Bing Hodneland logo

Fra 1. august 2012 vil jeg være advokat på heltid som partner i Bing Hodneland.



Nye bøker


Mer >>
Flere nye bøker

Gå til "bokhandelen"

Geocaching i Norge
Amazon US
In Association with Amazon.co.uk


Previous page:

Nettsvindel og og annen svindel med betalingskort

Next page:
Previous page: Handel i åpne nett Next page: Forbrukerkjøpsloven og digitale ytelser

Nettsvindel og og annen svindel med betalingskort

Netthandel og nettsvindel øker, og vi blir stadig minnet om at vi må passe på kortnummer og annen personlig iformasjon. Men hovedproblemet er ikke at andre kan få tilgang til slik informasjon. Problemet er at den som har slik informasjon så alt for lett kan bruke denne til å få ut penger eller til å "betale" for varer og tjenester. Det er her man finner den virkelig alvorlige sikkerhetsbristen.

Netthandelen øker ?? Aftenposten melder om en dobling av netthandelen i Norden, og om vi går til Computerworld så hevder de at norske nettbutikker øker mest . ?tte av ti er fornøyd ?? fortsatt i følge Aftenposten. Bruken av kredittkort og andre betalingskort øker ?? se statistikk fra Norges Bank om du vil ha detaljer. Samtidig advares vi mot stadig nye svindelforsøk.Det hevdes at Norge er i svindeltoppen. Svindelen er internasjonal. Kredittkort utstedt i Sverige utsettes for mer svindel i Spania og Storbritannia enn i Sverige. Aftenposten har laget en oversikt over de vanligste formene for nettsvindel.

Først har vi den "gammeldagse" kortsvindelen hvor noen stjeler et kort og på en eller annen måte klarer å få tak i PIN-koden til kortet. En litt gammel artikkel fra Computerworld gir en oversikt over metoder for å skaffe seg PIN-koder. Hvis man går igjennom praksis fra Bankklagenemnda vil man finne mange slike saker.

De litt mer avanserte stjeler ikke kortet, de kopierer det. Fra den senere tid kjenner vi en del tilfeller av såkalt "skimming". Noen har installert en ekstra kortleser og et videokamera i en minibank. Da kan de lese magnetstripen på kortet og kopiere denne. Med videokameraet filmer de inntastingen av PIN-koden, og dermed kan man lage et falskt kort med tilhørende PIN-kode. Også litt mer primitive metoder synes å fungere. Det første tilfellet jeg har lest om er fra Danmark i 1999, men i artikkelen sies det at metoden da var kjent fra Tyskland. Slik svindel har senere vært rapportert i Oslo, Bergen,Trondheim, Drammen

Den svenske forfatteren Jan-Jöran Stenhagen skrev om dette allerede i 1981 i kriminalromanen Datadyrkarna (Datatyvene på norsk). Jan-Jöran Stenhagen er et pseudonym, og forfatterens egentlige identitet er fortsatt ikke avslørt. Men han har åpenbart god innsikt i det han skriver om. Teknologien hadde ikke krympet like mye i 1981 som i dag. I boken installerte svindlerne falske minibanker på dertil egnede steder, ikke kortlesere i miniatyrformat. Men konseptet var det samme.

Når bankene etter hvert innfører smartkort i stedet for dagens magnetstripekort vil risikoen for slik svindel reduseres. Det er enkelt å kopiere magnetstripen. Dataene i smartkortets mikroprosessor lar seg ikke kopiere ?? i alle fall er det mye vanskeligere. (At det er umulig å kopiere dataene er antagelig like sant som at Titanic ikke kunne synke.) Men kortene vil i lang tid være utstyrt både med magnetstripe og mikroprosessor. Først når alle land har gått over til smartkort kan man droppe magnetstripen på kort som også skal kunne brukes internasjonalt, og inntil da vil falske kort kunne brukes i de deler av verden hvor man fortsatt bruker magnetstripe. Og så lenge man i noen land baserer seg på kort med magnetstripe, vil slike kort måtte aksepteres i Norge. Jeg er i Frankrike når jeg skriver dette. Her har de gått over til smarkort. Men mine norske magnetstripekort kan brukes uten problemer.

