LUKRATIVT: Brukernavn og passord til én enkelt Facebook-konto er ikke verd mer enn 40 kroner på det illegale markedet. Men mange tusen av dem blir det fort penger for kriminelle. Foto: Ole Petter Baugerød Stokke
LUKRATIVT: Brukernavn og passord til én enkelt Facebook-konto er ikke verd mer enn 40 kroner på det illegale markedet. Men mange tusen av dem blir det fort penger for kriminelle. Foto: Ole Petter Baugerød StokkeVis mer

Svindel på nett

Så mye er opplysninger om deg verd for kriminelle

Se hva bandittene betaler for Facebook, bankkonto og passnummer.

Svindelforsøk på nettet har nå blitt så vanlig at det knapt noen av oss som opplever en eneste dag uten at vi får en lure-mail.

Gjennom e-poster og falske nettsider prøver kriminelle å lure fra oss sensitive personopplysninger. Klarer de det, selges opplysningene videre gjennom illegale nettverk som kan minne om nettbutikker.

Prislister over stjålet informasjon

På disse «nettbutikkene» finnes det priser som gir en pekepinn om hva kriminelle kan være villige til å gi for en Facebook-konto, et passnummer eller innloggingsinformasjon til e-post og betaling.

Prisene varierer. For det er nemlig ingen selvfølge at opplysningene kan brukes direkte til å få tak i pengene til eieren. Ofte er det snakk om flere biter i et puslespill som til slutt kan ende med ID-tyveri.

Men noe er opplagt mer verd enn andre ting. Øverst troner PayPal med høyeste pris per konto, mens for eksempel tilgang til Facebook koster langt mindre.

PÅ AVVEIE: Du kan risikere å tape penger dersom innloggings- eller kortinformasjon kommer ut på den illegale «børsen» , sier Mats Authen i Norsis. Foto: Norsis
PÅ AVVEIE: Du kan risikere å tape penger dersom innloggings- eller kortinformasjon kommer ut på den illegale «børsen» , sier Mats Authen i Norsis. Foto: Norsis Vis mer

Våpen, narkotika og innlogging

Det finnes flere «svarte» markeder der personopplysninger som er stjålet fra intetanende nettbrukere ligger ute til salg. På disse markedene omsettes ifølge politiet også våpen, narkotika og andre ulovlige produkter.

Det britiske forbrukernettstedet Which? publiserte denne uka en fersk prisliste hentet fra Dark Web Market Place Index 2018.

Vi ba rådgiver Mats Authen hos Norsk Intstitutt for Informasjonssikring (NorSIS) til å kommentere hver enkelt punkt på lista.

Svarene hans finner du under. Prisene er regnet om fra britiske pund til norske kroner etter gjeldende kurs. Det er snakk om stykkpriser, så selv om prisen for hver enkelt passord er beskjeden, kan beløpene bli betydelige når man tenker på at det selges lister med tusenvis av brukerkontoer.

TRONER ØVERST: PayPal er det gjeveste en nettbanditt kan få tak i, skal vi tro prisstatistikken fra det mørke nettet. Foto: Skjermdump
TRONER ØVERST: PayPal er det gjeveste en nettbanditt kan få tak i, skal vi tro prisstatistikken fra det mørke nettet. Foto: Skjermdump Vis mer

1) PayPal brukernavn og passord. Pris: 3.003 kroner

– Har du tilgang til noens PayPal-konto, kan du bestille varer og tjenester i svært mange nettbutikker. I mange av dem kan du velge hvor varen kan sendes, så her ligger det mulighet til kjøpe varer i ditt navn og få sendte dem enten hjem til seg selv eller via en såkalt muldyradresse – en person du enten betaler eller lurer til å være mottaker.

– Ikke alle butikker krever legitimasjon for å hente pakker. Dermed er det enkelt for den som har bestilt og betalt varer med din Paypal-konto å plukke opp varene selv.

– Med digitale varer er det enda enklere. Har man tilgang til PayPal-kontoen, kan man også få tilgang til e-postkontoen dersom passordet er det samme. Dermed har man tilgang til all informasjon som sendes dit.

