Juss og økonomi Kredittkort og sikkerhet

[xerxes]

Våknet opp av at Eurocard ba meg om å åpne app-en og bekrefte belastning kortet.
Det var EasyPark, og siden jeg sov så regnet jeg nesten med at jeg ikke prøvde å parkere.
Dessuten benytter jeg ikke EC annet enn når jeg reiser.

Kontaktet EC og spurte hvor belastningen kom fra, men det visste de IKKE!
Bare at det kom fra EasyPark, og det visste jeg jo allerede.
For meg så burde det være en naturlig informasjon å samle inn, men det er kanskje GDPR som slår inn?

 

[Deng1]

Er ikke senga hjemme en Easy Park da ?

Hva mer sa dem? Dem må jo ha registreringsnummer og hvor

 

[Powercon]

Easypark kjører belastning av betalingskort på natta/morgenen dagen etter parkering tydeligvis.
-Fikk melding om belastning for en parkering i Tønsberg igår, den kom idag morges.

Ellers er jo sånne parkingsapp'er fine, men de skal jo ha betalt. Easypark tar vel 15% av parkeringen til seg selv.
Også skummelt om man legger inn leiebil i app ifm jobb, så glemmer å slette den igjen.

 

[W.Sand]

Vi har også fått "krav" fra EasyPark, så veldig ekte ut... men fake

 

[bambadoo]

Fikk også krav eller melding om en bil som hadde parkert som jeg ikke kjente til. Måtte gå inn på vegvesen.no for å sjekke eier. Joda - ca 1/2år tidligere var jeg hjemme hos min gamle mor og brukte bilen hennes. Måtte registrere reg.nr på min easypark app for å parkere. Hadde helt glemt dette ut og fikk en overaskelse en gang da hun kjørte inn i skiltgjenkjenningsparkering.

 

[xerxes]

Er ikke senga hjemme en Easy Park da ?

Hva mer sa dem? Dem må jo ha registreringsnummer og hvor

Jo, men den er allerede betalt!

 

[xerxes]

Easypark kjører belastning av betalingskort på natta/morgenen dagen etter parkering tydeligvis.
-Fikk melding om belastning for en parkering i Tønsberg igår, den kom idag morges.

Ellers er jo sånne parkingsapp'er fine, men de skal jo ha betalt. Easypark tar vel 15% av parkeringen til seg selv.
Også skummelt om man legger inn leiebil i app ifm jobb, så glemmer å slette den igjen.

Stemmer, det fant jeg også ut.
Horten i går, belastet i dag.

 

[xerxes]

Vi har også fått "krav" fra EasyPark, så veldig ekte ut... men fake

Kravet var riktig.
Jeg stusset på tidspunktet.

 

[Espen R]

Jeg ble vettaskremt i dag da jeg snakket med en kjenning av meg og måten han ble svindlet på. Og hvor passe dårlig det står til med sikkerheten i en del banker, I dette tilfellet Santander som er europas nest største bank målt i markedsverdi.

Hadde du trodd at bare ved feilaktig å trykke på ei lenke som er som et vedlegg i en e-post, uten å oppgi noe som helst informasjon, ikke har trykt på noen taster, at du på det tidspunktet har gitt svindlerne full kontroll over din Bank ID inkludert passord for innlogging?
Ikke jeg!

Min bekjent er kunde i Santander med kredittkort. Han fikk en e-post hvor han måtte bekrefte info i forhold til bruk av kortet og hvitvaskingsloven, som alle banker ber deg om å gjøre ca en gang i året. I det han åpent lenken og så på innholdet skjønte han at dette var noe uggent. Han la ned siden og tenkte ikke mere på det. Kort tid etterpå ble han oppringt av Santander og spurt om han hadde prøvd å bruke kredittkortet. Han benekter dette. Santander sa da at han hadde blitt forsøkt svindlet og at kortet er blitt sperret og han må slette gammel Bank ID og lage ny. Han ville få nytt kort.

Men så kommer det som er enda mer utrolig. Noen dager senere blir han på nytt oppringt av Santander og spurt om han har mottatt det nye kortet. Det har han selvfølgelig ikke siden han fortsatt er på høstferie på hytta. Det nye kortet som ennå ikke er produsert hos Santander, men kun ligger som et ferdig utkast i Santanders elektroniske systemer er faktisk blitt tappet for 25.000,- Disse pengene har svindlerne fått med seg, tapt for alltid.
Min bekjent spør Santander hvordan alt dette er mulig. Det er via «noder» eller «strenger» som de kriminelle har tilegnet seg og da har tilgang til info langt inn i banksystemet, blir det sagt.

Santander dekker selvfølgelig de 25.000,-. (Eller sagt på en annen måte, tapene blir spredt på alle vanlige kunder, som alltid er tilfelle.)