Det er ikke noe vanskeligere å stjele et smartkort enn et magnetsripekort. Klarer man å få tak i koden, vil stjålne kort kunne brukes akkurat som dagens minibankkort. Det vil riktignok være vanskeligere å knekke koden, men det er uansett ikke mange som får tilgang til koden på den måten ?? om det i det hele tatt er noen. De fleste får tak i koden fordi folk har skrevet den ned, ved at noen ser over skuldrene når man taster koden, og tilsvarende måter. Da hjelper det ikke at kortene er "smarte".

En annen "klassiker" er at man på ulike måter forsøker å få folk til å betale dem penger mot falske løfter. De fleste av oss har fått "Nigeriabrev" hvor etterkommer etter en afrikansk statsmann, forvalter av arven etter en fjern slektning du aldri har hørt om, og tilsvarende forteller deg at de vil overføre masse penger til deg. De fleste av oss har også fått vite at vi har vunnet en stor gevinst i et lotteri vi aldri har hørt om. Du må bare hjelpe dem med noen utgifter som må betales først. I følge Gisle Hannemyrs utmerkede bok Hva er Internett? er metoden kjent fra Spania så tidlig som i1588, og går under navnet "Den spanske fangen". Også telefonselgere benytter metoden. Men e-post har gjort det mye enklere og billigere å sende ut mengder av slike henvendelser, og det må tydeligvis være tilstrekkelig mange naive og grådige sjeler til at dette lønner seg. Det er enkelt å gardere seg mot dette. Man kan bare la være å svare. Men når man ser nordmenns iver etter å kaste bort pengene sine på diverse pyramideselskaper, må man vel regne med at en del har betalt for å få "arven" eller "gevinsten" også. Hvis man bare blir lovet stor nok gevinst, ser det ut til at det er mer enn nok av folk som mister gangsynet. Svindlerne utnytter gjerne ogaå aktuelle situasjoner som tsunamien i asia eller USAs "Green Card Lottery" (arbeidstillatelser) til å lure penger fra folk.

"Salg" av ikke-eksisterende varer synes å ha fått ett oppsving ved etablering av nettauksjoner og andre salgskanaler på nettet. Heller ikke dette er noe prinsipielt nytt. Men man har nok større hemninger mot å sette inn annonser i en avis en mot å legge ut noe til salg på en nettauksjon. Ved salg mellom private er kredittkort vanligvis ikke en praktisk oppgjørsform. Så enten må man betale forskudd, eller så må man sende pr oppkrav. Man kvier seg for å betale på forskudd. På den annen side vil selger gjerne ikke ta seg bryet med å sende varen uten at han vet at han får betaling. Derfor blir forskuddsbetaling ofte valgt ?? selv om det ikke enbefales. Og noen ganger sender man penger uten at man noen gang får det man trodde man kjøpte. Oppkrav er ikke så mye bedre. Det har hendt at folk har hentet og betalt for pakken på postkontoret, for senere å oppdage at de har "kjøpt" en pent innpakket murstein. Det finnes betalingsløsninger som skal gjøre det mulig å få til sikkert oppgjør også mellom private, og man gjør klokt i å velge dem.

