in elbolagets kontonummer, men utan att du ser det så ändras det till ett konto som bedragaren kontrollerar. Även summan kan ändras i bakgrunden, utan att det syns på skärmen.

Så när du tror att du godkänner en betalning på 150 kronor till ett elbolag godkänner du i själva verket att en betydligt större summa skickas till ett konto du aldrig har hört talas om. I vissa fall har transaktioner som genomförs på detta sätt uppgått till flera hundra tusen kronor.

Flera trojaner har dykt upp i nätbanksattacker av det här slaget. Ofta har de fantasifulla namn som Zeus (en äldre variant som fått stå modell för efterföljare), SpyEye, Citadel och Ice IX.

Frågan är vad man kan göra för att skydda sig. I kapitel två beskrev vi hur trojaner och annan skadlig kod fungerar, samt vad man kan göra för att hålla sig säker. Om du följer råden där säkrar du dig också mot trojanbaserade angrepp på internetbanken.

Detsamma gäller phishing, alltså utskick av falsk e-post för att lura bankkunder. Från bankhåll har det upprepats gång på gång, men det tål att sägas ännu en gång: Svenska banker skickar aldrig mejl och ber om koder eller andra känsliga uppgifter. Om du får ett sådant – kasta det direkt.

Kontokortet – bedragarens favorit

Kontokortsbedrägerier har funnits lika länge som det har funnits kontokort. I grunden bygger de alla på samma princip: Någon förfalskar ditt kort eller skaffar ett kort i ditt namn och lyckas använda det för att ta ut pengar ur en bankomat eller köpa varor med det. I många fall behöver bedragaren inte ens skapa en fysisk kopia av kortet, eftersom kortets nummer och ytterligare några uppgifter är allt som behövs för att göra köp på nätet.

Däremot måste bedragaren alltid komma över uppgifterna på något sätt. Det finns två huvudsakliga metoder för att göra detta: Genom att läsa av kortets magnetremsa i smyg vilket är mer känt som skimming. Eller genom att komma över en större databas med kortnummer från till exempel en e-handlare.

Skimming, den gamla tidens kortbedrägeri

Du har säkerligen hört talas om skimming. Det är vad det kallas när kriminella monterar utrustning på bankomater som kopierar kortnummer från alla kort som passerar. Sådana maskiner är både billiga och enkla att använda. När de har suttit uppe någon dag är de fulla med kopierade kortuppgifter. Då kan personen som satte upp den återvända, ta med sig den och i lugn och ro föra över bytet till en dator, ungefär på samma sätt som man flyttar filer från ett usb-minne.

Därefter kan kortnumren antingen läggas in på tomma kort, användas för köp på nätet eller säljas vidare. Oavsett så slutar det ofta med att någon tar ut pengar eller köper varor – och pengarna dras från ditt konto.

De mer avancerade nöjer sig inte med kortnummer utan snappar även upp din pinkod, tack vare en liten kamera som monteras i bankomatens ovansida. Och det är inte bara vanliga bankomater som blir skimmade. Samma knep har använts på så väl bensinstationer som i biljettautomater.

Ofta är skimmingutrustningen diskret utformad för att se ut som en del av bankomaten, men den kan genomskådas. Eftersom den är tillfälligt monterad kan den sitta löst. Om det ser misstänkt ut finns det alltså ett enkelt knep att ta till: Försöka dra lite i plaststycket som sitter kring springan för kortet. Om det skulle vara bedragarens utrustning som sitter där så lär det lossna utan större ansträngning.

Skimmingen bygger alltså helt på kortets magnetremsa, den svarta linjen som syns på baksidan. Moderna, svenska kort har också säkerhetschip. Det är den guldeller silverfärgade lilla fyrkanten du ser på kortets ovansida. Bankerna och kortföretagen talar ofta om hur mycket säkrare chipen är. Det stämmer, men är inte hela bilden. Eftersom magnetremsan finns kvar så är det fortfarande fullt möjligt att kopiera den. Orsaken till detta är att inte alla kortterminaler har stöd för köp med chipet än.

Tips!

Slipp bli skimmad

  • Kontrollera springan på bankomaten eller kortläsaren innan du stoppar in ditt kort.
  • Se efter om det sitter någonting som liknar en kamera ovanför knappsatsen där du skriver in din kod.
  • Håll handen över knappsatsen när du skriver in pin-koden. 
Tack vare tekniska åtgärder har skimmingen gått ner dramatiskt i Sverige.

Men på andra håll i världen är den fortfarande utbredd, så tänk extra på hur du hanterar ditt kort när du är ute och reser. Kom ihåg att kortföretagens nätverk sträcker sig över hela världen. Ett svenskt kort är lika intressant för en korttjuv i Thailand som i Östersund.

Den hackade e-handlaren

En ytterligare orsak till att skimmingen har gått ner är att den är relativt ineffektiv. Även om skimmingutrustningen sitter monterad vid en bankomat som många använder rör det sig sällan om mer än några hundra kortnummer som fångas upp under en dag.

Det finns betydligt större samlingar med kontokortsuppgifter än så, till exempel hos webbutiker som tar emot kontokortsbetalningar. Många av dem anlitar speciella företag som sköter kontokortsbetalningarna, men det betyder inte att uppgifterna inte sparas någonstans.

Om ett sådant företag blir hackat finns risken att kontokortsnummer läcker, och det kan röra sig om gigantiska mängder. Till exempel drabbades det amerikanska storföretaget TJX, som driver detaljhandelskedjor med tusentals butiker runt om i världen, av ett intrång där inte mindre än 90 miljoner kontokortsnummer kom på vift.