 

[morbid]

Det der høres rett og slett ut som tøvprat av noen som ikke tør innrømme at de har gått på limpinnen og gitt fra seg data.

 

[Espen R]

Ja, det var en del av hensikten med min info. Er dette mulig?
Eller snakker vedkommende usant?

Vedkommende er en god bekjent av meg og jeg ville finne det merkelig at han ut av det blå skulle dikte dette opp for meg.

 

[morbid]

Ja du mener de får tilgang "langt inn i banksystemet" hvis en kunde trykker på et vedlegg?

 

[BT]

Det sier vel mer om hvor avanserte svindlerne har blitt enn sikkerheten til bankene.
Det forteller også hvor lite politiet bryr seg om slikt.
Det var litt mer fart i dem på den tiden bankran skjedde i filialen og man tok med seg papirpenger, enn når de er hackere med svart belte i AI, som befinner seg i , eller representerer, land man ikke samarbeider med, selv om utbyttet er mye høyere nå.

 

[Espen R]

Ja du mener de får tilgang "langt inn i banksystemet" hvis en kunde trykker på et vedlegg?

Mun bekjent har aldri tidligere snakket usant til meg. Og hva skulle motivasjonen være for ut av det blå si at han har noe å fortelle meg angående svindel i 2024? Hvis han har driti på draget og tabbet seg ut ville det mest naturlige være å holde kjeft om det.

 

[morbid]

Det sier vel mer om hvor avanserte svindlerne har blitt enn sikkerheten til bankene.
Det forteller også hvor lite politiet bryr seg om slikt.
Det var litt mer fart i dem på den tiden bankran skjedde i filialen og man tok med seg papirpenger, enn når de er hackere med svart belte i AI, som befinner seg i , eller representerer, land man ikke samarbeider med, selv om utbyttet er mye høyere nå.

Nei, dette er typisk phishing angrep og den minst sofistikerte metoden, dog veldig effektiv. Det er mer enn sosial greie enn teknisk.

 

[morbid]

Mun bekjent har aldri tidligere snakket usant til meg. Og hva skulle motivasjonen være for ut av det blå si at han har noe å fortelle meg angående svindel i 2024? Hvis han har driti på draget og tabbet seg ut ville det mest naturlige være å holde kjeft om det.

Hvis det hadde vært tilfelle det som her beskrives så hadde samtlige banker vært konkurs imorra, vi kan jo snakkes imorra å sjekke

 

[BT]

Nei, dette er typisk phishing angrep og den minst sofistikerte metoden, dog veldig effektiv. Det er mer enn sosial greie enn teknisk.

Det starter med fishing, men fortsettelsen var rimelig avansert.

 

[Espen R]

Det skal også sies at en tredje person var tilstede under samtalen. Tilfeldigvis skulle denne tredjemannen logge seg inn på Santander samme kveld som min bekjent ble svindlet, eller forsøkt svindlet, men han fikk ikke logget inn på Santander consumer bank.

 

[BT]

Hvis det hadde vært tilfelle det som her beskrives så hadde samtlige banker vært konkurs imorra, vi kan jo snakkes imorra å sjekke

Bankene bruker også AI, som lærer fort, så denne døra låses kjapt, mens svindlernes AI jobber med neste metode.

 

[morbid]

hehehe

 

[Espen R]

Bankene bruker også AI, som lærer fort, så denne døra låses kjapt, mens svindlernes AI jobber med neste metode.

AI er bare i startgropa i den spede begynnelse. Etterhvert som svindlerne lærer seg å bruke verktøyet enda bedre vil dem banke på den elektroniske døren til oss alle, sikkert minst 10 000 ganger i døgnet til hver enkelt individ, for å finne et svakt punkt der dem kommer seg inn.
Så det blir et evig kappløp mellom de gode og de onde.
Folk kommer til å bli stadig mer stresset i sin hverdag.

 

[Pink_Panther]

Det der høres rett og slett ut som tøvprat av noen som ikke tør innrømme at de har gått på limpinnen og gitt fra seg data.

Er nok ikke tøvprat. Husfruen opplevde det samme. I det øyeblikket hun trykket på lenken hadde bandittene full tilgang til telefonen hennes og dermed bankID og dermed nettbanken. Banken hennes tapte 100.000 på den hendelsen.
Et lite tips til de som har store "reserver" på Flexilån og kredittkort; reduser rammen til et minimum. Svindlerne tømmer alt på kontoene og makser kredittgrensene.