EKSTRA SIKKERHET: Bekreftelse via mobilkode har gjort det vanskeligere å bruke bankopplysninger til svindel. Foto: Shutterstock/NTB Scanpix
EKSTRA SIKKERHET: Bekreftelse via mobilkode har gjort det vanskeligere å bruke bankopplysninger til svindel. Foto: Shutterstock/NTB Scanpix Vis mer

2) Nettbank-opplysninger. Pris: 1.737 kroner

– Norske bankkunder er ganske godt sikret gjennom BankID. Tyven må i tillegg til bankopplysningene også ha tilgang til din mobil eller kodebrikke, og det gjør jo tyveri av penger på kontoen vanskelig.

– Men personnummeret, som er første steg i innloggingen, kan være verdifullt i andre sammenhenger. Vi har sett at man kan både kan ta opp lån, bestille mobilabonnement og begå ID-tyveri dersom man har tilgang på dette.

LÅNTE PENGER: Kriminelle som sitter på kortnummer, utløpsdato og sikerhetskode har mange muligheter med kredittkort. Foto: Ti_ser/Shutterstock/NTB scanpix
LÅNTE PENGER: Kriminelle som sitter på kortnummer, utløpsdato og sikerhetskode har mange muligheter med kredittkort. Foto: Ti_ser/Shutterstock/NTB scanpix Vis mer

3) Kredittkort-data. Pris: 606 kroner

– Har du både kortnummer, utløpsdato og den tresifrede sikkerhetskoden, kan du i praksis handle overalt. Mange nettbutikker krever BankID, men det gjelder slett ikke alle.

– Kryptovaluta, som ofte er det foretrukne betalingsmiddelet for nettkriminelle, kan enkelt kjøpes med stjålet kortinformasjon.

BEVIS PÅ IDENTITET: Kommer et bilde av førerkortet ditt på avveie, kan det misbrukes av kriminelle. Foto: NTB Scanpix
BEVIS PÅ IDENTITET: Kommer et bilde av førerkortet ditt på avveie, kan det misbrukes av kriminelle. Foto: NTB Scanpix Vis mer

4) Opplysninger om ID-kort. Pris: 495 kroner

– Ofte ber nettbutikker og andre om en kopi av førerkort eller annet ID-kort for å bekrefte hvem du er. Derfor kan det være nyttig for kriminelle å ha tilgang til et slikt kort. Man kan i noen tilfeller også greie å få seg et falskt pass ved å benytte en falsk ID som er laget på grunnlag av slike opplysninger.

VERDIFULLT: Passet er det viktigste dokumentet du har. Derfor er det viktig at informasjonen som står i det ikke kommer i hendene på uvedkommende. Foto: Kristin Sørdal
VERDIFULLT: Passet er det viktigste dokumentet du har. Derfor er det viktig at informasjonen som står i det ikke kommer i hendene på uvedkommende. Foto: Kristin Sørdal Vis mer

5) Pass-opplysninger. Pris: 427 kroner

– Jeg vet det finnes et marked både for fysiske pass og for informasjon som passnummer, utstedelsessted og liknende. Men dette har nok politiet mer kompetanse på enn meg.

KJØP I DITT NAVN: Kriminelle som har fått tak i brukernavn og passord til din eBay-konto kan endre adressen og få varen sendt til seg selv. Foto: Tore Neset
KJØP I DITT NAVN: Kriminelle som har fått tak i brukernavn og passord til din eBay-konto kan endre adressen og få varen sendt til seg selv. Foto: Tore Neset Vis mer

6) eBay, brukernavn og passord. Pris: 281 kroner

– Her ligger ofte kredittkortet lagret. Samtidig er det mulig å endre mottakeradresse. Dermed er det enkelt for en kriminell som har tilgang til brukernavn og passord å handle i ditt navn blant tusenvis av varer som ligger på denne enorme markedsplassen.

FLERE STEG: En Apple-konto er ikke så lett å kapre lenger. Derfor er prisen på brukeropplysninger beskjeden. Foto: Pål Joakim Pollen
FLERE STEG: En Apple-konto er ikke så lett å kapre lenger. Derfor er prisen på brukeropplysninger beskjeden. Foto: Pål Joakim Pollen Vis mer

7) Apple-konto, brukernavn og passord. Pris: 117 kroner

– Har du tilgang til en Apple-konto kan du i visse tilfeller skaffe deg variert grad av kontroll over Apple-produkter som eieren har.

Også skylagringstjenestene til Apple, som for eksempel bilder og videoer, vil vedkommende kunne få tilgang til.

