Åsa Schwarz, IT-säkerhetskonsult på Knowit och kolumnist för Computer Sweden. 

I december gick polisen ut och varnade för att de så kallade vishingbedrägerierna – bedrägerier per telefon – ökar från redan höga nivåer. Under perioden januari till november 2021 ökade antalet anmälningar med 60 procent jämfört med motsvarande period året före.

Polisen skriver att det i de flesta fall handlar om en bedragare som utger sig för att ringa från banken, ett företag eller en myndighet och genom manipulation förmår sitt brottsoffer att logga in via mobilt bank-id eller identifiera sig via bankdosa. Genom den handlingen har brottsoffret gett bedragaren tillträde till internetbanken.

Men vishing står nu inför en revolutionerande utveckling som skrämmer brottsbekämparna.

– Idag finns stora callcenter – exempelvis i Indien – med folk som systematiskt ringer runt till potentiella offer för att få dem att installera programvara på sina datorer. Men snart kommer det inte längre vara människor som ringer samtalen, utan datorer, säger Åsa Schwarz, IT-säkerhetskonsult på Knowit och kolumnist för Computer Sweden.

På grund av en rasande utvecklingstakt för så kallad deepfake-teknologi kan vishing nu automatiseras helt och hållet vilket riskerar göra bedrägerierna ännu mer lukrativa.

– Numera kan du inte avgöra om det är en människa eller dator du pratar med i telefon. Det finns ett känt klipp på youtube när Google Assistent beställer klipptid utan att personen som tar emot samtalet har en aning om att hon talar med en dator. Samma teknologi kan användas för att begå brott.

Deepfake-teknologi har redan använts i flera fall för att lura företag på stora pengar. I ett uppmärksammat fall som Wall Street Journal skrev om 2019 använde brottslingar AI-baserad programvara för att imitera en verkställande direktörs röst.

Vd:n för ett brittiskt energiföretag trodde att han pratade i telefon med sin chef, verkställande direktören för företagets tyska moderbolag, som bad honom att skicka motsvarande drygt 2 miljoner kronor till en ungersk leverantör. Den som ringde sa att begäran var brådskande och uppmanade chefen att betala inom en timme. Pengarna, som överfördes till ett ungerskt bankkonto, flyttades därefter till Mexiko och sedan vidare till andra konton.

– Verkställande direktörer är publika personer och det finns alltid inspelningar – kanske på bolagets hemsida eller Youtube – som kan användas för att lära upp en algoritm att låta som personen i fråga. Man kan också lära algoritmen att svara på olika sätt så att den klarar en tvåvägskommunikation, säger Åsa Schwarz.

Ännu mer pengar stals på ett liknande sätt i början av 2020. Då fick en bankchef i Hongkong ett samtal från en man vars röst han kände igen – en vd som han hade pratat med tidigare. Direktören berättade att hans företag var på väg att göra ett förvärv och bad banken godkänna några överföringar till ett belopp om motsvarande 350 miljoner kronor.

En advokat hade anlitats för att hålla i affären, och i bankchefens inkorg fanns e-postmeddelanden från såväl vd:n med den bekanta rösten som advokaten, med information om vart pengarna skulle skickas. Bankchefen började göra överföringarna.

Forbes skriver att utredare som utredde stölden tror att åtminstone 17 individer var involverade i bedrägeriet.

I Norge oroar sig Økokrim-chefen Pål Lønseth för utvecklingen.

– Den totala vinsten från digital brottslighet är flera miljarder kronor om året. Ser man bara till bedrägerier mot direktörer och utvecklingen i den portföljen är det också fråga om miljarder kronor om året. Vi känner till flera norska fall varje år i hundramiljonersklassen, säger Lønseth till norska Dagens Näringslivs i en artikel som publicerades i måndags.

Enligt Pål Lønseth handlar flera av fallen om bedrägerier på mellan 100 och 200 miljoner norska kronor.

Åsa Schwarz uppmanar såväl privatpersoner som företag att införa säkerhetsrutiner.

– När du inte längre kan avgöra om det är en dator eller en kollega du talar med i telefon, kan du inte betala ut pengar eller lämna ut känsliga uppgifter efter en uppmaning per telefon. Du måste kontrollera att du pratat med ”rätt” person genom att exempelvis motringa. Ett annat alternativ är att kräva en digital signatur, säger Åsa Schwarz.