När statliga Brottsförebyggande rådet (BRÅ) redovisar sin statistik är bedrägeri en av Sveriges i särklass vanligaste brott att bli utsatt för. En av tre personer i vuxen ålder drabbas. Men det finns givetvis en mycket stor mängd olika sätt att bli bedragen på. Från bluffakturor till romanssvindlare.

I den nationella trygghetsundersökningen (NTU) från år 2020 framgår det att cirka att cirka 4,1 procent av befolkningen mellan 16-84 år utsattes för kortbedrägeriförsök av något slag. Det kanske inte verkar vara särskilt mycket, men det motsvarar ungefär 334 000 individer.

Från 2000-talets början och framåt har kontantuttagsmaskiner varit i fokus då hederligt folk fått sina kortuppgifter kapade. Du kanske minns uppmaningarna att ordentligt inspektera den öppning där du för in bankomatkortet, så där inte satt en falsk läsare som kopierade information på bank- och kreditkort.

Läs också: Det här händer om Bank-ID går ner

Inget problem

Bankomat AB
Bankomater i Sverige är numera säkrare än förr.

Denna tjuvaktiga metod verkar i princip helt utdöd på våra breddgrader. Att på elektronisk väg otillåtet läsa av kortuppgifter i brottsyfte kallas för skimming. Rent språkligt är uttrycket en mix av ordet skim, som betyder ”att skumma” och att skanna, som ju är att läsa av något fysiskt till ett digitalt format.

– Skimming är ett näst intill obefintligt problem idag. Vi upptäcker ett fåtal försök per år, det är svårt att montera fungerande skimming utrustning i våra automater. Vi tror inte att mörkertalet är signifikant då automatanvändare tenderar att snabbt rapportera misstänkt utrustning eller aktivitet kring våra automater, förklarar Magnus Sandqvist, säkerhetschef på Bankomat AB.

Bankomat AB.
Magnus Sandqvist, säkerhetschef på Bankomat AB.

Risker utomlands

Om bankomater och kortterminaler inom Sverige har blivit säkrare för användarna finns det dock anledning att vara extra uppmärksam och försiktig om du är ute och reser.

– I viss omfattning skimmas allmänhetens kort vid utlandssemestrar i till exempel bankomater och tankomater. Sedan är smittade betalstationer, kortterminaler av den typ du stoppar kortet i vid köp i butik, betydligt mer sannolika utomlands, säger Jan O. Olsson, kriminalkommissarie på nationellt IT-brottscentrum vid Polismyndighetens nationella operationella avdelning, NOA.

Polisen
Jan O. Olsson, kriminalkommissarie på nationellt IT-brottscentrum vid Polismyndighetens nationella operationella avdelning, NOA

Enligt den senaste mätningen, år 2019, var omsättningen för bedrägerier som omfattar uttagsmaskiner och kortläsare totalt 2,5 miljarder kronor inom EU. Det bör dock noteras att dessa bedrägerier även gäller olika former av lurendrejerier där förövarna fysiskt interagerar med brottsoffren, exempelvis genom att tjuvkika över axeln i kön till bankomaten och sedan stjäla kreditkortet.

– Vi har bara haft något enstaka samtal de senaste åren från konsumenter som har blivit skimmade, det vill säga fått sina kortuppgifter avlästa genom att någon läst av kortet och därefter missbrukat uppgifterna, och det har varit under utlandsresor, säger Kicki Westerståhl, chef på organisationen Konsumenternas Bank-och finansbyrå.

Konsumenternas
Kicki Westerståhl, chef på organisationen Konsumenternas Bank-och finansbyrå.

Ett av de största skälen till att skimming minskat under senare år är att i princip alla kort som används i automater är utfärdade av kortutgivare med strängare krav på användning.

– Kortföretagen och bankerna kräver i allt större utsträckning konfirmering av köp med hjälp av elektroniskt id vid köp över Internet. Detta tillsammans med att inlösare som VISA/Mastercard ändrat reglerna för vem som står risken vid användning av endast magnetremsa eller kortuppgifter plus CVC-kod, där så tillåts, har resulterat i att skimming blir väldigt ineffektivt och ger mycket dålig avkastning i förhållande till risken för de kriminella, säger Magnus Sandqvist, säkerhetschef på Bankomat AB.

Svensk Handel
Nina Jelver t.f säkerhetshef på branschorganisationen Svensk Handel.

Ökat skydd

– Skimning är inte längre vanligt förekommande i svenska butiker. Detta sedan det blev krav på chip och pin i samband med införandet av PSD2 direktivet. Du får helt enkelt inte betala med magnetremsa och signatur längre, säger Nina Jelver, t.f säkerhetshef på branschorganisationen Svensk Handel.

Betaltjänstdirektivet PSD2 trädde i kraft den 14 september 2019 och består av flera delar som ställer krav på alla kortbetalningar där kortutgivaren är inom EU. I korthet innebär direktivet att för att lagligen kunna ta betalt måste näringsidkare använda en terminal som kräver pin-kod och ett chip på kortet. Köp upp till 400 kronor kan godkännas med endast pin-kod.

