I söndags publicerade DN en artikel med rubriken ”Så kunde IT-miljardärernas bankkonton kapas”. Kristoffer Örstadius förklarade hur bedragare hade lyckats överföra drygt 20 miljoner kronor från svenska företagsledares privata bankkonton. Bedrägeriet började med att angriparna skickade in pappersblanketter till Skatteverket för att registrera sina målvakter som ombud för offren. Därigenom fick angriparna reda på vilka bankkontonummer som offren hade. Sedan använde de autogiro för att lura SEB att överföra pengar från offrens bankkonton till bulvanbolag. Därifrån slussade de slutligen pengarna utomlands.
Bedrägeriet belyser problem hos både Skatteverket och bankerna. Skatteverket gör det visserligen möjligt att spärra registrering av ombud via lättförfalskade pappersblanketter. Problemet är att den spärren är avslagen som standard. Den måste aktiveras manuellt för såväl privatpersoner som företag.
Att aktivera spärren löser inte hela problematiken eftersom angripare kan få nys om bankkontonummer på många andra sätt. Vi rekommenderar ändå alla läsare att aktivera den. Det gör även Polisens nationella bedrägericenter som gick ut med just den uppmaningen tidigare idag (se inlägg på Facebook).
Aktivera spärren mot obehöriga ombud
Börja med att gå till Skatteverkets webbplats och logga in med e-legitimation, till exempel Mobilt Bank-ID eller Freja E-ID. Klicka på Alla e-tjänster och välj Ombud och behörigheter från den långa listan med e-tjänster.
På e-tjänsten Ombud och behörigheter skrollar du ned till Spärrfunktion och fäller ut alternativen. Välj att aktivera spärren för dig och dina eventuella företag. När du har klickat dig igenom de tre delstegen får du en bekräftelse skickad till din digitala brevlåda. Framöver måste du legitimera dig med e-legitimation för att kunna utse ombud. Därmed kan ingen bedragare utse sig själv eller någon målvakt genom en lättförfalskad namnteckning på en pappersblankett.
Övriga rekommendationer
Vi rekommenderar sedan tidigare att du även spärrar möjligheten till adressändring via pappersblankett. Det behöver du tyvärr göra på två ställen. Du behöver först och främst spärra obehörig ändring av din folkbokföringsadress, vilket du gör hos Skatteverket. Välj Spärra obehörig adressändring från den tidigare nämnda listan över Skatteverkets e-tjänster och byt till Spärra obehörig adressändring.
Du måste också spärra obehörigt byte av postadress, vilket du inte gör hos Skatteverket utan hos Adressändring.se som drivs av Postnord och Citymail. Gå till Adressändrings webbplats, logga in med Mobilt Bank-ID och välj Lås min adress.
Varning! Det har florerat falska webbplatser som påstått sig hjälpa dig att låsa din adress mot betalning. Det kostar ingenting att låsa sin adress.
Vi vill avslutningsvis påminna om att skaffa en digital brevlåda så att din myndighetspost skickas digitalt i stället för som osäkra pappersbrev som angripare kan fiska upp ur brevlådan. Du kan helt kostnadsfritt skaffa en digital brevlåda hos exempelvis Kivra eller Min myndighetspost. Till skillnad från vanliga mejl och traditionella pappersbrev kan avsändaren av ett meddelande till din digitala brevlåda inte förfalskas. När du får ett meddelande till din digitala brevlåda kan du lita på att avsändaren är den som avsändaren utger sig för att vara.
Tips! Denna nyhet diskuteras i Säkerhetsbubblan. Vi pratar även om problematiken i veckans avsnitt av Bli säker-podden.
Denna artikel är publicerad under CC BY 4.0-licens med undantag för bilder där en annan fotograf är angiven.
Det som inte nämns i avsnittet är hur man förhindrar det sista steget i bedrägerier hos banken.
Så jag ringde min bank och fick svar på tal.
