Kortsvindel er en type svindel hvor et falskt, stjålet eller kopiert kreditt- eller debetkort blir brukt til å kjøpe varer og tjenester. Kortsvindel er en form for kriminalitet som i stor grad blir utført av profesjonelle og organiserte kriminelle grupper, og som har økt i omfang de siste årene. Svindlerne bruker mange forskjellige metoder for å tilegne seg kortinformasjon. Metodene varierer fra simpelt lommetyveri til bruk av avanserte datasystemer og hacking. I Norge har problemene med kortsvindel økt kraftig mellom 2014 og 2018.[1]

Kredittkort

Forskjellige typer kortsvindel

rediger

Stjålne kort

rediger

Hvis et kort blir stjålet, kan tyven bruke kortet til å handle varer og tjenester med inntil det blir sperret. Hvis kortet er et rent kredittkort, trenger brukeren som regel ikke å taste PIN-koden ved varekjøp, men må legitimere seg. Det er registrert flere tilfeller hvor butikkinnehavere er med på svindelen og med vilje har akseptert stjålne kort.

Hvis det stjålne kortet er et debetkort, er det som regel knyttet til et nasjonalt betalingssystem (BankAxept i Norge), og et internasjonalt betalingssystem som Visa eller MasterCard. Siden de fleste butikker i Norge er knyttet opp mot BankAxept-systemet, må man bruke PIN-koden ved kjøp. Det er derfor mye vanligere at stjålne debetkort blir misbrukt på internett og på brukersteder som kun har avtale med de internasjonale betalingssystemene.

Denne typen kortsvindel er mest vanlig blant småkriminelle som stjeler en lommebok eller finner ett kort for å så bruke det til å betale for drosjer og parkering. Siden det krever mye energi, og siden de fleste kort blir sperret kun kort tid etter tyveriet, er denne metoden ikke veldig utbredt blant de organiserte svindlerne.

Phishing

rediger
 
Eksempel på hva phishing er.

Utdypende artikkel: Phishing

Phishing er et uttrykk som brukes om forsøk på å lure kortinformasjon fra kortholder. Dette er en utbredt metode for å tilegne seg kortinformasjon. En vanlig form for phishing er gjennom e-post. Svindlerne sender ut e-post til flere tusen adresser om gangen hvor avsender tilsynelatende er en bank eller kortutsteder. Disse e-postene inneholder som regel logoer fra banker og lenker til sider som er svært like bankene sine i utseende og i URL. I e-posten står det at kortinformasjonen til mottaker er tapt, og at man må legge inn sine kortdetaljer for at kortet skal fungere. Siden disse e-postene og de falske internettsidene er veldig lik bankene eller kortselskapene sine, er det mange som legger inn kortinformasjonen i god tro. Svindlerne bruker så denne informasjonen til å handle på internett eller til å trykke opp falske kort.

En annen vanlig form for phishing er over telefon. Vanlig metode her er å fortelle kortholder at vedkommende har vunnet en premie, og at de kun trenger et kortnummer for å kunne kreditere premien eller verifisere kortholders identitet. Det har også vært tilfeller hvor svindlerne ringer opp en person og utgir seg for å være fra politiet eller fra banken, for å så be om kortinformasjon.

Skimming

rediger

Utdypende artikkel: Skimming

En avansert metode for skimming kan foregå i minibanker ved at svindlerne fester en liten kortleser som kopierer kortinformasjonen, over kortleseren i minibanken. Denne type innretning kan være sofistikerte og vanskelige å oppdage. Trådløs skimming betyr at man med en NFC-leser kan lese og stjele kortopplysninger trådløst. Mange mobiltelefoner har i dag innebygde NFC-lesere, og det er også NFC-lesere som kobles til datamaskinen via USB. Metoden brukes for å stjele kortopplysninger til kontaktløse betalingskort. Kortopplysningene på kontaktløse kort er ukrypterte, noe som gjør at en svindler kan lese kortopplysningene selv om kortet ikke forlater offerets lommebok. Avlesningsavstanden er opptil én meter.[2]

Identitetstyveri

rediger

Utdypende artikkel: Identitetstyveri

Et stadig økende problem er kortmisbruk i etterkant av identitetstyveri. Denne typen svindel skjer når svindleren får tak i en annens persons personnummer og bruker dette til sin vinning. Vanlig metode er å omadressere post og bestille kredittkort i den fornærmedes navn. Siden svindleren da får det nye kredittkortet sendt til en adresse svindleren har oppgitt, får vedkommende også tilsendt PIN-koden. Svindleren tapper kortet på kort tid gjennom kontantuttak og varekjøp, mens fakturaen blir utstedt i den fornærmedes navn.

Datainnbrudd

rediger

Det finnes mange firmaer som fungerer som innløsere av korttransaksjoner. Disse firmaene sitter derfor på store mengder kortinformasjon og blir utsatt for elektroniske angrep. Selv om det er strenge regler for oppbevaring av kortinformasjonen, har det vært noen vellykkede datainnbrudd. I disse tilfellene har kortinformasjonen til flere tusen kortholdere kommet på avveie.

Svindlere benytter seg også av sofistikerte dataprogram som automatisk genererer kortnummer og tester dem ved å gjennomføre mindre kjøp på internett. Hvis programmet får godkjent ett kjøp, betyr det at det har funnet en gyldig kombinasjon av kortnummer og utløpsdato. Denne informasjonen brukes så til å handle på internett.

