Phishing:

Lurt av Apple-svindel - slipper å betale

De to nordmennene har gitt bort kortopplysninger og bekreftet med Bank-ID til svindlerne. Likevel må banken må dekke hele tapet.

LURT AV APPLE-PHISHING: I to relativt like saker, slipper nordmenn som har gått fem på en svindel-e-post fra det som ser ut som Apple, å betale egenandelen på opptil 12.000 kroner. Foto: Pål Joakim Pollen
LURT AV APPLE-PHISHING: I to relativt like saker, slipper nordmenn som har gått fem på en svindel-e-post fra det som ser ut som Apple, å betale egenandelen på opptil 12.000 kroner. Foto: Pål Joakim Pollen Vis mer

E-poster fra svindlere har dukket opp i utallige varianter de siste årene, fra det som tilsynelatende er alt fra Skatteetaten og Netflix til PostNord og Ikea.

Også Apple har blitt brukt til slike svindelformål, og noen av disse e-postene har vi i Dinside omtalt som farlig lik originale e-poster fra teknologiselskapet.

Flere av dem som blir lurt av slike henvendelser har blitt nødt til å ta deler av regninga selv.

Nå har derimot Finansklagenemnda gjort to relativt like vedtak, der de som er blitt lurt slipper å betale egenandelen på opptil 12.000 kroner.

Ikke grovt uaksomt av kundene

Bankene som har utstedt bankkortene til de to personene dette gjelder, mener kundene har opptrådt grovt uaktsomt i de to sakene, og mener derfor kundene må dekke egenandelen på opptil 12.000 kroner, slik Finansavtaleloven slår fast.

Dermed har kundene klaget dette inn til Finansklagenemnda, hvor flertallet i nemnda derimot mener de to personene som har latt seg lure av Apple-phishing ikke har opptrådt grovt uaktsomt, og dermed heller ikke er ansvarlige for egenandelen.

  • I den første saken har en person mottatt en e-post som fremsto som om den kom fra Apple. Han fulgte en lenke for å avbestille en tjeneste som han angivelig skulle ha blitt belastet for. Klager la inn kortnummer og CVC-kode slik han ble bedt om i e-posten og legitimerte seg med Bank ID med kodebrikke og passord. Klager hadde ikke mistanke om at den var falsk, da e-posten så svært ekte ut, og han hadde kjøpt tjenester av og registrert kontoopplysningene hos Apple tidligere. Klagers samboer informerte klager om at iCloud mest sannsynlig ble lagt til automatisk ved at han handlet hos Apple. Klager reagerte dermed ikke på opplysningen om at han var blitt belastet for denne tjenesten. Klager hadde nettopp fått nytt kredittkort og reagerte heller ikke på at han måtte legge inn kortopplysningene på nytt. Flertallet er kommet til at klageren må gis medhold og ikke er ansvarlig for en egenandel på 12.000 kroner.

  • I den andre saken hadde personen tidligere mottatt e-post fra Apple, hvor han har et medlemskap, og hadde derfor ikke mistanke om at e-posten var falsk. Han skal også ha jobbet med innstillinger på telefonen i forkant av henvendelsen, og av den grunn ikke syntes det var unaturlig at han mottok en e-post fra Apple. Klager ble informert om at han hadde bestilt ekstra lagringsplass på mobiltelefonen til 599 kroner, og ble bedt om å følge en lenke for å avbestille tjenesten. Etter å ha tastet på lenken la klager inn kortnummeret og CVC-koden til sitt Mastercard og legitimerte seg med BankID. Kontoen ble belastet med 9.821 kroner, men klager bestrider å stå ansvarlig for beløpet da han mener at han var i god tro. Flertallet i Finansklagenemnda mener han ikke har opptrådt grovt uaktsomt, og at han dermed har krav på tilbakeføring av det belastede beløpet fra banken, nærmere bestemt 9.821 kroner.

Måtte bruke BankID

Noe av årsaken til Finansklagenemndas vurdering er at det i begge tilfeller er brukt BankID, og viser blant annet til en tidligere sak der man har påpekt følgende:

«Norsk BankID som innloggingsverktøy tilbys til mange private og offentlige aktører, og dette gjør det mindre påfallende og mistenkelig å bli anmodet om å logge inn med BankID på forskjellige nettsider. Det heter videre at utbredelsen av BankID til innlogging utenfor banksektoren kan påvirke vurderingen av skyld ved tasting av sikkerhetsdata for BankID på falske nettsider, og at nemnda er kjent med at enkelte offentlige aktører som benytter BankID til innlogging, sender e-post med lenke til mottakere av meldinger med anmodning om å klikke på lenken for innlogging på nettsiden.

Slik praksis er egnet til å skape inntrykk av at det er trygt å klikke på lenke og oppgi innloggingsdata på den nettsiden som man da kommer til, noe som kan påvirke vurderingen av skyld».