De seneste par måneder har man i Danmark oplevet en ny type svindel. For første gang har hackere rekrutteret danskere til at bedrive telefonsvindel, voice phishing. De har oprettet en dansk kundeservice-afdeling til deres ulovlige aktiviteter.
Danskerne udgiver sig ofte for at være fra Microsofts tekniske afdeling. De er langt mere troværdige og succesfulde i deres svindelnumre, da de taler flydende dansk, hvorimod mange af de opkald, hvor en person ringer og taler gebrokkent engelsk, mislykkes. Det fortæller Peter Kruse, der er medstifter af sikkerhedsfirmaet CSIS Security, som har undersøgt den danske telefonsvindel.
Samtidig får de kriminelle danskere ofte overbevist borgerne om, at de skal bruge alle informationer fra deres kreditkort, når de skal betale for at installere et sikkerhedsprogram, der skal hjælpe dem af med en virus på deres computer.
»De får hevet alle informationerne ud af folk: kortnummer, cvr-nummer, udløbsdato. Det er et stort problem, da det betyder, at misbruget ikke stopper her. Andre former for svindel kan nemt forekomme, især da det bliver overdraget til mennesker med så lav moral,« siger Peter Kruse.
Svindlen har mulighed for at fortsætte lang tid efter, for de kriminelle kan gemme kortoplysningerne og bruge dem senere eller sælge dem videre. Dankortmisbrug er allerede en millionindustri i Danmark. Tal fra Nets viser, at det samlede misbrug for dankort på nettet i 2016 lå på 55,3 mio. kr. Det er en voksende forretning, for der er sket mere end en fordobling fra 2014, hvor misbruget lå på 20 mio. kr., til 2016.
Bankerne har også bemærket en stigning i omfang af denne type af svindel på bankkontiene, bekræfter Torben Nielsen, der er kontorchef i bankernes interesseorganisation Finans Danmark.
Bankerne efterforsker ikke selv denne it-kriminalitet, men der er et beredskab mellem bankerne, så de kan alarmere hinanden.
Selv om mange når at gennemskue svindlen og ringer til deres bank, lykkes ca. 20 pct. af alle forsøgene på telefonsvindel i Danmark, oplyser Finans Danmark.
Bankernes interesseorganisation har dog kun registreret 192 forsøg på lokke penge ud af folk gennem mails eller telefonopkald de første tre måneder af 2017, og det har givet bankerne et samlet tab på 1 mio. kr. fra januar til marts.
»Samlet set er det et acceptabelt niveau, og forhåbentlig er det et tegn på, at bankerne sammen med kunderne er blevet bedre til at spænde ben for de kriminelle. Men vi ved også, at antallet af forsøg har det med at stige i løbet af året, så det er endnu for tidligt at ånde lettet op,« udtaler Michael Busk-Jepsen, digitaliseringsdirektør i Finans Danmark, i en pressemeddelelse.
Nets advarer også på deres hjemmeside om phishing, der også er en stigende misbrugstrend, hvor svindlere forsøger at lokke kreditkortinformationer ud af borgeren gennem mails. Men den nye voice phishing i Danmark kan få tallene for dankortmisbrug til at stige endnu hurtigere og styrke andre kriminelles foretagende, fortæller Leif Jensen, der er nordisk direktør i det internationale sikkerhedsfirma Kaspersky.
»Jeg tror bestemt, at dansk voice phishing kan få tallene for misbrug på nettet til at stige. Når en flink ung dansk mand eller pige ringer op, kan det være langt sværere at gennemskue, at det her er svindel. Og der kan også gå lang tid, før man finder ud af, at det er et svindelnummer,« fortæller Leif Jensen.
I fjor var der et samlet tab på 7,2 mio. kr. i Danmark, hvor borgere blev lokket til at afgive eller indtaste bankoplysninger til kriminelle på baggrund af falske mails, sms’er eller telefonopkald. Det oplyser bankernes interesseorganisation Finans Danmark.
Selv om det er et relativt nyt fænomen i Danmark, så har voice phishing længe være noget, man har kæmpet med i udlandet. Voice phishing har eksisteret i mindst 10 år, eller mindst lige så længe som folk har kunne handle på internettet, fortæller Leif Jensen.
Ifølge Kaspersky-direktøren er udviklingen i denne type svindel skredet hastigt frem, da de kriminelle har haft behov for at udvikle nye metoder, når de ikke har haft succes med eksempelvis at få borgere til at reagere på mails med links og vedhæftede filer, der indeholder malware.
