Svindeltrends – du skal være på dupperne
Vær obs på at denne nyhed er fra 2020. Svindlere finder hele tiden på nyt, så de beskrevne trends og eksempler er muligvis forældede, hvis du læser artiklen nu.
Spear phishing, recovery scam og muldyrkonti. Det er bare nogle af værktøjerne i de it-kriminelles værktøjskasse. Du skal hjælpe dine kunder med at passe på – og du skal være opmærksom på faresignalerne.
Der bliver svindlet for svimlende summer i Danmark. I 2019 løb bare netbanksvindel op i 53 mio. kr., der var investeringssvindel for omkring det samme, og ”kærlighedssvindel” løb op i 17 mio. kr.
De kriminelle udnytter tit ofrets loyalitet og tiltro til deres pengeinstitut – og det er ofte pengeinstituttet, der står tilbage med regningen.
Selvrisiko på 375 kr.
For når en kunde selv udleverer alle sine oplysninger til en svindler, er selvrisikoen som udgangspunkt på 375 kr., og det rækker jo ikke langt. Går en sag så langt som til ankenævnet, er det pengeinstituttet, der ud fra et objektivt synspunkt skal dokumentere, at kunden burde vide bedre.
Så pengeinstitutterne skal være på dupperne. Hvad er kendetegnende for de forskellige typer svindel? Hvordan lyder alarmklokkerne – og hvordan kan pengeinstitutter og myndigheder samarbejde for at stoppe svindelen?
Det gjorde kontorchef Torben Nielsen fra Finans Danmark og Fraud Specialist Jesper Andreasen fra Spar Nord os klogere på ved et FU-webinar sidst i juni.
Stå stærkt mod svindel: Det kan du gøre
- Indhent altid eSkatData, så du har økonomiske oplysninger fra en pålidelig kilde, og ikke er afhængig af oplysninger fra kunden, som kan manipuleres eller forfalskes.
- Det er en god idé at kontrollere dokumentstørrelsen. PDF-filer kan nemt manipuleres, men de fylder mere, hvis de er blevet rettet i (for eksempel bør en årsopgørelse ikke fylde mere end 15KB).
- Anmeld altid svindelsager til Landsdækkende Center for IT-relateret økonomisk Kriminalitet (LCIK), da det ofte er organiseret kriminalitet.
Gør kunderne klogere
Noget af det, man kan gøre, er hele tiden at gøre kunderne klogere og bedre til at se, når der er noget, der ikke stemmer.
Det har forskellige myndigheder sat fokus på ved en række kampagner, men målet er ikke nået endnu. Sidder du overfor en kunde, så brug enhver given lejlighed til at understrege, at man altid skal vogte sine personfølsomme oplysninger. Tre gode råd er:
- Hverken banken, Skattestyrelsen eller andre myndigheder vil nogensinde bede dig om at udlevere personfølsomme oplysninger på telefon, mail eller sms.
- Lad være med at klikke på links, når du modtager noget, du ikke regnede med.
- Husk, at NemID er strengt personligt. Du må ikke affotografere det eller låne det ud – heller ikke til familie. Og det er måske nu, du skal droppe kortet og gå over til app-løsningen.
Tre svindeltrends
It-kriminelle er innovative og finder hele tiden nye muligheder. Ifølge Torben Nielsen og Jesper Andreasen er der lige for tiden især tre typer for svindel, der trender: Investment fraud, CEO fraud og kreditbedrageri.
Investment fraud
Svindelnummeret starter typisk ved, at offeret på Facebook ser en annonce, der beskriver, hvordan en kendt person har tjent en masse penge. Annoncen er ”fake news”, og det er rimelig let at se for det trænede øje. Men falder man i, kan forløbet se sådan ud:
Man investerer 250 USD for at få adgang til en handelsplatform, som ligner en rigtig handelsplatform. Her kan man se, at de penge man har investeret, ”vokser” til flere penge. Når det ikke går så godt som ventet, og ofret mister penge, bliver vedkommende kontaktet og bedt om at foretage en overførsel til en konto (som viser sig at være en ”muldyrkonto”), eller vedkommende bliver opfordret til at optage lån (typisk kviklån). Pengene sendes til udlandet. Svindlerne tilbyder derefter en service, som hjælper ofret med at få pengene hjem igen. Det er ofte en udenlandsk advokat, som for et lille beløb vil køre en indsigelsessag – det er det man kalder recovery scam.
Sammenlagt bliver det dyrt for kunden - og banken - da pengene er væk.
CEO fraud…
… Business Email Compromise eller ganske enkelt mailbedrageri. Kært barn har mange navne og et typisk forløb ser sådan ud:
Svindleren henvender sig til den økonomiansvarlige i en virksomhed, og udgiver sig for at være direktøren, som beder om en pengeoverførsel. Det sker ofte for små foreninger. Men denne type svindel foregår også ved leverandørforhold, eller hvor svindleren skriver en mail til en HR-afdeling med instrukser om, at lønnen for medarbejder X skal indsattes i en anden bank.
Det er typisk tale om international kriminalitet med kæmpe netværk. Ofte er der kun pengespor til en udenlandsk konto, som har ageret muldyr – og penge, der sendes til udlandet, kommer sjældent retur. Dansk politi kan sende en retsanmodning til det pågældende land, som er ansvarligt for efterforskningen, men det er kun de største sager, som vil kunne begrunde en udlevering til straf og retsforfølgning.
Overførslerne skal derfor stoppes inden clearing.
Kreditbedrageri
Et konkret eksempel på denne type svindel er fra efteråret 2018, hvor et pengeinstitut oplevede forsøg på svindel ved billån.
De dokumenter, som pengeinstituttet havde modtaget, så umiddelbart legitime ud. Pengeinstituttet begyndte at modtage sager vedr. billån, hvor de havde forsøgt at tinglyse pant, som var blevet aflyst, og de kunne hellere ikke få fat i kunderne.
Det foregår typisk ved, at de kriminelle tilbyder nogen at få fjernet deres RKI-registrering ved at betale gælden. Til gengæld får de kriminelle adgang til vedkommendes identitet, som de anvender til at optage billån. Bilerne findes på bilbaser og der laves falske overdragelsesaftaler. Lånet afregnes på en konto som viser sig at være en muldyrkonto.
Det betyder, at lånet er optaget under falske forudsætninger. Låneprovenuet er udbetalt (og hævet eller videreoverført fra den konto, hvor det blev indbetalt). Debitor kan ikke spores. Pengene er væk - og banken har ikke pant i bilen.