En ganske velkjent variant er at en angivelig jente får menn til å sende penger for at hun skal kunne kjøpe en billett slik at de kan treffes. I følge et foredrag som etterforsker Anders Ahlqvist fra den svenske Rikspolisstyrelsen holdt i 2004 foregår en ganske vanlig svindel omtrent slik: "Nina" er 15 år - i alle fall sier "hun" det. I et chatrom forteller hun at "hun er lei av gutter på sin egen alder ?? de er så kjedelige". "Nina" kommer i kontakt med Petter. Petter er 43 år og gift, men likevel klar for et eventyr. Han forteller "Nina" om at hans liv har blitt alt for mye rutine, og at han trenger noe som kan gi litt spenning. "Nina" vil gjerne treffe Petter. Men hun har ikke penger til billetten. Kan Petter hjelpe henne med det? Det kan Petter. Han sender penger, og de avtaler å møtes. Petter møter som avtalt opp på stasjonen, men ingen "Nina" dukker opp. I virkeligheten er "Nina" kanskje den 24 år gamle informatikkstudenten Fredrik, som har funnet en metode for å spe på studielånet. En veletablert og gift mann i 40-50 årene anmelder ikke en sak hvor han har blitt lurt da han forsøkte å få seg et eventyr med en 15-åring. Så risikoen er ganske liten. I Sverige, som Anders Ahlqvist tok utgangspunkt i, er det dessuten forbudt å kjøpe sex, uansett hvor gammel jenta måtte være. Så der vil Petter ha enda mindre grunn til å anmelde saken. Når norske "Rita" hadde gjort avtale med 15 danske menn som alle samtidig skulle møte henne på Hovedbanegården i København, får det hele preg av å være en practical joke. Kanskje hadde "Rita" i god tid funnet seg en utsiktsplass hvor "hun" kunne more seg over sine 15 menn. Da blir det avisoverskrifter og anmeldelser. Men det er nok unntaket.

En metode som synes å være ny, er at svindlere vil kjøpe det som annonseres. Om man skal stole på avisene, så synes særlig bilselgere å være utsatt. De avtaler å kjøpe bilen. Den sender en sjekk på et beløp som er mye større enn det som skal betales, og ber om at resten overføres til en angitt konto. Sjekken er selvfølgelig falsk. Men når selger oppdager det har de allerede overført pengene og fuglen har fløyet. Kanskje har de gitt fra seg bilen også. Også her burde det virkelig blitt bjelleklang. Ingen ærlige og fornuftige mennesker sender en sjekk på et beløp som er langt større enn det som skal betales og ber om å få det overskytende tilbake. Det skal ha vært stor økning i følge ?kokrim, og folk får plutselig mange tilbud på sine gamle biler.

Mer "klassisk" hacking i form av datainnbrudd hører vi ikke så mye om. Men hacking av et amerikansk innsamlingsselskap for korttransaksjoner førte til at bl.a. flere tusen Nordea-kunder ble berørt.

Noe av det som synes å være mest "in" for tiden er "phishing". Målet er å lure folk til å gi fra seg sitt kredittkortnummer og en del andre personlige opplysninger. Tilegnelse av denne type opplysninger blir også omtalt som ID-tyveri. Opplysninger som samles inn på denne og andre måter blir solgt over Internett og misbrukt av kriminelle ligaer. På en måte er det sterke fokuset på "phishing" et utslag av at diskusjonen er alt for teknologifokusert. Dermed blir det mye fokus på hva slags metode man bruker for å skaffe seg tilgang til slike data, og tilsvarende lite fokus på hvordan det er mulig å (mis)bruke de data man klarer å skaffe seg.

Phishing foregår ved at man setter opp et "falskt" nettsted eller sender ut en e-post med falsk avsender. Ofte har man en kombinasjon av begge deler, slik at man sender ut en e-post som skal få folk til å registrere opplysninger på en falsk nettside. Typiske e-postmeldinger er at man varsler om mistenkelige transaksjoner som gjør at man må ha noe personlige opplysninger for å gjennåpne en konto. Meldingen kan synes troverdig både i sin form og sitt innhold. Det hevdes at phishing fører til at folk svikter nettbutikker. I Norge blir slike saker sjelden anmeldt, og derfor ikke etterforsket.

Det er kjent at både Amazon og DnB NOR har vært misbrukt på denne måten. Den Internasjonale Studentfestivalen i Trondheim (ISFiT) skal ha blitt forsøkt misbrukt ved at det har blitt laget en nettside som kan forveksles med festivalens egen ?? men de er ikke sagt noe om utsendelse av e-post med referanse til denne siden. Citibank skal være en av phishernes favoritter. AOL er en annen favoritt. Men i den senere tid skal man i større grad ha gått over til å misbruke mindre kredittselskaper. Det skal visstnok være målrettede angrep mot bank, finans, helsevesen og offentlig sektor.Kanskje har dette sammenheng med at det legges mye arbeid ned i å spore fishing steder, og at det ikke er like lett å oppdage misbruk av mindre selskaper. Gjennomsnitt levetid for et phising sted skal nå være nede i 5,5 dager.