Libanesisk slynge

rediger

En libanesisk slynge er en enkel anordning som føres inn i åpningen i minibanken der man setter inn kortet. Slyngen er lagd slik at kortet setter seg fast i minibanken. Svindlerne oppholder seg gjerne i nærheten av minibanken de har montert slyngen i, og venter på at en person skal bruke den. Når kortet setter seg fast, går de opp til minibanken for å hjelpe kortholderen. De gir vedkommende tips om å taste inn PIN-koden for å få ut kortet. Når dette ikke fungerer forlater gjerne kortholderen minibanken. Svindlerne drar da ut slyngen med kortet og misbruker det før kortholder får sperret det.

Kortsikkerhet

rediger

PIN-koden

rediger

PIN står for Personal Identification Number og er en firesifret kode som brukes til å identifisere kortholder. Siden koden ikke er lagret i kortet, er det ikke mulig å tilegne seg den hvis kortet blir kopiert. Informasjonen som blir sendt fra terminalen og til kortselskapet under en transaksjon, er kryptert slik at PIN-koden ikke kan fanges opp i transaksjonsgangen. Det er av denne grunn det har blitt vanlig for svindlere å montere kamera over minibanken for å filme inntastingen av koden.

I Norge må man taste PIN-koden når man handler gjennom BankAxept-systemet eller tar ut penger i en minibank. Ved rene kredittkorttransaksjoner trenger man vanligvis ikke å taste koden. Gjennom implementeringen av chip-kort må man også taste PIN-koden ved rene kredittkorttransaksjoner i Norge og i utlandet.

CVV/CVC2

rediger
 
CVC2 koden

CVV/CVC2 er noen av betegnelsene for et krypteringssystem hos Visa og MasterCard. Disse systemene brukes til å verifisere at det ikke er en kopi av kortet som brukes til netthandel. Ved handel på internett blir man ofte bedt om å legge inn denne koden, som er de tre siste sifrene i signaturfeltet. Disse sifrene inngår da som en del av en krypteringsnøkkel. Siden denne informasjonen kun er skrevet på baksiden av kortet, er det vanskelig å kopiere den, noe som minker faren for misbruk.

Chip-kort

rediger

Chip-kort er en ny fysisk enhet på betalingskortene. De fleste norske banker utsteder nå kun chip-kort til kundene sine. Fordelen med chip-kort er at mye ekstra informasjon kan lagres på kortet på en mye tryggere måte enn i magnetstripen. Når man betaler med chip-kort i en terminal som kan ta imot det, må man også bruke PIN-koden, uavhengig av hvilket land man oppholder seg i. Denne typen kort innføres nå internasjonalt, men det vil ta mange år før alle gamle kort er ute av systemet og alle terminalene kan ta imot denne typen kort. Derfor vil alle kort også produseres med magnetstripe i mange år fremover.

Antiskimming-utstyr

rediger

Det er ingen måte for kortbrukere å beskytte seg mot skimming når svindlere har montert leserutstyr i en minibank. Det finnes et slags beskyttelseskort som stopper trådløs skimming. Dette beskyttelseskortet inneholder en støysender som forstyrrer skimmingsutstyr og forhindrer kortlesing. Det finnes også spesielle lommebøker av metall som blokkerer kommunikasjonen mellom kontaktløs betalingskort og leseren. Antiskimming-utstyr er sensorer og programvare som installeres i minibanker for å oppdage om skimmingutstyr monteres. Utstyret fungerer slik at minibanken slår seg av hvis noen prøver å manipulere den. Antiskimming-utstyr blir nå montert på de fleste norske minibanker.

Overvåking og etterforskning

rediger

De fleste banker og kortselskaper har avdelinger som overvåker kortsvindel. Disse avdelingene jobber med systemer som fanger opp uregelmessig og mistenkelig bruk av kortene. Det er vanlig at svindlerne tester kortene de har kopiert, før de misbruker dem. Disse testene er som regel små kjøp på internett eller donasjoner til veldedige organisasjoner. Formålet med testen er å se om kortet fremdeles er aktivt.

Når en som overvåker kortsvindel, observerer en test eller annen tydelig misbruk, som for eksempel handel i to forskjellige byer samtidig, kan operatøren gjennomføre tapsreduserende tiltak. Dette kan være å fryse disponibel saldo inntil man har hørt med kortholder om vedkommende vedkjenner seg transaksjonene, eller å sperre kortet med en gang.

De fleste avdelinger som jobber med kortsvindel, har også analytikere som jobber med å identifisere trender, metoder og faresoner i forbindelse med kortsvindel. Disse avdelingene jobber tett sammen og med politiet. I Norge er det Kripos og Økokrim som jobber opp mot svindlerligaene, og har ansvaret for å etterforske og påtale forbryterne.

Referanser

rediger
  1. ^ «EVOLUTION OF CARD FRAUD IN EUROPE». EVOLUTION OF CARD FRAUD IN EUROPE (på engelsk). Besøkt 3. september 2018. 
  2. ^ O. Jägemar, Rufus (26. april 2017). «Så kan tjuven skimma ditt nya bankkort» (på svensk). Besøkt 9. januar 2020. 

Eksterne lenker

rediger