Hva vet svindlerne om deg?
De siste dagene har det vært flere nyhetsartikler og bloggposter om såkalt dumpster diving. Det vil si kriminelle som saumfarer søppeldunker og papircontainere etter brev og papirer med personlig og sensitiv informasjon.
Nyhetsartiklene beskriver godt hvordan de kriminelle kan benytte informasjonen til å utføre ID-tyveri. Enten ved at de utfører noen enkeltbestillinger av produkter eller abonnement i ditt navn, eller at de komplett tar over identiteten. Typisk sensitiv informasjon er regninger, kontoutskrifter, lønnslipper og bankbrev.
Innholdet som presenteres i nyhetsartiklene er helt riktig, men det mangler to viktige faktorer. Før det første er det ikke bare ID-tyveri som slik informasjon missbrukes til, men også rene enkeltsvindler rettet mot offeret. For det andre er informasjon spredt på nett gjennom sosiale medier og andre informasjonskanaler en langt større trussel enn at noen roter i søppeldunken.
Svindler basert på personlige opplysninger
Ganske opplagt er suksessen til en svindel at noen går på den. For å gjøre svindelen troverdig er psykologi et viktig verktøy. Å inkludere informasjon om offeret (såkalt targeting) er et effektivt grep. Jo mer det virker som at avsenderen kjenner deg, jo mer sannsynlig er det at du går på svindelen. Selv enkle ting som å inkludere lokasjonen (svært enkelt å finne ut i fra nettverket du er koblet på) gjør svindelen målrettet.
Finner en svindel ut at du skal på ferie til Paris, datoer og hotellnavn er det veldig enkelt å sende en e-post tilsynelatende fra hotellet og fortelle at bestillingen må bekreftes ved å oppgi kredittkortdetaljer på hotellets nettsider gjennom en gitt link. De fleste vil da underbevisst tenke at at dette må være legitimt ettersom kun du selv og hotellet vet at du akkurat har bestilt…
Den digitale “søppeldunken”
Tilbake til nyhetsartikkelen om kriminelle som leter i søppeldunker. Det er ikke i vår egen søppeldunk det er størst sjanse for at noen finner slik informasjon, ettersom det krever “personlig oppmøte”. Det er gjennom alt det vi deler digitalt vi nærmest fôrer svindlerne med informasjon. Den kanskje mest kritiske slike “søppelkassen” er sosiale medier. Her har mange et stort behov for å deler hvor de drar på ferie, hva de jobber med, hvilke venner det har og andre personlige opplysninger.
I mange sosiale medier er “hele verden” automatisk mottakere. Det er dessverre lett å tro at det kun er våre venner som kan lese informasjonen når vi har satt tilgangsrettigheter i de tjenestene der det er mulig. Dessverre kommer informasjonen svært fort på avveie. Vi vet aldri hvem som kopierer tekst og bilder videre, eller hvem som tagger inn andre som da også blir lesere og kan dele videre.
I tillegg kan noen ha tilgang vår brukerkonto. Svindlere som klarer å skaffe seg ditt brukernavn og passord vil i mange tilfeller ikke missbruke dette aktivt, men vil i stedet “avlytte” kontoen din uten at du vet om at noen andre har tilgang.
Å legge ut bilder eller tekst med “personlig informasjon” bør vi derfor være varsomme med. Se bare på bildet under, som vi helt tilfeldig fikk tilgang til fordi en av våre felleskontakter kommenterte “gratulerer med nytt førerkort”. Her har vi plutselig tilgang til at noen har tatt førerkort, navn og fødselsnummer.
Det samme gjelder når noen legger ut bilde av både pass og boardingkort ved reise. Mange er ikke klar over at QR-koden på boardingkortet inneholder mye informasjon som kan leses ut med en vanlig mobil. Her kan svindlere både lage gode svindler rundt din reise, eller faktisk klare å avbestille flyturen ved hjelp av informasjonen.
Et raskt Google-søk finner mengder av boardingkort åpent tilgjengelig, f.eks. dette:
Det er ikke engang alltid slik at du selv alltid avslører informasjonen. Det kan være andre som uten å vite om det avslører informasjonen for deg. En kjent turistattraksjon hadde f.eks. mulighet for å bestille billetter på forhånd på nett. Problemet var at nettadressen til ordrebekreftelsen så slik ut: www.turistattraksjonsnavn.com/bekreftelse.php?ordrenummer=34345534
Ordrebekreftelsen viste navn og e-post. Dessverre var det lett for en svindler å plukke ut de foregående ordrebekreftelsene 34345533, 34345532, 34345531 osv. Med andre ord å samle sammen potensielle ofre og tilhørende informasjon.
Selvsagt skal vi ikke slutte å dele informasjon på nett, men det er viktig å ha et litt kritisk forhold til hva som deles. Det viktigste tipset er imidlertid å ikke tro på alt du ser og mottar bare fordi det inneholder personlig informasjon!