Som enskild kund är det svårt att skydda sig mot sådana kortstölder, eftersom det är företagets säkerhet som brister och lämnar öppet för en hackare att komma över uppgifterna. Istället handlar det om att tänka efter både en och två gånger innan man plockar upp sitt kort och knappar in numret på en e-handelsbutik.

Betaltjänster – en (lite) tryggare mellanhand

Som vi redan har nämnt lägger många ehandlare helt enkelt ut hanteringen av kontokort på specialiserade företag. Orsaken är att detta kräver it-säkerhet som många vanliga butiker inte klarar av att upprätthålla.

Du har säkert själv märkt av det när du har shoppat på nätet. Efter att beställningen är lagd och det är dags att betala ändras webbadressen från butikens egen till betalningsförmedlarens, även om ehandlarens logotyp ofta följer med längst upp på sidan.

I praktiken innebär detta att butiken aldrig ser ditt kortnummer. Företaget du handlar från får bara ett meddelande om att betalningen är godkänd och skickar varan till dig. Två exempel på sådana företag är Payex och Dibs. Det finns också företag som hjälper privatpersoner att ta emot kortbetalningar. Det kanske mest kända är amerikanska Paypal, som också används av vissa småföretag.

I princip är detta positivt, eftersom specialiserade betalningsföretag har större resurser för att säkra sina system. Det gör det också lättare att handla från mer okända butiker och ändå känna sig trygg.

Men jag får väl tillbaka pengarna?

Bankerna har genom åren varit ganska generösa med att ersätta kunder som har drabbats av elektroniska bedrägerier. Ofta kommer ersättningen efter att banken på egen hand har upptäckt vad som håller på att hända och betalar tillbaka samma summa som har dragits från kontot.

Det har gällt både vid stölder från ett kontokort och efter intrång mot en internetbank. Men på senare år har bankerna börjat ställa högre krav på att man ska hålla ordning på sitt kort och sina koder. Vid vissa typer av bedrägerier bedömer de nämligen att kunden har varit så slarvig att hen mer eller mindre får skylla sig själv.

Ett exempel är bedrägerier via Facebook eller chattprogram. Genom att ta över en av dina vänners konton utger bedragaren sig för att vara din vän. När bedragaren har fått ditt förtroende får du höra att hen försöker betala räkningar men har tappat bort sin säkerhetsdosa. Därför får du frågan om du kan hjälpa till genom att knappa fram engångskoder och skriva in dem i chatten. Bedragaren tar emot dem, loggar in på ditt konto och plockar ut pengarna.

Den som vet hur säkerhetsdosorna fungerar skulle reagera direkt. Koderna är personliga och det är omöjligt att “låna ut” koder till någon annan. Men inte desto mindre har denna bedrägerityp lyckats många gånger, med tömda konton som resultat.

I sådana fall har svenska banker varit ovilliga att betala ut ersättning. Går man på en sådan bluff har man helt enkelt varit försumlig och får ta hela smällen själv.

Andra orsaker kan vara att man har dröjt för länge med att anmäla ett stulet kort eller en försvunnen säkerhetsdosa. Det fick en kvinna i Linköping erfara. År 2011 bröt sig någon in i hennes hem medan hon var bortrest över helgen. En granne upptäckte vad som hade hänt och kontaktade kvinnan som polisanmälde händelsen via telefon. Eftersom hon hade alla sina kontokort med sig på resan tänkte hon inte mer på dem – men glömde att säkerhetsdosan till internetbanken låg kvar hemma. Det gjorde även pappret där hennes kod fanns nedtecknad. Först när hon återvände upptäckte hon vad som hade hänt.

Dosan och koden var båda stulna, och flera hundra tusen kronor hade plockats ut från kontot, pengar som banken inte ville betala tillbaka eftersom anmälan inkom flera dagar efter att de försvann.

Rådet är alltså: Lämna aldrig ifrån dig kortnummer eller koder om du inte är säker på vem mottagaren är, och anmäl försvunna kort och dosor så snabbt du bara kan.

Checklista!

Ska du använda kortet?

  • Är anslutningen säker? Använd aldrig ditt kort på en sajt som inte har en krypterad anslutning. Du känner igen dem genom att adressen börjar med “https://” istället för “http://”, där bokstaven s står för – just det – “secure”. På sådana sajter visas också ett hänglås bredvid adressen.https
  • Är hänglåset rött, eller fick du en varning? Då kan sajten du besöker vara en fejkad variant. Undvik den, och skriv absolut inte in ditt kortnummer!https-2
  • Men hänglåset är bara en garant för att kortnumret skickas till handlaren på ett säkert sätt, inte för att det hanteras säkert därefter. Egentligen är det svårt att som kund påverka det, men en tumregel är att bara använda kortet på butiker som är välkända och respekterade.

Viktigt!

Dosan som säkrar dina kortköp

  • På senare tid har det blivit vanligare att kortköp på nätet måste verifieras med samma säkerhetsdosa som man använder för att logga in på internetbanken.
  • För att köpet ska gå igenom måste man generera en engångskod, oftast med knappen på dosan som är märkt “buy”. Syftet är att säkerställa att det är kortets verkliga ägare som använder det.
  • Systemet kallas Verified by Visa eller Secure Code när korten kommer från Mastercard.
  • Det kan ge sken av att köpet är säkrare för dig, men det är en illusion. Det enda systemet gör är att förhindra en bedragare att använda ett stulet kort på just denna butik. Det gör ingenting för att hindra ditt kortnummer från att läcka ut.
  • Dessutom används systemet inte överallt, och på alla dessa platser är det fritt fram att använda en kopia av ditt kort.
  • Med andra ord är dosan till för att skydda butiken, eftersom den slipper skicka varor till bedragare. Men det gör inte dig som kund säkrare.