Computerworld hevder at Eurocard har den noe tvilsomme ære av å være den førse i Norden som ble misbrukt i et phising angrep. Antallet phising angrep øker raskt. I februar 2005 ble det rapportert om 13.141 ulike svindel e-poster og 2.625 phising nettsider. Det er i så fall en fordobling i forhold til oktober 2004, som igjen hevdes å representere en tredobling fra august 2004. Det hevdes at antallet økte med 50% i måneden i første halvår 2005. Fra april til mai 2005 skal økningen ha vært 226%. Det hevdes nå at hver femte internettbruker har vært utsatt for phishing ?? jeg håper ikke dette er de som bet på kroken, bare de som ble forsøkt phisket. Jeg har visse problemer med å få disse tallene til å stemme over ens. Jeg kan ikke si annet om dem enn at alle er hentet fra diverse oppslag i Computerworld.

Det sies at "phishing" stort sett stammer fra tusen pc-er som tilhører intetanende bredbåndsbrukere. Som alle fenomener på nettet så blir nok også dette hypet opp og til dels sporet av. Utsendelse av Phishing e-post skiller seg ikke fra utsendelse av annen søppelpost. Så antagelig bør man på dette punktet se på søppelpost generelt. Igjen viser jeg til Gisle Hannemyrs beskrivelse av dette.

Men hovedproblemet med phishing og lignende former for svindel er ikke at noen får tak i kortnummer m.m. Det virkelige problemet er at det er så lett å få ut penger dersom man har disse opplysningene. Det ble en gang hevdet om Jøli pengeskap at det var umulig å bryte opp eller sprenge seg gjennom døren, men at man bare trenge en boksåpner for å komme seg gjennom bakveggen. Det er ganske sikkert overdrevet. Jeg har ingen personlige erfaringer med å bryte meg inn i pengeskap, så jeg kan ikke verken verifisere eller falsifisere dette. Men man har omtrent samme tilnærming til problemet med tilgang til og misbruk av denne type opplysninger. Tiltakene rettes ikke inn mot å sikre det svakesete punktet.

Vi ser mange tiltak som går ut på å hindre at brukerne gir fra seg opplysninger. Nettleserne Opera og Internet Explorer skal begge komme med løsninger som skal bidra til dette. Så langt jeg kan forstå ut av beskrivelsen, har man valgt litt ulike løsninger, men det har mindre betydning i denne sammenhengen. Man kan også ha varslingsrutiner som skal bidra til å avdekke misbruk. Men dette er tiltak som ikke treffer det reelle problemet. Kanskje er det en kombinasjon av at teknologene liker å snakket om dette, at juristene ikke forstår det, og at bankene og kortselskapene foretrekker taushet, som gjør at man får et slikt skjevt bilde.

Problemet er at kortselskapene tillater belastninger uten at kortet er presentert og uten brukerens underskrift eller annen autentifikasjon. Jeg kan etablere et nettsted, lage en fin forside og et troverdig bestillingssystem og inngå avtale med et av de selskapene som inngår slike avtaler på vegne av kortselskapene. I Norge er dette Teller, euroConex og Nordea. Så er det bare å ta i mot ordrer og sende transaksjoner til innsamlingsselskapet. Er man først i gang, kan man også legge inn egne tansaksjoner som belastes andre, bare man har klart å phiske de nødvendige opplysningene. Det vil nok ikke gå så lenge, men lenge nok. Når det begynner å brenne under føttene på en, får man ta pengene og stikke av. Det er den samme mangelen på sikkerhet som gjør at man kan bruke stjålne kort til å handle på nettet, til nettspill, osv.