Nå skal det sies at Apple har blitt flinkere til å kreve flerlagsidentifisering med kode på mobil eller annen enhet, så det er nok ikke så lett lenger. Det tilhører også en e-postkonto med Apple-kontoer, denne vil da også vedkommende få tilgang på.

RETT FRA KONTO: Vanlige bankkort er ikke så interessante som kredittkort for kriminelle. Foto: Tore Neset
RETT FRA KONTO: Vanlige bankkort er ikke så interessante som kredittkort for kriminelle. Foto: Tore Neset Vis mer

8) Data fra vanlig bankkort (debetkort). Pris: 67 kroner

– Ofte står personnummeret ditt på kortet. Dermed kan dette være et problem dersom kortet er avfotografert.

– Ellers er jo slike kort knyttet opp mot bankkonto direkte, og det er jo ikke sikkert det står så mye penger der. Kredittkort er mye mer lukrativt, siden det ofte er snakk om lånte penger med en vid beløpsgrense.

FACEBOOK: Det er ikke allverden en kriminell kan få gjort ved å skaffe seg tilgang til din Facebook-konto. Foto: Ole Petter Baugerød Stokke
FACEBOOK: Det er ikke allverden en kriminell kan få gjort ved å skaffe seg tilgang til din Facebook-konto. Foto: Ole Petter Baugerød Stokke Vis mer

9) Facebook-konto, brukernavn og passord. Pris: 40 kroner

– Uvedkommende kan skaffe seg seg tilgang til vennelisten din, og dermed prøve å svindle vennene dine. Å stjele private bilder og video er jo også mulig. Men å svindle deg direkte for penger vil nok kreve en god del arbeid, så det er kanskje ikke så rart at Facebook-kontoer er billige.

FLINKERE: Google og andre har innført mer sikkerhet de siste årene. Det er dermed ikke så lett å misbruke e-postkontoer. Men skjer det, kan konsekvensene for deg bli alvorlige. Foto: Pål Joakim Pollen
FLINKERE: Google og andre har innført mer sikkerhet de siste årene. Det er dermed ikke så lett å misbruke e-postkontoer. Men skjer det, kan konsekvensene for deg bli alvorlige. Foto: Pål Joakim Pollen Vis mer

10) E-postkonto, brukernavn og passord. Pris (gjennomsnitt): 32 kroner

– Her er det stor variasjon. Noen tilbyr 2-trinns bekreftelse, da kreves det at du bekrefter med mobilkode hver gang det logges inn fra en ny enhet. Jeg kjenner ikke hver enkelt tjeneste i detalj, men jeg går ut fra at mange fortsatt lar deg logge inn uten ekstra sikkerhet.

– Når man har tilgang til en e-postkonto vil man kunne stjele informasjon som ligger i sendte og mottatte e-poster, samt misbruke kontoen til å sende ut spam og e-postsvindel. Ofte kan også tilgang på en e-postkonto brukes for å få tilgang til andre av eierens brukerkontoer, ved å benytte «glemt passord»-metoden.

Slik beskytter du deg

Hvordan unngår man så å havne på en slik luguber prisliste? Det viktigste er å holde seg oppdatert om svindlernes metoder, slik at du ikke gir fra deg informasjon til folk som absolutt ikke bør ha den.

– Det finnes mange muligheter til å få fatt i kontoopplysninger. Phishing er svært utbredt. Det vil si at du får en e-post som ser ut til å komme fra Netflix eller et annet selskap du kjenner og kanskje er kunde hos, forklarer Authen.

– Du blir bedt om å gå inn med brukernavn og passord på en side som er helt lik ut den du kjenner. Da er det gjort – de kriminelle snapper opp opplysningene. Kanskje ikke til eget bruk, dette er som vi ser et marked der det selges i stort.

«Skimming» er også en mye brukt teknikk.

– Det foregår ved at betalingskort eller ID-kort avfotograferes eller skannes, og opplysningene på kortet blir solgt videre.

En tredje måte er å bryte seg inn på servere med store kundedatabaser.

– Dette har vi sett flere eksempler på tidligere, og det skjer fortsatt. Slike databaser selges så til kriminelle som ønsker å bruke opplysningene til å kontakte brukerne med tanke på svindel, eller ta over andre brukerkontoer hvor eieren har brukt samme kombinasjon av e-post og passord, sier Mats Authen.