Betalingskortet ditt kan bli tømt før du i det heile teke oppdagar det

By /

Kriminelle kan drenere kontoen din medan kortet framleis ligg i lommeboka

Det skal berre eitt uaktsomt kjøp til, eller eitt einaste uttak i ein minibank. Kriminelle er i stand til å tømme bankkontoen din sjølv når kortet ditt fysisk ligg trygt i lommeboka di.

I fleire år har åtak mot betalingskort vore aukande – både ved minibankar og i nettbutikkar. Metodane blir stadig meir raffinerte og er ofte heilt usynlege for den vanlege brukaren. Resultatet er typisk det same: tusenvis av kroner forsvinn frå kontoen, og korthaldaren oppdagar det fyrst i etterkant.

Frå primitive påsatsar til usynlege einingar

Ekspertar innan cybersikkerheit åtvarar om at teknologiane kriminelle brukar i dag, er meir sofistikerte enn nokon gong tidlegare. Der det tidlegare handla om grove påsatsar på minibankar, brukar angriparane no miniatureiningar som er tynne som eit kredittkort, eller skadelege skript gøymde i nettsiders kode. Desse kan stele kortdataene dine på nokre få sekund, utan at du anar at noko skjer.

Forskarar frå europeiske universitet med spesialisering innan datasikkerheit har følgt utviklinga på dette området over lengre tid. Analysane deira viser at talet på kortdatatjuveri veks med titals tusen prosent kvart år. Særleg sårbare er mindre nettbutikkar som ikkje har ressursar til jamleg tryggleiksgransking av plattformene sine.

Dei fyrste formene for kortdatatjuveri handla hovudsakleg om minibankar og sjølvbeteningsautomatar – til dømes ved bensinstasjonar. Kriminelle monterte særlege påsatsar som etterlikna maskinenes originale delar. Påsatsen las data frå magnetstripa, medan eit miniatyrskamera over tastaturet tok opp den inntasta PIN-koden.

I nyare versjonar sender slike einingar opplysningane trådlaust via Bluetooth eller liknande tilkoplingar. Det betyr at tjuven ikkje treng å vende attende for sjølve apparatet – dataa strøymer jamleg til telefonen eller berbare datamaskina hans. Politiet i Noreg og naboland oppdagar jamleg grupper som er spesialiserte på denne typen kriminalitet.

Heile mekanismen byggjer på at ein vanleg person ikkje har høve til å sjå skilnaden på ein original del av ein minibank og eit presist framstilt falskt deksel. Produsentane av desse svikefulle einingane opererer ofte i organiserte internasjonale nettverk og forbetrар stadig teknikken sin. Materiala er i dag så kvalitative at sjølv røynde brukarar kan bli lurte.

Europeisk politi gjennomfører jamleg aksjonar mot organiserte grupper som er spesialiserte på denne typen tjuveri. Mønsteret er typisk det same: kompromitterte minibankar eller terminalar ved bensinstasjonar, medan uttak og kjøp vert gjennomførte i eit anna land – ofte på eit anna kontinent.

Tynnare enn papir – den nye generasjonen chip-åtak

Kort med chip har gjort enkel kopiering av magnetstripa monaleg vanskelegare. Chippen genererer ein unik kode for kvar transaksjon, så vanleg kloning av lagra data sjeldan held mål. Kriminelle har difor utvikla ei mellombels løysing: ultra-tynne modular som vert skuvne inn i kortlesaren og er usynlege utanfrå.

Desse modulane avlyttar kommunikasjonen mellom kortet og terminalen i betalingsaugneblinken. Dei innsamla dataa gjev seinare høve til å framstille falske kort med magnetstriper og bruke dei i land eller ved minibankar som framleis tillet transaksjonar i naudtilstand utan full chipverifisering. Forskarar frå universitet i Amsterdam og Zürich har skildra fleire slike tilfelle i studia sine om betalingstryggleik.

Den største fordelen for kriminelle i dag er at utstyret deira er praktisk talt usynleg for personar som brukar minibankar og terminalar. Einingane er framstilte med ein slik presisjon at det er nær sagt umogeleg å oppdage dei med det blotte auge. Stundom er dei berre nokre få millimeter tjukke og smeltar perfekt saman med bankautomatens originale design.

Eit ytterlegare problem er at eigarar av minibankar ofte ikkje veit at ei svikefull eining er installert, i veker eller månader. I den mellomliggjande perioden kan angriparane samle inn data frå hundrevis til tusenvis av kort. Fyrst når kundeklager om uautoriserte transaksjonar byrjar å hope seg opp, set operatøren i gang ei gransking.