1. Personen kände inte till nyheten om vad som hade hänt hos SEB.
2. Det går inte att hos banken spärra autogiromedgivande på blankett.
3. Det går att skydda pengarna genom att flytta dem från lönekontot till ett sparkonto eftersom sparkontot inte går att koppla mot autogiro. Men samtidigt går det inte att få in lönen på sparkontot utan du måste själv varje månad se till att föra över eventuella extra pengar.
4. Bankmannen insisterade på att de måste följa avtal jag har ingått med tredje part(autogiromedgivande). Då någon kommer in med en lapp och vill ta mina pengar har de ingen möjlighet/vilja att ifrågasätta detta, ej mindre att dubbelkolla eller ens notifiera mig om att det har skett.
5. Banken undviker att svara på frågan om vem som tar smällen om pengarna aldrig kommer tillbaka. De vilseleder en som kund genom att börja prata om “polisutredning”.
Precis. Det här löser inte hela problematiken. Jag rekommenderar verkligen punkt nummer tre och lyfte även fram den i veckans poddavsnitt (https://go.nikkasystems.com/podd132) som ett sätt att minimera konsekvenserna i och med att det inte finns något fullgott skydd.
Jag arbetar med en uppföljningsartikel som går närmare in på detta problem samt varför det inte går att spärra kreditupplysningsmöjligheten i förebyggande syfte (d.v.s. utan att redan ha varit utsatt för en ID-kapning). Artikeln kommer i text- och poddform inom de närmaste veckorna, lite beroende på hur snabbt jag får svar från de involverade företagens pressavdelningar.
Tack för svaret. Gratis att skaffa bank-ID? Nej, inte vad jag kan se. Jag har en linux-dator. Det gick inte att få bank-ID till den för ett och ett halvt år sedan. Det hade tydligen funnits några år innan. Men det kanske har ändrats nu? Jag har också en androidmobil, men vill inte godkänna att Google tar alla mina data så då kan jag inte ha appar. Jag tycker det är en avsevärd kostnad, om än inte i pengar, att godkänna att ett amerikanskt storbolag tar alla mina data. Jag har inte heller något intresse av att köpa en Windows-dator, och inte heller en Mac. Inte precis gratis …
Frejaeid är för övrigt också en app, som såvitt jag fattat bara finns för mobilen?
Det är möjligt att någon bank tar betalt för Bank-ID. Jag kollade med de fyra storbankerna (Handelsbanken, Nordea, SEB och Swedbank) och de tar inte ut någon avgift för Bank-ID på fil eller Mobilt Bank-ID.
Ja, de som utvecklar Bank-ID valde att sluta underhålla Linux-klienten 2015. Detta är högst beklagligt och är ett av skälen till att jag försöker nämna konkurrerande lösningar så ofta som möjligt. Bank-ID:s monopolliknande ställning på den svenska marknaden är inte hälsosam, framförallt inte ur ett driftsäkerhetsperspektiv. Vi behöver fler lösningar – och förhoppningsvis från organisationer som även tar hand om Linux-communityn.
Utvecklarna bakom Mobilt Bank-ID och Freja E-ID har valt att inte publicera sina respektive APK-filer för manuell installation. De distribuerar enbart apparna genom Google Play Store och Huawei App Gallery. Utan Windows, Mac OS eller Android (Android med Googles/Huaweis butiker) är det tyvärr ett låst läge.
Tack för detta tips! Men hur gör jag för att spärra detta när jag inte har något bank-ID?
Hej Eva.
För att kunna göra detta behöver du någon form av e-legitimation. Utöver Bank-ID erbjuder Skatteverket inloggning via Freja E-ID (https://frejaeid.com) och drygt tio utländska e-legitimationer. Bland de digitala brevlådorna är Min myndighetspost den tjänst som erbjuder flest e-legitimationer.
För att kunna aktivera Adresslåset behöver du dock ha Bank-ID. Det är kostnadsfritt att skaffa och ditt bankkontor kan hjälpa dig att komma igång.
(Dessa spärrar förutsätter att du har någon typ av e-legitimation eftersom det är det enda sättet att använda tjänsterna efter att du har spärrat möjligheten att använda pappersblanketter. )