Hundratals sajter erbjuder gratis smakprov på nystulna kreditkortsuppgifter. Hemadress och PIN-kod ingår. Den som köper riktigt många får rabatt.
Stulna kreditkort säljs öppet
Mest läst i kategorin
– Jag tror inte att det är sant. Jag måste byta ut alla mina bankkonton. Det är skrämmande att folk har de här uppgifterna. De är personliga. Jag känner mig verkligen rädd.
Det säger Geraldine Hernon när brittiska The Times visar henne uppgifter om hennes kreditkortsnummer och annat som tidingen kommit över på internet.
Problemet har skenat. The Times har hittat ett hundratal sajter som erbjuder tiotusentals identiteter för några tior per styck. Allt stämmer – kreditkortsnummer med utgångsdatum och säkerhetskoder, både CVV och PIN, samt personnummer, hemadress, telefon och e-post.
Realtid.se har visat en av sajterna för svenska myndigheter och organisationer.
Virus och spionprogram är en viktig källa för stulna uppgifter, konstaterar Stefan Grinneby som kartlägger it-hot på Post- och Telestyrelsen, PTS.
– Vår bild är att denna och andra liknande sajter bara är en del i den underjordiska ekonomin på internet. Tillverkare av malware, bot-nätägare och spammare är andra. De lever i symbios och behöver varandra. Specialisering är ju evolutionärt ett tecken på tilltagande stabilitet i miljön.
Förr såldes enstaka uppgifter i hemliga chat-rum för invigda hackers. I dag kan vem som helst komma över färska smakprov som kan användas som betalning av biljetter och produkter i bedrägerier på internet.
Ett konto på en anonym betaltjänst är allt som behövs för att köpa tusentals stulna identiteter och sätta bedrägeriet i system.
Uppgifterna levereras med e-post som en bilaga inom ett dygn. 20 identiteter kostar 500 kronor, lite mindre för den som köper flera åt gången. Betalningen sker via anonyma betaltjänster på internet som till exempel handlar med äganderätten till guld. Pengarna betalas in och hämtas ut kontant på växlingskontor.
Säljarna lovar att de stulna uppgifterna fungerar i några dagar – sedan brukar kortets ägare upptäcka att det saknas pengar och spärra kortet.
Ingenting tyder på att svenskar skulle vara förskonade.
– På något sätt har det kommmit åt informationen. Då finns det en risk för att det också finns svenska identiteter till salu, säger Tommy Kangasvieri vid finanspolisen, dit växlingskontoren måste rapportera misstänkta transaktioner.
Problemet är större utomlands, tack vare svenska personnummer och kravet på att visa legitimation vid kortköp när PIN-koden inte används.
I USA är identitetsstöld ett brott. I Sverige motsvarar det bedrägeri, urkundsförfalskning och dataintrång. Kreditkortsbedrägerierna särredovisas inte hos Brottsförebygande rådet och branschen håller statistiken hemlig.
Det ligger varken i handelns, kortföretagens eller bankernas intresse att tala om riskerna.
– Jag vet att kortföretagen tittar på det här, men deras stategi är att hålla inne med fakta om verkligheten eftersom de tycker att det stör deras verksamhet, säger Dick Malmlund, säkerhetsansvarig på branschorganisationen Svensk Handel.
Beställda biljetter till resor och evenemang som hämtas ut med en kod i en biljettautomat är exempel på varor och tjänster där det saknas möjlighet att följa upp vem som använt kreditkortet.
Thomas Bäcker på polisens bedrägerirotel har en svår uppgift.
– Det är meningen att man ska legitimera sig som den person som genomfört köpet när man hämtar ut varan. Men om du beställer choklad med ditt kreditkort så kan din flickvän hämta ut det. Det finnns ingen koordination med det kort du betalar med, säger Thomas Bäcker.
Polisen har fullt upp att välja ut vad som är lönt att utreda.
– Om en stockholmares kort blir skimmat i Italien och så dyker det upp vid ett köp i Kanada, då är frågan – var ska det här utredas?
Hämtas varan i Kanada, ska brottet utredas där, är det tänkt.
– Det finns en teoretisk möjlighet att vi lägger över utredningen på en åklagare som skulle kunna kräva ett internationellt samarbete. Det är som du förstår ett ganska exklusivt förfarande.
Bedragarna har insett att det är riskfritt att sälja stulna uppgifter.
– De här sajterna är ett tecken på att de som bedriver verksamheten känner sig trygga. Det kan ju tyvärr verka som om de har rätt – det verkar vara få av dem som blir lagförda, säger Stefan Grinneby på PTS.
Parkeringsautomater och biljettautomater i kollektivtrafiken är exempel där ett stort antal kreditkortsnummer strömmar in anonymt i en stor organisation. Handeln låter bedragarna vinna mark för att inte bromsa kommersen.
– De måste väga tillgängligheten mot säkerhetsnivån. Har de varit tillräckligt noggranna när bedragare kan använda ett kort som inte är spärrat?, frågar polisen Thomas Bäcker.
Bankerna och kortföretagen sitter i båda ändar av betalningskedjan. De säljer kort till konsumenterna, och löser in kortköp från butikerna. Och de tjänar förstås pengar på att låta alla som vill ta betalt med kort.
– De gör det inte av ideella skäl. De har möjlighet att utöva makt. Upplever de att det finns en organisation som inte fungerar så kan de ju dra in licensen, säger Thomas Bäcker.
Compricer är Sveriges största jämförelsetjänst för privatekonomi. Klicka här för att jämföra courtage.