Det nye slagfeltet – kortdatatjuveri i nettbutikkar

Ein tydeleg tendens dei siste åra er at svindel har flytta seg frå fysiske minibankar til internett. Nettbutikkar har vorte eit ideelt mål, fordi éin vellykka infeksjon gjev høve til å fange opp kortdata frå tusenvis av kundar. Nettkriminelle rettar åtaka sine særleg mot mindre netthandelsbutikkar som ikkje har team av IT-spesialistar.

Mekanismen er overraskande enkel. Angriparane injiserer eit skadeleg skript på betalingssida. Det kan bokstavleg tala vere nokre få linjer JavaScript som ikkje er synlege ved fyrste augekast. Når kunden skriv inn kortdata – nummer, utløpsdato, tresifra sikkerheitskode – sender skriptet dei hemmeleg til ein server kontrollert av angriparane.

Forskarar frå universitetet i München analyserte hundrevis av slike åtak og fann at den gjennomsnittlege tida frå ein butikk vert kompromittert til problemet vert oppdaga, er seks til åtte veker. I den perioden kan kriminelle samle inn titals tusen komplette kortopplysningar. Dataa vert seinare selde på underjordiske forum, der eit komplett sett opplysningar kostar mellom fem og femti dollar avhengig av kortets kredittgrense.

  • Angriparar kompromitterer netthandelsplattformer som vert brukte av tusenvis av butikkar på éin gong
  • Skadeleg kode maskerer seg som vanlege analyseverktøy som Google Analytics
  • Kortdata vert sende til serverar i land med lempeleg lovgjeving
  • Kriminelle testar stolne kort med små beløp før dei gjer store uttak
  • Falske kort vert seinare brukte i land med lågare tryggingsstandardar
  • Butikkar oppdagar ofte åtaket fyrst etter månader via kundeklager
  • Den gjennomsnittlege skaden per råka kunde utgjer tre til åtte tusen kroner
  • Politiet anslår at berre om lag tjue prosent av desse åtaka vert oppdaga

Åtak via leverandørar av eksterne tenester

Mange nettbutikkar nyttar ferdige netthandelsplattformer, analyse- og reklamepluginar. For kriminelle er dette ein enorm mogelegheit. I staden for å angripe éin butikk om gongen prøver dei å ta over kontrollen over leverandøren av eit slikt tilleggsprogram. Denne tilnærminga har vist seg å vere svært effektiv.

Viss det lukkast å infisere eit verktøy som vert brukt av tusenvis av nettsider, spreier den skadelege koden seg augneblinkeleg til heile nettverket av butikkar. Dei siste åra har ein dokumentert åtak der denne metoden resulterte i tjuveri av hundrevis av millionar kortnummer, mellom anna frå europeiske butikkar. Forskarar frå Queen Mary University of London har dokumentert fleire slike massive kampanjar.

Problemet er desto alvorlegare fordi mange eigarar av små netthandelsbutikkar slett ikkje veit kva kode som køyrer på sidene deira. Dei stolar på plugin- og plattformleverandørar utan å gjennomføre eigne tryggingssjekkar. Når kundedata lekk, er det sjeldan nokon som raskt kan peike ut kjelda til problemet.

Organisasjonar innan cybersikkerheit tilrår butikeigarar å revidere alle eksterne tenester jamleg. Men røyndomen er at dei fleste operatørar av mindre netthandelsbutikkar verken har tid eller ressursar til det. Det skapar dei ideelle vilkåra for ei vedvarande bølgje av åtak.

Skript gøymde i bilete og på feilsider

For å gjere oppdaging vanskelegare finn angriparane stadig meir kreative måtar å gøyme kode på. Det hender at skadelege fragment er sydd inn i sidas små ikon eller utgjev seg for å vere populære analyseverktøy. Tryggingsekspertar frå Tel Aviv-universitetet har skildra dusinvis av slike tilfelle.

Det er òg dokumentert kampanjar der angriparar diskret endra feilsida «404 – side ikkje funne». Ein slik underside vekkjer normalt ikkje mistanke hos administratorar og vert dårleg overvaka av tryggingssystem. Kunden såg eit tilsynelatande normalt betalingsskjema, og etter å ha skrive inn opplysningane var kortet allereie kopiert.

Til slutt viste det seg ei melding om ein «sesjonsfeil» som forklarte behovet for å gjenta transaksjonen. I brukarens auge var det berre ei irriterande feilmelding. I røynda kunne kortet nettopp ha enda opp i ein database som vert seld på kriminelle forum. Slike databasar inneheld ofte hundretusenvis av registreringar og vert omsette for tusenvis til hundretusenvis av euro.