Moderna bank-och kreditkort har därför ett så kallat rfid-chip installerat. Detta för att du, bland annat, ska kunna ”blippa” kortet och genomföra ett så kallat kontaktlöst köp. Rfid (Radio Frequency Identity) är ett identifikationssystem som trådlöst överför elektronisk information från en enhet, exempelvis ditt kort, till en mottagare/läsare. Rfid-chip har vanligtvis ingen egen kraftkälla utan aktiveras av läsaren som är driven av ström.

Pixabay
Betaltjänstdirektivet PSD2 innebär förhoppningsvis en fortsatt minskning av kortbedrägerier inom EU.

Och även fast de kort som följer EU:s betaldirektiv är flera resor säkrare än de äldre modellerna medger tekniken, i alla fall teoretiskt sett, att bedragarna kan operera på nya sätt som konceptmässigt är obehagliga. Tillvägagångsättet är som följer: genom att ha en särskild läsare aktiverad, eller en för ändamålet utvecklad app i mobilen, ska en digital brottsling kunna läsa av ditt korts information utan att du märker det.

Bedragarnas metoder

– En bedragare använder en vanlig mobiltelefon utrustad med rfid-läsare, eller starkare avläsningsutrustning, som kan gömmas i, till exempel. en väska. Med en mobiltelefon är avläsningsavståndet upp till fem centimeter och med starkare utrustning upp till en meter. Eftersom kreditkortet alltid svarar på anrop utan att verifiera mottagaren räcker det att ställa sig nära sitt offer. Radiovågorna går igenom kläder så kreditkortet kan skimmas medan det ligger kvar i plånboken, förklarar Carl Martinsson medgrundare på företaget Skimsafe.

Skimsafe
Carl Martinsson medgrundare på företaget Skimsafe.

Få eller inga offer

– Jag är inte förvånad över att ingen gripits på bar gärning för trådlös skimming i Sverige. Det ligger i metodens natur att det är mycket svårt att upptäcka. Det är även över 300 000 personer i Sverige som skyddar sina betalkort med vår produkt och ett okänt antal som använder metallplånböcker som ofta kan ge visst skydd. Detta kan ha motverkat spridningen av den här skimming-metoden eftersom det är såpass många betalkort som förvaras på ett säkert sätt, menar Carl Martinsson på Skimsafe.

Ytterligare en aspekt som sannolikt fungerat avvärjande när det gäller skimming är att fler och fler e-handlare på nätet kräver, i enlighet med EU-direktivet, utökade bevis på identitet. Så, även om en kriminell kommer över kortuppgifter så behöver hen i vissa fall även tillgång till bank-id, eller motsvarande, för att kunna genomföra större inköp och transaktioner. Det kan bli lätt olönsamt att försöka få kontroll över alla de steg som krävs för ett lyckat kortbedrägeri. I synnerhet om det är okänt för gärningspersonen vad offret har för kreditvärdighet och tillgångar. Dessutom är informationen som lagras på kortets chip krypterad, vilket torde komplicera förfarandet ytterligare.

Många bedömare menar att det numera är lättare att köpa hackade kreditkortsuppgifter i internets mer skuggiga gränder, än att syssla med avancerade bedrägeriupplägg som tar en hel del tid och omsorg i anspråk. Samtidigt, att stjäla kortuppgifter genom trådlös skimming kräver ingen mångårig teknisk kunskap och är enkelt jämfört med att montera skimningsutrustning i en bankomat eller hacka en e-handelsplats.

– Att köpa kortuppgifter på nätet är också förhållandevis enkelt, men det krävs ändå en särskild webbläsare, krypto-plånbok, kunskap om marknadsplatser på Dark Web plus att det är stor chans att du blir lurad och köper kortuppgifter som någon annan bedragare redan använt eller som spärrats, säger Carl Martinsson på Skimsafe.

Bör vi bekymra oss?

Ett kortbedrägeri består av två moment. Det första momentet är när kortuppgifterna stjäls från offret vilket kan ske på en mängd olika sätt. Det andra momentet är när kortuppgifterna används och pengar dras från offrets konto och det är först då brottet upptäcks. Frågan är hur pass bekymrad av just den trådlösa skimmingen du ska vara då det förefaller vara ont om folk som drabbats, även om det finns ett par uppmärksammade härvor utomlands som visare att bedrägerimetoden finns på riktigt.

– Det finns inga data på hur vanliga olika skimming-metoder är. Det är helt enkelt omöjligt att mäta då skimmingen inte upptäcks förrän ett kortbedrägeri begås, säger Carl Martinsson på Skimsafe.

Marknaden svämmar över av olika sorters skydd för att ens kreditkort ska hållas säkert från de trådlösa skimmningsförsöken. Men när vi frågor runt verkar det vara ett brott utan några offer, eller i alla fall är det försvinnande få, som drabbats av denna försåtliga och omärkbara formen av digital informationsstöld.

– Nej, vi känner inte till någon incident där en konsument fått sitt korts chip avläst på trådlös väg, säger Kicki Westerståhl, på organisationen Konsumenternas Bank-och finansbyrå.

– Inte vad jag vet, men är det möjligt att det kan förekomma, men är så pass ovanligt i så fall att det inte uppmärksammats. Marknaden är kraftigt avsvalnad gällande kortbedrägerier generellt, avslutar Jan O. Olsson på Polisens IT-brottscentrum.