Løsningen er i alle fall i prinsippet enkel, og det er bankene og kortselskapene som sitter med nøkkelen. Man må kreve en tilstrekkelig sikker autentisering ved korttransaksjoner. Men bankene setter "servicevennlighet" foran sikkerhet. Det hevdes riktignok at norske banker er sikrere enn amerikanske, men det grunnlegende problemet er der. Enkelte setter i verk visse sikkerhetstiltak. Visa er nylig tildelt europeisk pris for sikker netthandel for sin Verified by Visa løsning. Kort fortalt fungerer det mer som en nettbankløsning, og du må taste inn et passord fra banken for å kunne gjennomføre betalingen.

Problemet er at man anbefaler denne løsningen. Man krever ikke at den benyttes. Så lenge "the bad guys" ikke behøver å velge denne løsningen, er sikkerhetshullet der. Dersom Visa sier at f.eks. i løpet av tre år skal samtlige nettbutikker ha gått over til dette, og at man etter en angitt dato ikke vil kunne gjennomføre en transaksjon uten at enten kortet er blitt presentert og det foreligger underskrift eller er brukt PIN, eller man bruker Verified by Visa, da har man en løsning. Det vil utelukke en del transaksjoner vi har i dag. Verified by Visa vil ikke kunne brukes ved telefonsalg, da man i en slik situasjon ikke kan oppgi sitt passord. Ved gammeldags postordre vil man heller ikke kunne bruke denne løsningen. Det vil sikkert også være en del brukersteder og kortkunder som vil falle fra hvis et slikt krav innføres. Men dette er en omkostning som man må være villig til å ta dersom man ønsker sikker betaling.

Da MasterCard og Visa for noen år siden ville introdusere Secure Electronic Transaction SET lære man ?? forhåpentligvis ?? noen lekser. Den ene er at man ikke skal rulle ut en teknologi før man har gjennomtestede og brukervennlige applikasjoner. SET ble en historie om negative brukeropplevelser. Legg til at et system som man frivillig kan velge å ta i bruk, men som gjør transaksjonene tyngre uten å gi noen av brukerne klare fordeler, er dømt til å mislykkes. Egentlig burde de ha visst dette før de forsøkte å lansere systemet. Resultatet er at systemet i dag er helt dødt. Den beskrivelsen av systemet som jeg litt tilfeldig har valgt å lenke til er ikke oppdatert siden 2002. Ved søk på nettsidene vil Visa finner jeg ett dokument som inneholder en referanse til SET, også det fra2002. Hos MasterCard finner jeg ikke noe. Så dette bekrefter at systemet har avgått ved døden.

Det er også lansert andre løsninger, f.eks. kontantkort for netthandel. Problemet er at det ikke er min netthandel som først og fremst representerer en risiko for meg. Det er andres muligheter til å misbruke mine kortdata som er trusselen. Hvis noen får tak i slike data fra restauranter, bilutleie, hoteller, kiosken eller andre steder, så kan disse data misbrukes uansett hvor forsiktig jeg selv måtte være når jeg surfer på nettet.

Jeg har tidligere, nærmere bestemt i 1999, kritisert Visa for å tale med to tunger når de på den ene side oppfordrer til forsiktighet (den gang frarådet de sine kunder å bruker kortet på nettet), samtidig som de aksepterte usikre transaksjoner. Dessverre har grunnlaget for den kritikken ikke falt bort i løpet av de seks årene som har gått siden den gang.

Når slike saker blir slått opp i media, fremstilles det ofte som om det er vi som kortkunder som blir lurt. Så er heldigvis ikke tilfellet. Vi blir brukt i svindelen, men det er banken eller kortselskapet som blir lurt, ikke kunden. Om noen skulle få en bank til å betale ut penger fordi de påstår at jeg har handlet på nettet, så er det i utgangspunktet bankens problem. De kan ikke belaste meg for oppdiktede transaksjoner, og de må kunne dokumentere at jeg faktisk har kjøpt det de påstår. At man har fått tak i navnet, et kortnummer og en dato, beviser i den sammenhengen ingen ting. Bankene synes å være innforstått med at dette er deres, og ikke kundens problem. Men det kan synes som om journalister kan har mer tungt for det.