 

[weld77]

BankID har jo tofaktorautentisering med passord, hvordan man får ut masse penger uten at brukeren knotter inn BankID - passordet sitt er ikke helt opplagt for meg i alle fall men IT-sikkerhet er ikke akkurat mitt felt heller. Når man trykker på av disse lenkene så kommer man vel til noe som ligner veldig på ens bank eller en vanlig bank-ID-login og hele poenget er vel å lure brukeren til å skrive inn passordet sitt?

 

[Pink_Panther]

BankID har jo tofaktorautentisering med passord, hvordan man får ut masse penger uten at brukeren knotter inn BankID - passordet sitt er ikke helt opplagt for meg i alle fall men IT-sikkerhet er ikke akkurat mitt felt heller. Når man trykker på av disse lenkene så kommer man vel til noe som ligner veldig på ens bank eller en vanlig bank-ID-login og hele poenget er vel å lure brukeren til å skrive inn passordet sitt?

Tydeligvis greier de det og like tydelig at bankene vet om sikkerhetshullene. De stjålne pengene var tilbake på konto etter to dager, uten protester.
Fruen ga ikke fra seg noen form for informasjon, trykket kun på "Trykk her" Og lukket fort siden da den så litt merkelig ut.

 

[Espen R]

BankID har jo tofaktorautentisering med passord, hvordan man får ut masse penger uten at brukeren knotter inn BankID - passordet sitt er ikke helt opplagt for meg i alle fall men IT-sikkerhet er ikke akkurat mitt felt heller. Når man trykker på av disse lenkene så kommer man vel til noe som ligner veldig på ens bank eller en vanlig bank-ID-login og hele poenget er vel å lure brukeren til å skrive inn passordet sitt?

Det var akkurat dette jeg også lurte svært på og som overrasket meg aller mest. Jeg trodde at selveste Bank ID skulle være temmelig sikkert. Svaret var at i feks banken til denne kunden ligger det spor/noder/tråder eller hva man skal kalle det av tidligere innlogginger, hvorav også info om Bank ID. På den måten kan kriminelle få tak i info, noe tydeligvis denne lenken i e-posten ledet til.

Jeg sa til min bekjent at du vet jo at i avsenderens e-post adresse vil du kunne oppdage om det er Santander som er avsender eller ikke. Han er fullstendig klar over det, men må ha glippet et lite sekund på akkurat det.

 

[Espen R]

Det jeg ikke skjønner er hvorfor ikke finger-ID og øyescanning kun brukes som korrekt identifisering. Det kan jo nesten umulig forfalskes. I de tilfeller folk ikke har fingre eller øyne må en tredjeløsning kunne brukes.

 

[Dr_BASS]

det finnes en enklere løsning nemlig å bruke bankid brikke

 

[Espen R]

Jeg fikk med meg noe på radioen her i sommer. Temaet var elektronisk svindel. Et bank i Norge (husker ikke hvilken) hadde fem-doblet antall mennesker som jobber mot svindel, på bare de siste 10 år!

 

[Espen R]

Skulle vi som samfunn etterhvert erfare at vi har kjørt oss inn i et farlig blindspor i en verden hvor penger ikke lengre er noe fysisk, men bare digitale 0 og 1 som flyter rundt i sfæren og gjør oss stadig mere sårbar både på individnivå og mye større nivåer, så vil det være umulig å reversere. Økonomier og samfunn vil da kollapse.

 

[morbid]

omg

 

[Espen R]

En annen sak er at tilbake til fysiske penger absolutt heller ikke vil være noen løsning på problemene.

 

[bambadoo]

Jeg fikk med meg noe på radioen her i sommer. Temaet var elektronisk svindel. Et bank i Norge (husker ikke hvilken) hadde fem-doblet antall mennesker som jobber mot svindel, på bare de siste 10 år!

Fra 1 til 5?

 

[Espen R]

Fra 1 til 5?

Eller fra 10 til 50. Husker ikke antallet, men det var mange. Og prognosene var at dem fortsatt kom til å øke betydelig på grunn av økte trusler fra kriminelle.

 

[AndersR]

Når man trykker på en link kan det skje mye drit, men i disse tilfellene er det viktigste som skjer er at avsender av mailen får en bekreftelse på at den har blitt trykka på. Så dersom de har klart å koble mottaker og telefonnummer, så trenger de ikke mer. Det er først når "banken" ringer for å fortelle at du har blitt svindlet, at svindelen faktisk starter. Da blir folk skremt, for de vet jo at de trykka på en skitten link, og da pøser man ut informasjon uten at man tenker over det, for det hele skjer så naturlig.

 

[Espen R]

Det mest bemerkelsesverdige i den saken jeg formidlet er hacking av kort nr 2. Altså det første kortet ble sperret av banken uten at de kriminelle fikk noen gevinst. Men det var kort nr to som ble tappet for 25k. Dette kortet var ikke produsert, men elektronisk ferdigstilt i bankens systemer. Disse dataene var det på dette tidspunktet KUN banken som satt på, ingen andre.

