I mai avslørte NRK eit kinesisk svindelnettverk som, via falske nettsider, har lurt fleire hundretusen over heile verda til å oppgi kortdetaljane sine.
Blant dei er minst 19.000 nordmenn.
Som ein del av undersøkinga deltok NRKs journalistar, under falsk identitet, på eit digitalt svindelkurs. Formålet var å lære korleis svindlarane går fram.
Kurshaldaren var ein person som kallar seg x667788x. Han er ein av dei mest aktive svindlarane i nettverket, og har ein ulv med raud hatt som profilbilde.
Han hevda at det var langt lettare å kapre norske bankkort enn svenske.
:Sverige er det ikkje lett å knytte kortet.
x66:Norge er ok
Å «knyte eit kort» betyr at svindlaren får lagt det til i ei mobil lommebok han kontrollerer.
Han underbygde dette med følgande påstandar:
- Om ein fekk tak i ti norske kort, klarte ein typisk å legge to til tre inn i ei mobil lommebok.
- For Sverige og Tyskland var tilsvarande tal eitt eller ingen.
På Telegram har x667788x lagt ut bilde av dei mobile lommebøkene sine. Dei inneheld mange kort frå heile verda:
Dette bildet har x667788x lagt ut. Den blå sladdinga har svindlaren laga sjølv.
Foto: TelegramSlik kan svindlarane handle utan pinkode
I dag er det vanskeleg å svindle nokon ved berre å vite kortdetaljane deira. Nesten alle store kjøp krev pinkode eller verifisering gjennom ein mobilapp eller BankID.
Men dersom eit kort blir lagt til i ei digital lommebok på ein mobiltelefon, som Apple Pay eller Google Pay, kan ein handle friare.
Det avgjerande for at svindlarane skal lykkast, er altså at dei både får tak i kortdetaljar og klarer å få aktivert ein digital versjon av kortet.
Her kan du sjå eitt av fleire skrytebilde frå svindlarar som ventar på SMS-kode frå banken for å kunne kapre eit bankkort:
Ein svindlar prøver å legge til eit kort i ei digital lommebok, og ventar på ein aktiveringskode. NRK har sett fleire liknande bilde i undersøkingane av eit kinesisk svindelnettverk.
Foto: TelegramLurar du på korleis svindelen skjer, steg for steg? Her er forklaringa:
1: Du får ei tekstmelding
Svindlarane sender tekstmeldingar med beskjed om ei utbetalt rekning eller at adressa må oppdaterast fordi det er ei pakke på veg.
2: Du kjem til ei lurenettside
Meldinga avsluttast med ei lenke, som fører til ei lurenettside som svindlarane har laga. Nettsida ser nesten identisk ut med til dømes Posten si ekte nettside.
3: Du gir bort detaljane dine
Du fyller ut namn, adresse og kortdetaljar for å betale eit fiktivt gebyr. Svindlarane brukar opplysningane til å opprette ein digital versjon av kortet ditt i ei digital lommebok på sin mobiltelefon.
4: Du mottar og oppgir aktiveringskoden
Ofte sender banken deg ein aktiveringskode som tekstmelding. Koden skriv du inn på lurenettsida, fordi du trur det er nødvendig for å fullføre betalinga av gebyret der.
5: Svindlaren aktiverer det digitale kortet
Svindlaren brukar koden du skreiv inn for å aktivere kortet i si digitale lommebok. No kan svindlaren handle med kortet ditt utan PIN-kode.
Åtte av ti bankar tilbyr kode via tekstmeldingar
NRK har testa ti norske bankar, ved å bruke den same metoden som svindlarane. Vi har prøvd å opprette eit digitalt kort, i ein annan persons namn, på vår eigen mobiltelefon.
Åtte av dei ti bankane vi testa tilbaud aktiveringskode via SMS da kortet blei lagt til i ei digital lommebok.
Med kortdetaljar og aktiveringskoden, fekk NRK oppretta eit digitalt kort utan noko nærare identifisering.
I etterkant sende bankane ei ny melding om at kortet var lagt til ei digital lommebok.
Ein av dei åtte bankane, er Noregs største; DNB. Ein annan bank tilhøyrer Sparebank1-gruppa.
NRK har dokumentasjon på at både DNB-kundar og SpareBank 1-kundar har blitt svindla av det kinesiske nettverket.
– Sikkerheit er alltid i førarsetet når vi tilbyr produkt til kundane våre, men samtidig er det viktig for oss å lage enkle og tilgjengelege løysingar. Dette er ein krevjande balansegang, seier teknologidirektør Nicolai Rygh i DNB.
I møte med ei falsk nettside, er det fort gjort å tru at sikkerheitskoden til banken på tekstmelding skal brukast til å bekrefte ei betaling.
Foto: Martin Gundersen / NRKKristian Woll, fagspesialist på kortbetaling i Sparebank1, bekreftar at alle bankane deira over heile landet tilbyr tekstmelding som alternativ.
Han seier det er eit krav frå dei digitale lommebok-aktørane at banken har minst to alternativ for kundane når dei skal legge kort inn i ei digital lommebok.
Kristian Woll er fagspesialist på kortbetaling i Sparebank1.
Foto: Sparebank 1 / NRK– Vi har valt tekstmelding og identifisering gjennom mobilbank fordi det er enklare for kundar. Det tredje alternativet hadde vore å ringe kundeservice. Mange opplever det som tungvint, og fell frå, seier han.
Dei norske greinene av bankane Nordea og Skandinaviska Enskilda Banken (SEB) sender ikkje ut aktiveringskodar via tekstmelding.
Nordea meiner det ville svekt sikkerheita til kundane. Der må kundane legitimere seg via Bank-ID eller ved å ringe banken direkte.