Det er langt billigere for de kriminelle at kaste et stort net ved at sende tusindvis af mails. Men den dyre løsning, hvor de ansætter lokale borgere til at hjælpe dem med at svindle i det pågældende land, kan i flere tilfælde vise sig at være en god forretning for de kriminelle, bekræfter sikkerhedsfirmaerne Kaspersky og CSIS Security.
Truslen er endnu ikke noget, der har givet genklang i hele it-branchen i Danmark. Thomas Lund-Sørensen, der er chef for forsvarsministeriets Center for Cybersikkerhed, fortæller, at han aldrig har hørt om fænomenet voice phishing.
Det er heller ikke noget, som Claus Elnegaard, partner i Trustbox, der udvikler software til at beskytte følsom data, har oplevet hos sine kunder, der består af mindre virksomheder og private. Men han er bekymret for udviklingen.
»Hackere tjener ikke nødvendigvis lige så meget på ransomware, hvor de ofte opkræver løsesummen i cryptovalutaen bitcoin. Men ved at snyde offeret til at benytte en serviceafdeling, hvor det ligner en lovlig måde at afregne på, vil de sikkert kunne få endnu flere penge op af lommen på os. Det er et kæmpe problem, at der er så stort et marked for svindel, hvor de udnytter frygten hos deres ofre,« siger Claus Elnegaard.
Voice Phishing er ifølge branchekilder ikke noget, der vil give samme brag af en effekt som f.eks. virussen WannaCry, der hærgede i 150 lande. Men derimod er det en gruppe kriminelle, der har mulighed for at udvide deres forretning stille og rolig, og hive kæmpesummer ind på kontoen med list, svindel og løgne, lyder vurderingen.
»Det er uden tvivl noget, der vil blomstre op og blive endnu større, især fordi det er en mulighed for hurtige penge. Den her type svindel kan vokse sig stor, fordi vi alle er forbundet gennem smartphones og computere, som vi bruger så meget. Vi kan nærmest ikke slippe adgangen til internettet,« siger Peter Kruse.
Peter Kruse fra CSIS Security er ikke i tvivl om, at for at komme den galopperende trussel til livs, så skal de kriminelle vide, hvad der venter dem, hvis de begår denne kriminalitet.
»Der skal laves nogle anholdelser, det er det eneste, der stopper de her mennesker, for det er kriminelt, det de laver. Og så må vi bruge mere tid på at uddanne folk, særligt ældre og nydanskere, skal vi bruge kræfter på at nå ud til, så de er bevidste om truslen,« siger Peter Kruse.
De kriminelle danskere kan, hvis de bliver taget i bedraget, få op til ét år og seks måneders fængsel ifølge straffelovens § 285. Selv hvis det ikke lykkes den kriminelle at narre borgeren, kan den kriminelle stadig blive straffet. Politiet fortæller også, at de har intention om at stoppe dem, der begår telefonsvindel.
»Bedrageri via telefon er en udbredt kriminalitetsform. Der er fængsel i strafferammen, og politi og anklagemyndighed kan og vil forfølge den type kriminalitet. Der er mange spændende veje at gå inden for it-verdenen, og jeg kan kun advare svage sjæle mod at vælge den kriminelle,« udtaler Sonny Olesen, politikommissær i Rigspolitiets Nationale Cyber Crime Centers (NC3), i et skriftligt svar til Finans.
Men selv om politiet ønsker at forfølge denne type kriminalitet, advarer flere sikkerhedsfirmaer om, at det ikke er helt nemt at spore. Politiet har heller ikke ressourcerne, der skal til for at kunne gøre alvor af truslen, hvis man skal tro Kim Aarenstrup, der er chef for NC3.
Han fortalte til dette års Cybercrime konference i maj, at der ud af 10.000 politifolk kun er omkring 100, der har kompetencerne til effektivt at efterforske truslerne fra it-kriminelle.
»De anmeldte angreb er steget voldsomt. Det er en kæmpe udfordring for os, når der er ekstremt mange sager. Det er stadig sværere at identificere hackere, og vi har behov for flere med kompetencer, der kan efterforske angreb,« sagde Kim Aarenstrup til Cybercrime konferencen.
Behovet for at finde en løsning mod de voksende trusler fra it-kriminelle har vokset sig så stort, at Forbrugerrådet Tænk lancerede en app, der kaldes »Mit Digitale Selvforsvar«, i april. App’en har til formål at sende advarsler ud til brugerne, når der er en ny type fup, svindel og afpresning på nettet.
Men selv om app’en har registreret udenlandske svindelopkald, har der endnu ikke været nogen advarsler om den danske kundeservice, fortæller Leif Jensen, nordisk direktør i Kaspersky.