Tekniken nummer-spoofing är vare sig ny eller olaglig men kan anses problematisk när myndighetsnummer används av kriminella för att begå investeringsbedrägerier. Det råkade Finansinspektionen ut för tidigare under hösten.
Lätt för kriminella att utnyttja myndighetsnummer till investeringsbedrägerier
Mest läst i kategorin
I september uppmärksammade Finansinspektionen, FI, att bedragare hade kontaktat konsumenter och utgett sig att ringa från myndigheten. Tekniken för att visa ett annat nummer än det man egentligen ringer ifrån, nummer-spoofing, har funnits i många år och är helt laglig. Vem som helst kan köpa en sådan tjänst för att exempelvis pranka en kompis. Nummer-spoofing går ut på att man använder sig av datatjänster som maskerar avsändarens telefonnummer. I FI:s fall så har myndighetens växelnummer visats när kriminella ringt privatpersoner för att begå investeringsbedrägerier. Detta fick FI att gå ut med information till konsumenter om det inträffade.
– Vi ser att konsumenter drabbas på många olika sätt. Så fort vi får reda på att vårt namn använts för att utsätta folk för sådant är det rimligt att vi varnar konsumenterna. Bedragarna utnyttjar konsumenternas relativa okunskap. Det är inte så konstigt att vi utnyttjas på det sättet då företag på finansmarknaden ska ha tillstånd och det är vi som ger dessa tillstånd, säger Lars Malmström, avdelningschef för Konsumentavdelningen på Finansinspektionen, till Realtid.
Personerna som kontaktades av bedragarna via Finansinspektionens manipulerade nummer hade oftast redan utsatts för ett investeringsbedrägeri. Bedragarna försökte då lura dem en gång till med löftet om att hjälpa dem att få tillbaka dem redan förlorade pengar.
– Senast under hösten har de flesta vi varit i kontakt med varit personer som redan investerat och hade blivit erbjudna någon form av åtgärd och hade goda förhoppningar att få tillbaka pengarna. De kontaktades av samma bedragare eller andra bedragare i samma nätverk som bjöd på någon form av räddningsprogram, säger Lars Malmström. Vi har jättesvårt att veta hur många som blir lurade men på några få dagar blev vi kontaktade av många, tiotals, som ville komma i kontakt med oss. Men det finns ett stort mörkertal.
IP-telefoni underlättar nummer-spoofing
IP-baserad telefoni har gjort det lättare att manipulera ett nummer på det sättet. Numera går det för en organisation att i viss mån skydda sig från spoofing. Det är nu möjligt att sätta upp telefonnummer på en särskild lista så att det inte ska bli spoofat inom Sverige. Denna manuella lista skapade nätägarna förra året men företagen själva måste be sin operatör att inte visa numret. Däremot finns det i dagsläget inget regelverk som kräver att tillsynsmyndigheter eller banker ska skydda sig mot nummer-spoofing.
– Nu har operatörer tillsammans kommit fram till ett sätt att spärra vissa typer av manipulerade nummer och på så sätt försvårar användning av spoofing i bedrägligt syfte. Den som innehar numret måste aktivt välja hos sin operatör att numret spärras om det används för utgående samtal, säger Susanne Chennell, senior rådgivare på nätsäkerhetsavdelningen på Post- och telestyrelsen, PTS, till Realtid.
Hon fortsätter:
– I dagsläget finns inget regelkrav på att vissa typer av företag ska använda sig av den typen av skydd. Spoofing är i Sverige en fråga för de brottsbekämpande myndigheterna i de fall det resulterar i någon form av bedrägeri.
FI har sedan detta inträffade vidtagit åtgärder för att förebygga att spoofing fortsätter.
– Vi har vidtagit ett flertal åtgärder med vår telefonoperatör, det som bedöms möjligt att göra. Vi vidtog åtgärderna för ett bra tag sedan, när vi blev varse om att vi blev utsatta för den typen av bedrägerier. Men det är inte möjligt att värja sig helt mot den typen av bedrägerier, säger Lars Malmström på FI. Vi jobbar med informationsgivning och försöker informera personer om att investeringsbedrägerier pågår.
Sociala nätverk används flitigt av kriminella för att identifiera och rekrytera offer till olika typer av bedrägerier, inte minst sociala bedrägerier, det vill säga bedrägerier som går ut på att utnyttja en förtroendeställning i bedrägerisyfte, i vilka investeringsbedrägerier ingår. Finansinspektionens sociala medieinvestering kan dock knappast matcha bedragarnas.
– Idag vill vi synas i sociala medier där många av dem som blir lurade blir kontaktade. Och vi har precis lagt ut en kort film i sociala kanaler. Vi driver också utbildningar för privatpersoner. Dessa bedragare har en ganska aggressiv marknadsföring, ringer och bearbetar personer som redan börjat investera, säger FI:s Lars Malmström. Det är otroligt mycket pengar som försvinner i investeringsbedrägerier som bedragarna sedan kan använda till att marknadsföra sig. Vi gör vad vi kan men vi kan inte matcha de budget de har.
I takt med att användningen av sociala medier ökat har antalet investeringsbedrägerier exploderat.
I snitt 370 000 kronor per investeringsbedrägeri
Under 2019 anmäldes 1 600 sådana investeringsbedrägerier till ett värde av cirka 592 miljoner kronor. I snitt handlade det om att man lurats på 370 000 kronor.
– Men det finns ett stort mörkertal då det inte är alla som anmäler. Man kan skämmas otroligt mycket för att man blivit lurad när man till exempel hade kanske tänkt att man skulle investera för att öka sin pension, säger Lotta Mauritzson, Brottsförebyggare, på Nationellt bedrägericenter på Polismyndighetens Nationella operativa avdelningen, NOA, till Realtid.
Hittills under 2020 har otalt 11 076 bedrägerier genom social manipulation anmälts. Av dessa var totalt 1 144 investeringsbedrägerier, vilket är en ökning med 16 procent i jämförelse med samma period förra året.
– Spoofing är bara en liten del av bedrägeriet. Ofta handlar det om telefonbedrägerier eller vishing – även kallat voice phishing*. Tidigare var det uteslutande så att man påstådde sig ringa från ”banken” men numera drabbas många olika kända verksamheter, varav Finansinspektionen är en av dem, säger Lotta Mauritzson. Men nej, det går tyvärr inte att lita på det nummer som visas och det används ju av bedragare emellanåt för att legitimera samtalet.
– Men vi har ändå kommit en bit på väg i och med att det numera finns en lista med numret som ska spärras, säger Lotta Mauritzson.
Vishing, eller voice phishing handlar om att den person som ringer upp offret försöker det att uppge sina inloggningsuppgifter till banken för att bedra personen på pengar.