Snyder med NemID og falske SMS’er: It-kriminelle har sigtekornet rettet mod ældre kvinder

Svindlen med danskernes personlige oplysninger på nettet eskalerer i disse år.

I 2018 stjal it-kriminelle 14 mio. kr. fra danskernes netbanker, mens tallet sidste år var tredoblet til over 52 mio. kr. I alt blev op mod 20.000 danskere udsat for misbrug af personoplysninger, og ifølge brancheforeningen Finans Danmark blev der i 2019 registreret 1.452 forsøg på netbankssvindel. Størstedelen involverede NemID-svindel.

»Svindlen foregår typisk via telefonen,« forklarer Michael Busk-Jepsen, digitaliseringsdirektør hos Finans Danmark.

Han uddyber, at svindlerne typisk bilder godtroende danskere ind, at opkaldet kommer fra banken, Nets, Microsoft, politiet, Datatilsynet eller lignende. Forklaringen lyder ofte, at borgeren er ved at blive bestjålet, og at de kan hjælpe. Men i stedet for hjælp tømmer de ofrenes konti.

»Svindlerne vil på et tidspunkt bede offeret om at få NemID-oplysninger. Ellers vil svindlerne ikke kunne hjælpe offeret, siger de. Og hvis så offeret falder i og udleverer sine koder, så misbruger svindleren koderne til for eksempel at overføre penge til sig selv,« siger Michael Busk-Jepsen.

Pas på phishing og smishing

Hos virksomheden CSIS Group beskæftiger stifter og sikkerhedsekspert Peter Kruse sig dagligt med at bremse de mange it-angreb. Han mener, at der er flere årsager til, at svindlen med danskernes digitale oplysninger boomer i øjeblikket.

»Dels har kriminelle gennemskuet svaghederne i NemID, og dels har tidspunktet for at gennemføre angreb været opportunt,« siger Peter Kruse.

Han påpeger, at en anden form for it-svindel kaldet ”smishing” har udbredt sig markant, efter at Danmark og omverdenen lukkede ned på grund af coronakrisen.

»Fænomenet har været kendt i flere år, men har taget alvorlig fart, i takt med at mange mennesker nu arbejder hjemme,« forklarer sikkerhedseksperten.

Smishing er uønskede SMS’er med et link til en hjemmeside.

»De kriminelle misbruger blandt andet Sundhedsstyrelsen som fluepapir og forsøger systematisk at fiske brugernavne og passwords ud af naive NemID-brugere,« siger han.

En anden udbredt form for it-svindel er phishing, hvor de kriminelle sender e-mails ud til vilkårlige modtagere og foregiver at være for eksempel NETS eller Danske Bank.

»Med den pågældende e-mail er der inkluderet et link, som peger på en kopi af eksempelvis NemID-loginsiden, og her skal offeret så lokkes til at logge ind. Derved mister de brugernavn og password. Udenlandske it-kriminelle har fintunet denne metode i de senere år, blandt andet fordi robotoversættelser efterhånden er så gode, at det kan være svært at opdage svindelnummeret.«

»Med både smishing- og phishing-angrebene forsøger de kriminelle at få en kopi af NemID-nøglekortet, som skal uploades til den forfalskede webside,« siger Peter Kruse.

Går efter ældre personer

Michael Busk-Jepsen fra Finans Danmark er enig i, at de kriminelle efterhånden har fundet ud af, at det kan betale sig at svindle med NemID.

»De ved, at denne type svindel virker, og så sætter de det i system,« siger han.

Han fremhæver en sag fra Efterforskning Øst, hvor seks personer er tiltalt for at narre NemID-oplysninger ud af især ældre kvinder i ikke færre end 680 tilfælde.

»Selv om de fleste borgere har hørt og forstået, at man ikke må udlevere sine koder, så er der alligevel mange, der falder i fælden over telefonen, når de bliver kontaktet af snu og overbevisende svindlere,« konstaterer Michael Busk-Jepsen.

Hvilke målgrupper er særlig udsat?

»Alle skal være opmærksomme på denne type svindel. Derfor er det også altid en god idé, at man følger med i posteringerne på ens bankkonto, så alt er, som det skal være. I 2019 har vi især set, at de kriminelle er gået efter kvinder med navne, der er typisk for den ældre generation. Det hænger måske sammen med, at de kriminelle har en erfaring med, at der i denne gruppe er flere, der lader sig overtale til at udlevere for eksempel deres NemID-nøglekoder,« siger han

Den samme opfattelse finder man hos Peter Kruse fra CSIS Group.

»Vi ser personer over 57 år som værende de mest tilbøjelige til at falde i phishing- og smishing-fælderne, mens malware og datatyve rammer langt mere bredt. Det kan være et resultat af manglende cyber-awareness, og at den ældre målgruppe simpelthen er blevet tvunget ud i digitaliseringen uden at være vokset op med dens mange skyggesider,« forklarer han.

Bedre forståelse af it-svindel

Hvis problemet skal stoppes, er det ifølge Peter Kruse fortsat vigtigt, at befolkningen oplyses og advares og i det hele taget opnår bedre forståelse for konsekvenserne af disse angreb fra it-kriminelle.

»Vi har i de seneste 10 år set en markant stigning i cyberkriminalitet, og den udvikling vil fortsætte. De kriminelle har nemt ved at bevæge sig fra den fysiske verden og ind i cyberspace. Her møder man ikke sit offer ansigt til ansigt, man kan sidde langt væk, og lovens lange arm rækker ikke ind i alle lande, hvorfra denne svindel udføres,« siger han og fortsætter:

»Vi bør således klæde den mest udsatte gruppe bedre på og hjælpe dem med bedre indsigtsfuld vejledning. Man skal også lære ikke at bruge personlige logins – og specielt ikke NemID og kreditkortoplysninger – på offentlige steder, herunder biblioteker og netcaféer.«

Michael Busk-Jepsen mener, det er afgørende, at politiet har fokus på at fange de it-kriminelle. Sagen om den rejste tiltale for de 680 tilfælde af bedrageri er et godt eksempel herpå, forklarer han:

»Og bankerne skal naturligvis også gøre, hvad de kan. Bankerne har muligheder for at lave forskellige tekniske foranstaltninger. For eksempel at sætte en lavere grænse for hvor meget man kan overføre via sin netbank. Det kan medvirke til, at de kriminelle bliver bremset i at tømme ofrenes konti. Men ulempen er samtidig, at den almindelige bruger risikerer at blive bremset i sine dagligdags transaktioner, hvilket selvfølgelig kan opleves irriterende.«