– Det er vanskelegare for svindlarar med vår måte, seier Marte Pernille Gran Nykaas, kommunikasjonsansvarleg for svindel i Nordea.
Nordea tilbyr to val for å verifisere skipinga av eit bankkort i Apple Pay. Begge alternativa utelukkar tekstmelding.
Faksimile: Martin Gundersen / NRK- Sverige ligg litt føre Noreg
Peter Göransson, seniorrådgivar i den svenske bankforeininga, trur svindlaren x667788x kan vere inne på noko når han favoriserer norske kort.
– Eg trur Sverige ligg litt føre Noreg når det gjeld førebygging av svindel, seier Göransson.
Ifølge seniorrådgivaren handlar det i botn og grunn om korleis banken identifiserer deg som kunde.
– Det er denne prosessen svindlarane vil gripe inn i. Det er derfor viktig at bankane kan garantere at dei faktisk kommuniserer med bankkunden, og at det er dei som ønsker eit kort lagt til i digital lommebok, seier han.
Göransson viser til at bankane ikkje kan kontrollere autorisering gjennom tekstmelding slik dei kontrollerer BankID.
– Eg kan ikkje fjernstyre din BankID, kan ikkje flytte eller kopiere han. Den er direkte knytt til identiteten din. Det er ikkje det same med koden i ein SMS.
– Ikkje noko vi bruker i Sverige
NRK har spurt fleire av Sveriges største bankar om dei tilbyr tekstmelding som metode for å aktivere kort i ei digital lommebok.
Hugo Liar, presseansvarleg i svenske Nordea, skriv:
«Kodar på SMS er ikkje noko vi bruker i Sverige akkurat nå.»
Han viser til at dei bruker ulike sikkerheitsløysingar, blant anna BankID.
David Henriksson, presseansvarleg i svenske Skandinaviska Enskilda Banken (SEB), svarer at løysinga deira også bygger på kundeidentifisering med nasjonal BankID.
– Vi aksepterer ikkje SMS eller eingongskodar for tilkopling, seier han.
Ifølge Henriksson får kunden berre ei tekstmelding som bekrefting etter at kortet er lagt til i Apple Pay.
– Vi oppfordrar alle til å bruke nasjonale BankID-løysingar til å kontinuerleg styrke sikkerheita, seier han.
Swedbank opplyser at dei berre tillèt verifisering med BankID når kundar vil aktivere Apple Pay.
– Lettare å lure nokon
John-André Bjørkhaug jobbar som sikkerheitstestar for Netsecurity. Det vil seie at han testar IT-systemet for å finne svakheiter, slik at ei bedrift seinare kan forhindre hackarangrep.
– Vi føretrekker å bruke tekstmeldingar når vi gjer sikkerheitstestar fordi det er mykje enklare å lure nokon på denne måten, seier han og utdjupar:
– SMS er det som trengst færrast handlingar frå den vi skal lure. Jo færre steg det er, jo lettare er det å lure nokon. Brukarar rekk ikkje å tenke like mykje over kva som skjer.
Sikkerhetstester John André Bjørkhaug reagerer på bankene sin praksis.
Foto: Martin Gundersen / NRK
Sikkerhetstester John André Bjørkhaug reagerer på bankene sin praksis.
Foto: Martin Gundersen / NRK
Bjørkhaug reagerer på bankane sin praksis og meiner dei burde slutte heilt med tekstmeldingar.
– Når såpass mange bruker BankID, ser eg ingen god grunn til at ikkje alle kan bruke det i staden for SMS.
– Svært sikre
DNB svarer slik på kritikken:
– Når det gjeld verifiseringsmetodane våre så meiner vi dei er svært sikre, seier Nicolai Rygh.
Han fortel at DNB i tillegg har fleire sikkerheitsmekanismar, som ikkje synest utanfrå, for å oppdage mistenkelege kortregistreringar.
– Vi er kjente med svindelmetoden det blir vist til, men han har ikkje eit stort omfang. Om dette skulle endre seg vil vi raskt kunne gjere endringar.
– Ein sikkerheitstestar meiner bankane bør slutte heilt med tekstmeldingar. Bør de det?
– Mange kundar ønsker å ta i bruk kortet med ein gong. Vi har anti-svindelsystem som overvaker innrulleringar og transaksjonar, dette førebygger at løysingane blir misbrukte. Med overvakingsløysingane vi har sett på er det ein standard vi meiner er god. Den held sikkerheitsnivået.
SpareBank 1s Kristian Woll viser til at ikkje alle kundar har BankID, og at banken må ha alternativ når det er nedetid.
– Vi må heile tida vege brukarvennlegheit opp mot sikkerheit. Om vi opplever at vi har for mykje svindel på ei løysing, så kan vi deaktivere henne, seier han.
Han seier Sparebank1 har fått få førespurnader i samband med Google Pay dei siste åra. Apple Pay blei først gjort tilgjengeleg for kundane i sommar.
– Vi følger nøye med på dette og set inn tiltak for at færrast mogleg skal oppleve svindel, og dersom kundar blir utsette for svindel så tar banken det fulle ansvaret.
– Sikkerheit er essensielt
Kommunikasjonssjef i Google Noreg, Sondre Ronander, seier sikkerheit er essensielt for selskapet.
– Korleis vurderer Google sikkerheita ved bruk av tekstmelding samanlikna med andre metodar for verifisering, som app eller telefon til kundeservice, når kort skal koplast til Google Pay?
– Vi jobbar tett med kortutferdarar for å forhindre svindel. For eksempel varslar bankar kundane sine når kortet deira har blitt lagt til i ei ny digital lommebok, seier Ronander.
NRK har også sendt ein førespurnad til Apple. Den har ikkje blitt svart på.
Publisert 13.08.2025, kl. 16.27
English (US) ·