Min bekjent ironiserte jo overfor vedkommende kundebehandler i Santander at det første kortet hvor kortinformasjonen også lå utenfor banken, det klarte dem å hindre å bli misbrukt, mens det andre kortet hvor kortinformasjonen kun lå innenfor bankens systemer, det klarte dem ikke å stoppe fra å bli misbrukt.

Dette viser bare hvilket nivå de kriminelle nå operer på.

 

[AndersR]

Informasjon om kort, også de som ikke er fysisk produsert ennå ligger i nettbanken din. (ikke unikt for Santander, men i stort sett alle fungerende nettbanker kan man se dette)

Om jeg har fått tilgang til nettbanken din vil jeg dermed også kunne se kortene som er på vei til produksjon.

Problemet man opplever her er en blanding av teknisk og psykologisk manipulasjon. Man starter med et lett teknisk angrep, deretter følger man tungt opp på det psykologiske planet, og så pøser man på med det tekniske for å utnytte det til det maksimale.

Ofte er det utført såpass sømløst at offeret ikke selv innser hva som faktisk var ekte og hva som var svindelaktørens gjerninger, og derfor vil det for dem ofte fremstå som magi. Derfor lyver de ikke, selv om de ikke nødvendigvis presenterer en objektiv sannhet når de forteller om hva de har gjort og ikke gjort.
De vet rett og slett ikke hva som faktisk har skjedd, for de har helt mistet oversikten, akkurat på samme måte som om de hadde vært plassert ved et bord med en dyktig illusjonist som utfører elegante korttriks og annen form for "magi".

 

[Espen R]

Informasjon om kort, også de som ikke er fysisk produsert ennå ligger i nettbanken din. (ikke unikt for Santander, men i stort sett alle fungerende nettbanker kan man se dette)

Om jeg har fått tilgang til nettbanken din vil jeg dermed også kunne se kortene som er på vei til produksjon.

Problemet man opplever her er en blanding av teknisk og psykologisk manipulasjon. Man starter med et lett teknisk angrep, deretter følger man tungt opp på det psykologiske planet, og så pøser man på med det tekniske for å utnytte det til det maksimale.

Ofte er det utført såpass sømløst at offeret ikke selv innser hva som faktisk var ekte og hva som var svindelaktørens gjerninger, og derfor vil det for dem ofte fremstå som magi. Derfor lyver de ikke, selv om de ikke nødvendigvis presenterer en objektiv sannhet når de forteller om hva de har gjort og ikke gjort.
De vet rett og slett ikke hva som faktisk har skjedd, for de har helt mistet oversikten, akkurat på samme måte som om de hadde vært plassert ved et bord med en dyktig illusjonist som utfører elegante korttriks og annen form for "magi".

@AndersR , det er nok sikkert mye riktig i det du skriver. Jeg skal ikke påstå det ene eller det andre.

Men det jeg undrer meg over er hvordan da Santander ikke forhindret angrep på kort nr 2 når det er folkene i banken som sitter på langt mere informasjon om sakskomplekset og mulighter for hacking enn hva den vanlige kunde har? Det var ingen som var i bedre posisjon til å forstå hva neste steg for de kriminelle ville være.

 

[bambadoo]

Beskytt deg mot svindel - Santander

www.santanderconsumer.no

 

[weld77]

Jeg ble en gang oppringt av "Microsoft" som kunne informere meg om ett-eller-annet jeg ikke helt husker hva, men vedkommende skullle i alle fall hjelpe meg med å fikse det. Av ren nysjerrighet holdt jeg samtalen gående en stund, sa jeg ikke fikk til det de bad meg om å gjøre og så burtetter, men selvsagt uten å på noe tidspunkt gi fra meg noen faktiske, korrekte opplysninger eller noe annet. Det var ganske fascinerende hvor standhaftige de var da de åpenbart luktet at de kanskje hadde fått noen på kroken.

 

[Espen R]

Jeg ble en gang oppringt av "Microsoft" som kunne informere meg om ett-eller-annet jeg ikke helt husker hva, men vedkommende skullle i alle fall hjelpe meg med å fikse det. Av ren nysjerrighet holdt jeg samtalen gående en stund, sa jeg ikke fikk til det de bad meg om å gjøre og så burtetter, men selvsagt uten å på noe tidspunkt gi fra meg noen faktiske, korrekte opplysninger eller noe annet. Det var ganske fascinerende hvor standhaftige de var da de åpenbart luktet at de kanskje hadde fått noen på kroken.

Hey, this is from Microsoft, we have a solution for your Pc problems
- Sorry, but I don't use PC, only Mac
- Yeah, but we have a solution for that too