Kortsvindel

Fra Wikipedia, den frie encyklopedi
Hopp til navigering Hopp til søk
Kredittkort

Kortsvindel er en type svindel hvor et falskt, stjålet eller kopiert kreditt- eller debetkort blir brukt til å kjøpe varer og tjenester. Kortsvindel er en form for kriminalitet, som i stor grad blir utført av profesjonelle og organiserte kriminelle grupper og som har økt i omfang de siste årene. Svindlerne bruker mange forskjellige metoder for å tilegne seg kortinformasjon. Metodene varierer fra simpelt lommetyveri til bruk av avanserte datasystemer og hacking. I Norge har problemene med kortsvindel økt kraftig mellom 2014 og 2018.[1]

Forskjellige typer kortsvindel[rediger | rediger kilde]

Stjålne kort[rediger | rediger kilde]

Hvis et kort blir stjålet, kan tyven bruke kortet til å handle varer og tjenester med, inntil det blir sperret. Hvis kortet er et rent kredittkort trenger brukeren som regel ikke å taste [pin-kode]n ved varekjøp, men må derimot legitimere seg. Det er registrert flere tilfeller hvor butikkinnehavere er med på svindelen og med vilje har akseptert stjålne kort.

Hvis det stjålne kortet er et debetkort, er det som regel knyttet til et nasjonalt betalingssystem (BankAxept i Norge), og et internasjonalt betalingssystem som Visa eller MasterCard. Siden de fleste butikker i Norge er knyttet opp mot BankAxept systemet, må man bruke pin-koden ved kjøp. Det er derfor mye vanligere at stjålne debetkort blir misbrukt på brukersteder som kun har avtale med de internasjonale betalingssystemene og på internett.

Denne typen kortsvindel er mest vanlig blant småkriminelle som stjeler en lommebok eller finner ett kort, for å så bruke det til å betale for drosjer og parkering. Siden det krever mye energi og siden de fleste kort blir sperret kun kort tid etter tyveriet, er denne metoden ikke veldig utbredt blant de organiserte svindlerne.

Phishing[rediger | rediger kilde]

Eksempel på hva phishing er.

Utdypende artikkel: Phishing

Phishing er et begrep som brukes om forsøk på å lure kortinformasjon ut av kortholder. Dette har blitt en vanlig metode for å tilegne seg kortinformasjon. En vanlig form for phishing er gjennom e-post. Svindlerne sender ut e-post til flere tusen adresser om gangen hvor avsender tilsynelatende er en bank eller kortutsteder. Disse e-postene inneholder som regel logoer fra banker og lenker til sider som er svært like bankene sine i utseende og i url. I e-posten står det av kortinformasjonen til mottaker er tapt og at man må legge inn sine kortdetaljer for at kortet skal fungere. Siden disse e-postene og falske internettsidene er veldig lik bankene eller kortselskapene sine, er det mange som legger inn kortinformasjonen i god tro. Svindlerne bruker så denne informasjonen til å handle på internett eller til å trykke opp falske kort.

En annen vanlig form for phishing er over telefon. Vanlig metode her er å fortelle kortholder at han har vunnet en premie og at de kun trenger et kortnummer for å kunne kreditere premien eller verifisere kortholders identitet. Det har også vært tilfeller hvor svindlerne ringer opp en person og utgir seg for å ringe fra politiet eller fra banken, for å så be om kortinformasjon.

Skimming[rediger | rediger kilde]

Utdypende artikkel: Skimming

En avansert metode av skimming kan foregå i minibanker ved at svindlerne fester en liten kortleser som kopierer kortinformasjonen over kortleseren i minibanken. Denne type innretninger kan være meget sofistikerte og kan være veldig vanskelig å oppdage. Trådløs skimming betyr at man med en NFC-leser kan lese og stjele kortopplysninger trådløst. Mange mobiltelefoner har i dag innebygde NFC-lesere, og det er også NFC-lesere som kobles til datamaskinen via USB. Metoden brukes for å stjele kortopplysninger til kontaktløse betalingskort. Kortopplysningene på kontaktløse kort er ukrypterte, noe som gjør at en svindlere kan lese kortopplysningene, selv om kortet ikke forlater offerets lommebok. Avlesningsavstanden er opptil én meter.[trenger referanse]

Identitetstyveri[rediger | rediger kilde]

Utdypende artikkel: Identitetstyveri

Et stadig økende problem er kortmisbruk i etterkant av identitetstyveri. Denne typen svindel skjer når svindleren får tak i en annens persons personnummer, og bruker dette til sin vinning. Vanlig metode er å omadressere post og bestille kredittkort i den fornærmedes navn. Siden svindleren da får det nye kredittkortet sendt til en adresse han har oppgitt, får han også tilsendt pin-koden. Svindleren tapper kortet på veldig kort tid gjennom kontantuttak og varekjøp, mens fakturaen blir utstedt i den fornærmedes navn.

Datainnbrudd[rediger | rediger kilde]

Det finnes mange firmaer som fungerer som innløsere av korttransaksjoner. Disse firmaene sitter derfor på store mengder kortinformasjon og blir stadig vekk utsatt for elektroniske angrep. Selv om det er veldig strenge regler for oppbevaring av kortinformasjonen, har det vært noen vellykkede datainnbrudd. I disse tilfellene har kortinformasjonen til flere tusen kortholdere kommet på avveie.