Det kan tenkes at jeg som kortkunde har opptrådt på en slik måte at jeg gjennom mine handlinger har muliggjort svindelen, f.eks. ved å skrive PIN-koden på en lapp som jeg oppbevarer sammen med kortet. I så fall er det snakk om et erstatningsansvar for det tap som banken eller kortselskapet påføres. Akkurat det siste er nyanser som de fleste ikke ser noen grunn til å bry seg med ?? 8.000 kroner er 8.000 kroner, uansett hva slags merkelapp man setter på pengene.

Selv om det i utgangspunktet ikke er mitt problem hvis mine kortdata blir misbrukt, så kan det bli det i praksis. Det jeg liker aller minst er at debetkort også kan benyttes uten at kortet er fremlagt eller transaksjonen at transaksjonen er autentisert på annen betryggende måte. Det betyr at man kan hente penger ut fra min konto. Det er helt enkelt uforsvarlig og uakseptabelt, og burde ikke ha vært tillatt.

Mitt skrekkscenario er at jeg står i butikken lørdag formiddag med full handlevogn med mat til kveldens middagsselskap. I kassa får man beskjeden "kontakt banken", og transaksjonen avvises. Som følge av en eller annen feil har kontoen min uberettiget blitt belastet for et betydelig beløp, og er overtrukket. At banken den påfølgende mandag beklager det inntrufne og umiddelbart tilbakefører beløpet, redder ikke mitt middagsselskap. Vi har nylig sett eksempler på at slike hendelser ikke behøver å skyldes svindel, "bare" at man ved feil belaster 25.700 kr for kinobilletter til Harry Potter eller 17.000 kr for å se Pitbullterje.

Man bør kunne si at banken opptrer uaktsomt når den tillater belastning av en konto på en slik måte og at de kan bli erstatnigsansvarlig. Men i praksis vil det ofte være vanskelig å påvise et økonomisk tap. Er man i utlandet og plutselig står uten penger fordi banken har utilstrekkelige kontroller, så er nok erstatning mer nærliggende.

Selv forsøker jeg så langt jeg kan å unngå å bruke mitt Visa-kort, som er et debetkort, annet enn ved uttak av kontanter på minibanker i utlandet. Systemets mangelfulle sikkerhet er den viktigste grunnen til denne forsiktigheten. Dagens mangelnde sikkerhet gjør debetkort som brukes uten autentisering, f.eks. PIN, til en uforsvarlig ordning. For alle innkjøp vil jeg ha muligheten til å kunne kontrollere regningen før min konto blir belastet. Når konto belastes uten autentisering av transaksjonen, burde man kreve at kunden er minst like godt sikret som ved "Autogiro" og tilsvarende ordninger, hvor det etter finansavtaleloven § 26(5) kreves at kunden skal varsles minst syv dager før belastning finner sted. Da kunne man i alle fall gjort det mindre sannsynlig at svindel rammer kunden.

Man skal selvfølgelig være forsiktig med hvordan man behandler opplysninger som man vet kan misbrukes. Men mitt viktigste råd såvel ved netthandel som ved en rekke andre transaksjoner er: Bruk kredittkort, ikke debetkort.

Noen bøker om E-handel


More >>
Digitale sertifikater og sertifikattjenester
Roller, oppgaver og ansvar : en tillitsorientert tilnærming til sertifikatutstederens villedningsansvar. Boka henvender seg først og fremst til jurister, men kan også være relevant for IT-konsulenter og andre som arbeider med informasjonssikkerhet og løsninger for elektronisk signatur og identitetsforvaltning.
RefNr: 9788245005899
Bestill fra:
Bokkilden

More >>
Elektronisk forvaltning i Norden
Praksis, lovgivning og rettslige utfordringer. I denne boken drøfter artikkelforfatterne utvalgte problemstillinger med relevans for alle forvaltningsorganer som vil omstille virksomheten ved hjelp av informasjons- og kommunikasjonsteknologi.
RefNr: 9788245005547
Bestill fra:
Bokkilden

Gå hit for full oversikt over bøker om E-handel.


Previous page: Previous page: Handel i åpne nettNext page: Forbrukerkjøpsloven og digitale ytelser Next page:

Previous page: Previous page: Handel i åpne nett