Forskarar frå Cybersikkerheitsinstituttet i Tallinn følgde ein slik database i fleire månader. Dei fann at størsteparten av dei stolne korta vart brukte innan fireogtyve timar etter datatjuveriet. Kriminelle har nemleg interesse av å utnytte kortet så raskt som mogeleg, før eigaren oppdagar mistenkjelege transaksjonar og får det sperra.

Slik betaler du med kort ved minibank og terminal med mindre risiko

Sjølv om truslane høyrest skremmande ut, reduserer nokre få enkle vanar risikoen monaleg for at nokon fangar opp kortdataene dine i den fysiske verda. Ekspertar innan betalingstryggleik er samde om at førebygging er langt meir effektivt enn å løyse problem med banken i etterkant.

Bruk kontaktlause betalingar – når du ikkje treng å stikke kortet inn i lesaren, mistar dei fleste fysiske påsatsar formålet sitt. Dekk alltid tastaturet med handa når du skriv inn PIN-koden, både ved minibanken og ved kassen. Vel minibankar i bankar eller kjøpesenter framfor isolerte einingar på gata, særleg om natta.

Sjekk om delar av kappinga er lause – eit røreleg panel, framståande kabel ar eller limspor bør straks få alarmklokkene til å ringe. På bensinstasjonar bør du bruke terminalar nærast bygningen, sidan dei typisk er betre overvaka. Viss noko verkar «annleis» – kortopninga ser uvanleg ut, skjermen blinkar, eller du ser nyleg påklistra element rundt tastaturet – så la heller vere å gjennomføre transaksjonen og byt eining.

Ein annan god vane er å sjekke kvitteringa. Viss beløpet på kvitteringa ikkje stemmer med det du såg på skjermen, kan det vere eit teikn på manipulasjon. Ta straks kontakt med banken din og meld mistanken. Jo raskare du reagerer, desto større er sjansen for å blokkere vidare forsøk på misbruk.

Trygge netthandel – enkle reglar til kvardagen

Nettbutikkar er i dag eit like viktig slagfelt mot svindlarar som minibankar. Ein stor del av ansvaret kviler på butikkane sine eigne eigarar, men kundane kan òg gjere mykje frå si side. Grunnlaget er sunn fornuft og nokre tekniske tiltak.

Ei svært effektiv løysing er å ha eit separat kort utelukkande til netthandel med ei låg dag- og månadleg grense. Sjølv om dataene fell i hendene på kriminelle, tømmer dei ikkje heile kontoen din. Mange bankar tilbyr òg såkalla virtuelle kort – mellombelse eingongsnummer. Når eit kjøp er gjennomført, sluttar eit slikt nummer å fungere.

Slå på push- eller SMS-varslingar ved kvar korttransaksjon. Ei rask melding på telefonen gjev deg høve til augneblinkeleg å oppdage ei belasting du ikkje kjenner att. Reagerer du raskt, har banken større sjanse for å blokkere vidare betalingsforsøk og hjelpe med tilbakebetaling. Ver dessutan merksam på åtvaringar frå nettlesaren om farlege sider.

Under ei betaling bør det ikkje dukke opp merkelege vindauge, oppmoding til å skrive inn opplysningar på nytt, eller til å logge inn i banken via separate pop-up-vindauge. Ei kvar uventa endring i betalingsprosessen – eit ekstra vindauge, eit «merkeleg» skjema, ei atypisk melding – er eit signal om å avbryte transaksjonen og undersøke butikken nærmare. Det er betre å nøle éin gong for mykje enn éin gong for lite.

Det du bør unngå ved nettbetaling

Aldri gøym kortnummeret ditt i nettlesaren eller i butikkens app, særleg ikkje på telefonar brukte på offentlege Wi-Fi-nett. Gå aldri inn på ei betalingsside via lenkjer frå mistenkjelege SMS-meldingar eller e-postar – skriv heller inn butikkens adresse manuelt i nettlesaren. Kontroller at adressa startar med «https», og at domenenamnet ikkje inneheld stavefeil eller merkelege endingar.

Ver særleg varsam ved «tilbod av hundreåret» frå ukjende butikkar – det er ein hyppig metode for å lokke ut kortdata frå folk. Ekspertar frå Nasjonalt tryggingsorgan tilrår å ikkje handle i butikkar som ikkje tydeleg oppgjev kontaktopplysningar, verksemdsadresse og organisasjonsnummer. Fråveret av desse grunnleggjande opplysningane er eit klart åtvaringsmerke.