Svindlere benytter seg også av sofistikerte dataprogrammer som automatisk genererer kortnummer og tester dem ved å gjennomføre mindre kjøp på internett. Hvis programmet får godkjent ett kjøp, betyr det at det har funnet en gyldig kombinasjon mellom kortnummer og utløpsdato. Denne informasjonen brukes så til å handle på internett.

Libanesisk slynge[rediger | rediger kilde]

En libanesisk slynge er en simpel anordning som føres inn i åpningen i minibanken der man setter inn kortet. Slyngen er lagd slik at kortet setter seg fast i minibanken. Svindlerne oppholder seg gjerne i nærheten av minibanken de har montert slyngen i og venter på at en person skal bruke den. Når kortet da setter seg fast, går de opp til minibanken for å hjelpe kortholderen. De gir vedkommende gjerne tips om å taste inn pin-koden for å få ut kortet. Når dette ikke fungerer forlater gjerne kortholderen minibanken. Svindlerne drar da ut slyngen med kortet og misbruker det før kortholder får sperret det.

Kortsikkerhet[rediger | rediger kilde]

Pin-koden[rediger | rediger kilde]

Pin står for Personal Identification Number og er en firesifret kode, som brukes til å identifisere kortholder. Siden koden ikke er lagret i kortet er det ikke mulig å tilegne seg den hvis kortet blir kopiert. Informasjonen som blir sendt fra terminalen og til kortselskapet under en transaksjon, er kryptert slik at pin-koden ikke kan fanges opp i transaksjonsgangen. Det er av denne grunn det har blitt vanlig for svindlere å montere kamera over minibanken for å filme inntastingen av koden.

I Norge må man taste pin-koden når man handler gjennom BankAxept systemet eller når man tar ut penger i en minibank. Ved rene kredittkorttransaksjoner trenger man vanligvis ikke å taste koden. Gjennom implementeringen av chipkort, må man også taste pin-koden ved rene kredittkorttransaksjoner i Norge og i utlandet.

CVV/CVC2[rediger | rediger kilde]

CVC2 koden

CVV/CVC2 er noen av betegnelsene for et krypteringssystem hos Visa og MasterCard. Disse systemene brukes til å verifisere at det ikke er en kopi av kortet som brukes til netthandel. Ved handel på internett blir man ofte bedt om å legge inn denne kode, som er de tre siste sifrene i signaturfeltet. Disse sifrene inngår da som en del av en krypteringsnøkkel. Siden denne informasjonen kun er skrevet på baksiden av kortet er det veldig vanskelig å kopiere den, noe som minker faren for misbruk.

Chip-kort[rediger | rediger kilde]

Chip-kort er en ny fysisk enhet på betalingskortene. De fleste norske banker utsteder nå kun chip-kort til kundene sine. Fordelen med chip-kort er at mye ekstra informasjon kan lagres på kortet på en mye tryggere måte enn i magnetstripen. Når man betaler med chip-kort i en terminal som kan ta imot det må man også bruke pin-koden, uavhengig av hvilket land man oppholder seg i. Denne typen kort innføres nå internasjonalt, men det vil ta mange år før alle gamle kort er ute av systemet og før alle terminalene kan ta imot denne typen kort. Derfor vil alle kort også produseres med magnetstripe i mange år fremover.

Anti-skimming utstyr[rediger | rediger kilde]

Kort med chip

Det er ingen måte for kortbrukere å beskytte seg mot skimming når svindlere har montert leserutstyr i en minibank. Det er et slags beskyttelseskort som stopper trådløs skimming. Dette beskyttelseskortet inneholder en støysender som forstyrrer skimmingsutstyr og forhindrer kortlesing. Det finnes også spesielle lommebøker av metall som blokkerer kommunikasjonen mellom kontaktløs betalingskort og leseren. Anti-skimming utstyr er sensorer og programvare som installeres i minibanker for å oppdage om skimmingutstyr monteres. Utstyret fungerer slik at minibanken slår seg av hvis noen prøver å manipulere den. Anti-skimmingutstyr blir nå montert på de fleste norske minibanker.

Overvåking og etterforskning[rediger | rediger kilde]

De fleste banker og kortselskaper har avdelinger som overvåker kortsvindel. Disse avdelingene jobber med systemer som fanger opp uregelmessig og mistenkelig bruk av kortene. Det er vanlig at svindlerne tester kortene de har kopiert før de misbruker det. Disse testene er som regel små kjøp på internett eller donasjoner til veldedige organisasjoner. Formålet med testen er å se om kortet fremdeles er aktivt.

Når en som overvåker kortsvindel observerer en test eller annen tydelig misbruk, som for eksempel handel i to forskjellige byer samtidig, kan operatøren foreta flere tapsreduserende tiltak. Dette kan være å fryse disponibel saldo inntil man har hørt med kortholder om han vedkjenner seg transaksjonene, eller man kan sperre kortet med en gang.

De fleste avdelinger som jobber med kortsvindel har også analytikere som jobber med å identifisere trender, metoder og faresoner i forbindelse med kortsvindel. Disse avdelingene jobber tett sammen med hverandre og politiet. I Norge er det Kripos og Økokrim som jobber opp mot svindlerligaene og har ansvaret for å etterforske og påtale forbryterne.

Referanser[rediger | rediger kilde]

  1. ^ «EVOLUTION OF CARD FRAUD IN EUROPE». EVOLUTION OF CARD FRAUD IN EUROPE (engelsk). Besøkt 3. september 2018. 

Eksterne lenker[rediger | rediger kilde]