Viðskipti | mbl | 29.4.2015 | 21:15

Svikarar spila inn á traustið

Á vefsíðu sem var sýnd í dæmaskyni var hægt að kaupa upplýsingar um íslensk kort. Friðrik Tryggvason

Í síbreytilegu viðskiptaumhverfi er útilokað að koma alfarið í veg fyrir fjársvik. Svikarar eru margir skipulagðir og nýta nýjustu tækni til hins ýtrasta. Eitt dæmi eru þrívíddarprentarar sem hafa gert fólki auðveldara að stela upplýsingum í hraðbönkum.

Talið er að heildarkostnaður ýmissa fjársvika í Bandaríkjunum nemi um 550 milljörðum dollara á ári. Þá er kostnaður vegna bóta- og velferðasvika í heiminum um 260 milljarðar dollara árlega. Nýherji stóð fyrir morgunfundi um fjársvik í gær og nefndi Steve D'Alfonso, yfirmaður efnahagsglæpadeildar hjá IBM, ýmis dæmi um nýstárlegar lausnir fjársvikamanna.

Ómögulegt að sjá muninn

Með tilkomu þrívíddarprentara er orðið frekar auðvelt að prenta t.d. út nýja rauf á hraðbanka. Hún getur litið nákvæmlega eins út og sýndi D'Alfonso dæmi um slíkan búnað. Fyrir hinn almenna borgara er því nær ómögulegt að meta hvort raufin sé svikabúnaður sem afritar kortaupplýsingar eða ekki.

Upplýsingar sem verða til með þessum hætti eru svo gjarnan boðnar upp á netinu. Á slíkum vefsíðum er einfaldlega hægt að fletta upp einhverju landi og athuga hvort upplýsingar frá þarlendum kortum séu til. D'Alfonso fletti Íslandi upp í dæmaskyni og möguleikarnir voru þó nokkrir. Til dæmis var þar hægt að kaupa íslenskt kort sem hafði verið afritað í Orlando í Bandaríkjunum. Verðið var þó ekki hátt en samkvæmt D'Alfonso tekur það mið af líkunum á því að kortinu hafi verið lokað.

Svikabúnaður í reikningi

Ný leið hjá svikurum er að fá tilvonandi fórnarlömb til þess að hringja í sig af fyrra bragði. Austur-evrópskur hópur sem kallast Dyre Wolf hefur beitt þessari aðferð skipulega og stolið rúmum milljarði Bandaríkjadala víða um heim. Hópurinn tekur fyrir einn starfsmann í fyrirtæki. Honum er sendur tölvupóstur með t.d. reikningi á PDF skjali sem þarf að hlaða niður. Þegar skjalið er sótt hleður starfsmaðurinn jafnframt niður búnaði frá svikaranum.

Eftir að það hefur gengið upp er beðið eftir að starfsmaður skrái sig inn á heimabankann og búnaðurinn fer í gang. Þá koma upp villuskilaboð þar sem viðkomandi er beðinn um hafa samband við bankann. Símtalinu er síðan beint til svikarans sem hljómar líkt og hver annar bankastarfsmaður og biður um ýmsar upplýsingar. Þá eru upplýsingarnar að notum lokaðar til þess að millifæra háar fjárhæðir af reikningnum.

Spila inn á traustið

Þessi leið er einnig notuð með einfaldari hætti þar sem til svikarar geta til dæmis notað fjölmargar vefsíður til þess að breyta upplýsingum um símanúmer þannig að símatalið virðist koma frá viðskipabanka viðkomandi eða annarri stofnun sem fólk treystir. Þá er t.d. hægt að velja rétt bakgrunnshljóð á sömu vefsíðu, líkt og t.d. þjónustuver, þannig að fórnarlambið heyri réttan klið á bak við.

Það helsta í dag er hins vegar að fá fólk til þess að hringja sjálft. Samkvæmt D'Alfonso sýna kannanir að um 70 prósent þeirra sem hringja sjálfir eru tilbúnir til þess að veita nauðsynlegar upplýsingar. Þannig fær viðkomandi tölvupóst, t.d. um að kreditkorti hafi verið lokað og viðskiptamaður þurfi að hafa samband. Símanúmerið er það sama og hjá bankanum en hins vegar er það ekki raunverulegur bankastarfsmaður á hinni línunni.

D'Alfonso sagði mikilvægt að stofnanir og fyrirtæki skiptust á upplýsingum. Að svik séu ekki einungis flokkuð sem óútskýrt tap í bókhaldinu. Þannig sé einungis hægt að ná öllu upp á borðið og takmarka umfang svikanna.