Ein annan risiko er falske kopiar av kjende netthandelsbutikkar. Angriparar opprettar ei nettside som ser nær identisk ut som originalen til ein populær butikk, men adressa avvik med ein eller to bokstavar. Kunden legg ofte ikkje merke til skilnaden og skriv inn betalingsopplysningane sine direkte til svindlarane. Sjekk difor alltid URL-adressa nøye før du skriv inn sensitiv informasjon.

Handlar du frå ein mobiltelefon, bør du vere ekstra varsam. Skjermen er mindre, detaljar er vanskelegare å kontrollere, og folk er typisk mindre årvakne. Likevel er nettopp mobile einingar i dag målet for eit aukande tal åtak. Bruk eit oppdatert operativsystem og installer berre appar frå dei offisielle butikkane Google Play eller App Store.

Kva nettbutikkar skal gjere – og kvifor det betyr noko for kundane

Operatørar av nettbutikkar har stadig meir detaljerte plikter knytte til vern av betalingsdata. Gjeldande tryggingsstandardar krev at butikkeigarar veit nøyaktig kva kode som køyrer på betalingssida, og frå kva eksterne kjelder ho stammar. Det er ikkje berre ei teknisk formalitet, men eit avgjerande vern for kundane.

Gode praksisar omfattar mellom anna jamleg skanning av filer for mistenkjelege skript, avgrensing av talet på eksterne pluginar og automatiske varslingar når ei fil på sida vert endra utan løyve. Slik har butikken høve til raskt å oppdage eit avvik og blokkere vidare lekkasjar, sjølv om eit brot finn stad.

Frå kundanes perspektiv er det verdt å velje merke som opent kommuniserer om tryggingstiltaka dei nyttar og systemoppdateringar. Seriøse butikkar informerer jamleg om PCI DSS-sertifikat, bruk av kryptering og andre tiltak. Viss ein butikk ikkje snakkar om tryggleik i det heile, kan det vere eit åtvaringsmerke.

Organisasjonar som Foreningen for elektronisk handel gjev ut tilrådingar om korleis butikkar bør opptre. Men kontrollen med overhaldinga av desse reglane er ofte utilstrekkeleg. Difor er det viktig at kundane sjølve er årvakne og berre handlar hos utprøvde selarar med godt omdøme.

Kvifor «usynleg» korttjuveri er så lukrativt for kriminelle

Data frå betalingskort er ei vare som vert omsett i store mengder på kriminelle forum. Avhengig av land, kredittgrense og korttype kan eit komplett sett opplysningar koste frå nokre få til dusinvis av dollar. Kjøparane brukar dei til å bestille varer, ta ut kontantar i land med svakare tryggleik, eller til svindel i nettspel og digitale tenester.

Kriminelle angrip sjeldan einskildpersonar målretta. Det handlar om omfang: eit skript i ein populær nettbutikk kan samle hundretusenvis av kortnummer på nokre få veker. Berre ein del av ein slik database vert utnytta, men fortenesta er likevel enorm. Forskarar frå Oxford-universitetet anslår at den gjennomsnittlege fortenesta frå eitt stolen kort utgjer hundre og femti til tre hundre euro.

For den vanlege brukaren vert kombinasjonen av to element avgjerande: fornuftig kortbruk og jamleg overvaking av kontoen. Sjølv om banken betalar attende dei stolne midla, kan stress og naudsynte forklaringar dra ut i veker. Dessutan betalar ikkje alle bankar automatisk attende – det kjem an på omstendigheitene og om du har overhalde tryggingsreglane.

Ein god vane er å gå gjennom transaksjonshistorikken kort kvart par dagar, helst i bankens mobilapp. Mange oppdagar dei fyrste mistenkjelege belastingane fyrst når dei tilfeldigvis støyter på eit kontoutdrag. Svindlarar «testar» ofte kortet med ubetydelege beløp før dei slår til med eit større kjøp. Ein rask reaksjon på eit slikt signal kan redde heile kontoens saldo. Det er heller ikkje ei dårleg idé å byte PIN-kode jamleg og bruke ulike kodar på ulike kort.

Author

  • En av Norges mest kjente personligheter, hun startet som treningsblogger, men utviklet seg raskt til en fullverdig livsstilsinfluenser. Hun har fire barn, så innholdet hennes er en skattekiste av tips om hvordan man sjonglerer alt fra sunn matlaging til å organisere familielivet. Hun er også programleder for sitt eget realityshow og gir ut bøker.

Relaterte innlegg

Scroll to Top