Forrige uke så vi på Apples nye betalingsløsning gjennom NFC.
Her slo ekspertene fast at NFC aldri kan bli like sikkert som chip- og PIN-systemet. Denne uken skal vi se på mer tradisjonelle former for betalingssvindel. og kartlegge hvilke metoder som er utbredt i dag.
For å finne ut av dette besøkte vi skimminggruppen ved Oslo sentrum politistasjon.
Gruppen ble opprettet i 2009 som et svar på økende skimmingkriminalitet på Østlandet, ofte begått av rumenske og bulgarske gjenger.
Les også: Java-fri nettbankløsning blir klar denne måneden
Cashtrap
Kontantfellen er kanskje den enkleste teknikken av dem alle. En list med et klebrende materiale festes oppå uttaksporten for kontantene.
Når en minibankkunde forsøker å ta ut kontanter, vil denne fange opp disse.
Når kunden forlater stedet henter svindleren listen med de påklistrede kontantene.
– Dette er en veldig enkel måte å få raske penger på, men beløpet svindleren sitter igjen med vil variere. Noen kan ta ut flere tusen kroner, mens andre bare trenger en 200-lapp, forklarer Inger Johanne Neset.
Les også: Til neste år kan du måtte bytte bluray-spilleren
Minibank- og bensinstasjonskimming
Svindlerne lager en plastinnretning som festes oppå inngangsporten i en minibank eller betalingsautomat.
Inne i innretningen ligger gjerne en enkel magnetstripeleser, et lite batteri og en flashdisk som lagrer kortinformasjonen din.
Plastinnretningene kommer i en rekke varianter og farger som er spesialtilpasset utseende på automaten de festes på. De blir stadig mer sofistikerte.
– Gjennom 3D-printing har det blitt enklere å lage deksler til ulike typer automater. Disse kan være umulige for brukerne å få øye på, påpeker politibetjenten.
I tillegg til å lese av kortinformasjonen, benytter tyvene seg av flere metoder for å fange opp PIN-koden til det aktuelle kortet.
Den ene måten er å filme tastetrykkene med et skjult kamera. Dette kan for eksempel være en del av plastinnretningen.
Politiet har også beslaglagt falske tastaturer som plasseres oppå det opprinnelige tastaturet og fanger opp tastetrykk.
Den kopierte magnetstripen kan enkelt overføres til et nytt kort, og sammen med pinkoden kan det benyttes til å betale med i utlandet.
På grunn av bedre sikkerhet i minibankene er det gjerne betalingsterminalene på bensinstasjoner som rammes av svindelen i dag, opplyser politiet.
Utpressing på nett: Slik er dataskurkenes nye metode
Ghost terminals
Spøkelsesterminaler er håndholdte terminaler som ikke er koblet opp mot et betalingssystem, men som har til hensikt å kopiere magnetstripen på kortet ditt.
Disse har ofte blitt brukt i situasjoner der selgeren mottar kundens kort og bruker det bak disken - spesielt i drosjer og gatekjøkken, ifølge skimminggruppa.
Flere av disse forsøkene har vist seg vanskelig å oppklare for politiet, da det ikke finnes en transaksjon å spore svindelen til. Svindlerne slår gjerne til mot fulle mennesker i helgene.
Når kontoen tappes flere måneder senere er det ekstra vanskelig for ofrene å huske hvor de har kjøpt noe, og hvordan gjerningsmannen så ut.
– Produktet du tror du kjøper får du egentlig gratis. Hvis man våkner opp en søndag og allerede er sjokkert over å ha brukt 1000 kroner på byen, legger man gjerne ikke merke til taxituren eller kebaben du fikk helt gratis, sier en politibetjent i skimminggruppa.
Han ønsker ikke å offentliggjøre navnet sitt av hensyn til arbeidets natur.
Falske terminaler
Terminaler kan også modifiseres til å kopiere magnetstripen på brukernes kort samtidig som de fungerer som en vanlig betalingsterminal. Fordelen med disse er at de vil virke normale for kunden, og svindleren trenger ikke å ta kortet bak en kasse for å skjule kopieringen.
Likevel har skimminggruppen sett lite til spøkelsesterminalen de siste årene. Dersom flere kunder er svindlet har det nemlig vist seg enkelt å spore opp transaksjoner til samme sted.
Husket å oppdatere Gmail-passordet? – Millioner av Google-passord på avveie
Cardtrap
I likhet med kontantfellen fungerer kortfellen også mekanisk. En innretning festes oppå kortinngangen.
En enkel mekanisme sørger for at kortet glir inn, men ikke kommer ut igjen. På denne måten kan svindleren hente kortet etter at kunden har forlatt stedet og tappe kontoen for penger.
– Man trenger ikke en PIN-kode for å få utbytte av kortinformasjon. Man kan for eksempel benytte seg av kortet i reserveløsning, hvor man kun trenger å skrive ned en underskrift, påpeker politibetjenten.
I utgangspunktet skal selgere sjekke at ansikt og signatur samsvarer med kortet, men dette blir ofte ikke gjort, sier etterforskeren. På denne måten kan svindlere kjøpe varer med kortet. Det finnes også tilfeller der frekke svindlere har tatt ut rene kontanter med stjålne kort gjennom å oppsøke bank-i-butikk-løsninger og utgi seg for å være korteier.
– Vi hadde en episode der en mann hadde skaffet stjålne bankkort og fikk tatt ut penger i butikk. Mannen hadde bandasjert hele hodet sitt og var umulig å identifisere for kundebehandleren, forklarer Inger Johanne Neset.
Les også: Slik fungerer NFC og mobilbetaling
Andre løsninger
I teorien finnes det en rekke andre måter å innhente betalingsinformasjon på, men skimminggruppa peker på de overnevnte som noen av de vanligste i Norge. I tillegg stammer en stor andel av kortinformasjonen som selges på nettet fra datainnbrudd - hacking.
Skimminggruppa har enda ikke sett tilfeller i Norge der chipper på bankkortet har blitt kopiert, eller hvor trådløse signaler fra håndholdte terminaler har blitt fanget opp. Men det kan bli en problemstilling i fremtiden, skal vi tro politibetjentene.
– De som har kunnskap om dekryptering av trådløse signaler er gjerne ikke de samme som benytter seg av skimming i dag. Det er stort sett utenlandske bander eller rusmisbrukere som trenger penger kjapt dette dreier seg om. Så lenge svindlerne kan operere med langt enklere metoder i dag tviler jeg på at vi vil se så mye av chip- eller trådløs svindel med det første. Men det er bare et spørsmål om tid, forklarer politibetjenten.
Se flere beslag skimminggruppen har gjort i bildeserien i toppen av artikkelen.
Les også:
«Angre»-app lar deg slette meldinger du har sendt
TUs lesere har talt: Dette er de mest irriterende programmene