Behöver du vara orolig för att ditt betalkort ska bli skimmat?

Next Article

Därför behöver du en smartklocka – och här är de bästa modellerna.

SE UPP FÖR

Vad är sant och falskt om kort- bedrägerierna?

Digitala tjuvar har ännu en metod för att lägga vantarna på våra pengar. Men det är oklart om vi måste oroa oss eller inte.

AV HASSE NILSSON

SKIMMING!

är statliga Brotts-Nförebyggande rådet (BRÅ) redovisar sin statistik är bedrägeri en av Sveriges i särklass vanligaste brott att bli utsatt för. En av tre personer i vuxen ålder drabbas. Men det finns givetvis en mycket stor mängd olika sätt att bli bedragen på. Från bluffakturor till romanssvindlare.

I den nationella trygghetsundersökningen (NTU) från år 2020 framgår det att cirka 4,1 procent av befolkningen mellan 16–84 år utsattes för kortbedrägeriförsök av något slag. Det kanske inte verkar vara särskilt mycket, men det motsvarar ungefär 334 000 individer.

Från 2000-talets början och framåt har kontantuttagsmaskiner varit i fokus då hederligt folk fått sina kortuppgifter kapade.

Du kanske minns uppmaningarna att ordentligt inspektera den öppning där du för in bankomatkortet, så där inte satt en falsk läsare som kopierade information på bank- och kreditkort.

Inget problem

Denna tjuvaktiga metod verkar i princip helt utdöd på våra breddgrader. Att på elektronisk väg otillåtet läsa av kortuppgifter i brottssyfte kallas för skimming. Rent språkligt är uttrycket en mix av ordet skim, som betyder ”att skumma” och att skanna, som ju är att läsa av något fysiskt till ett digitalt format. – Skimming är ett näst intill obefintligt problem idag. Vi upptäcker ett fåtal försök per år, det är svårt att montera fungerande skimming-utrustning i våra automater. Vi tror inte att mörkertalet är signifikant då automatanvändare tenderar att snabbt rapportera misstänkt utrustning eller aktivitet kring våra automater, förklarar Magnus Sandqvist, säkerhetschef på Bankomat AB.

Risker utomlands

Om bankomater och kortterminaler inom Sverige har blivit säkrare för användarna finns det dock anledning att vara extra uppmärksam och försiktig om du är ute och reser. – I viss omfattning skimmas allmänhetens kort vid utlandssemestrar i till exempel

Carl Martinsson medgrundare på företaget Skimsafe.

Jan O. Olsson, kriminal kommissarie på nationellt ITbrottscentrum vid Polismyndighetens nationella operationella avdelning, NOA.

Kicki Westerståhl, chef på organisationen Konsumenternas Bankoch finansbyrå.

Magnus Sandqvist, säkerhetschef på Bankomat AB. bankomater och tankomater. Sedan är smittade betalstationer, kortterminaler av den typ du stoppar kortet i vid köp i butik, betydligt mer sannolika utomlands, säger Jan O Olsson, kriminalkommissarie på nationellt IT-brottscentrum vid Polismyndighetens nationella operationella avdelning, NOA.

Enligt den senaste mätningen, år 2019, var omsättningen för bedrägerier som omfattar uttagsmaskiner och kortläsare totalt 2,5 miljarder kronor inom EU. Det bör dock noteras att dessa bedrägerier även gäller olika former av lurendrejerier där förövarna fysiskt interagerar med brottsoffren, exempelvis genom att tjuvkika över axeln i kön till bankomaten och sedan stjäla kreditkortet. – Vi har bara haft något enstaka samtal de senaste åren från konsumenter som har blivit skimmade, det vill säga fått sina kortuppgifter avlästa genom att någon läst av kortet och därefter missbrukat uppgifterna, och det har varit under utlandsresor, säger Kicki Westerståhl, chef på organisationen Konsumenternas Bankoch finansbyrå.

Ett av de största skälen till att skimming minskat under senare år är att i princip alla kort som används i automater är utfärdade av kortutgivare med strängare krav på användning, konstaterar Magnus Sandqvist på Bankomat AB: – Kortföretagen och bankerna kräver i allt större utsträckning konfirmering av köp med hjälp av elektroniskt id vid köp över internet. Detta tillsammans med att inlösare som Visa/Mastercard ändrat reglerna för vem som står för risken vid användning av endast magnetremsa eller kortuppgifter plus cvc-kod, där så tillåts, har resulterat i att skimming blir väldigt ineffektivt och ger mycket dålig avkastning i förhållande till risken för de kriminella.

Ökat skydd

– Skimming är inte längre vanligt förekommande i svenska butiker. Detta sedan det blev krav på chip och pin i samband med införandet av PSD2-direktivet. Du får helt enkelt inte betala med magnetremsa och signatur längre, säger Nina Jelver som är tillförordnad säkerhetschef på branschorganisationen Svensk Handel.

Betaltjänstdirektivet PSD2 trädde i kraft hösten 2019 och består av flera delar som ställer krav på alla kortbetalningar där kortutgivaren är inom EU. I korthet innebär direktivet att för att lagligen kunna ta betalt måste näringsidkare använda en terminal som kräver pin-kod och ett chip på kortet. Köp upp till 400 kronor kan godkännas med endast pin-kod.

Moderna bank-och kreditkort har därför ett så kallat rfid-chip installerat. Detta för att du, bland annat, ska kunna ”blippa” kortet och genomföra ett så kallat kontaktlöst köp. Rfid (Radio Frequency Identity) är ett identifikationssystem som trådlöst överför elektronisk information från en enhet, exempelvis ditt kort, till en mottagare/läsare. Rfid-chip har vanligtvis ingen egen kraftkälla utan aktiveras av läsaren som drivs av ström.

Och även om de kort som följer EU:s betaldirektiv är flera resor säkrare än de äldre modellerna medger tekniken, i alla fall teoretiskt sett, att bedragarna kan operera på nya sätt som konceptmässigt är obehagliga. Tillvägagångssättet är som följer: Genom att ha en särskild läsare aktiverad, eller en för ändamålet utvecklad app i mobilen, ska en digital brottsling kunna läsa av ditt korts information utan att du märker det.

Bedragarnas metoder

Bankomater i Sverige är numera säkrare än förr.

till exempel en väska, säger Carl Martinsson medgrundare på företaget Skimsafe.

Med en mobiltelefon är avläsningsavståndet upp till fem centimeter och med starkare utrustning upp till en meter, förklarar han. – Eftersom kreditkortet alltid svarar på anrop utan att verifiera mottagaren räcker det att ställa sig nära sitt offer. Radiovågorna går genom kläder så kreditkortet kan skimmas medan det ligger kvar i plånboken.

Carl Martinsson är inte förvånad över att ingen gripits på bar gärning för trådlös skimming i Sverige. – Det ligger i metodens natur att det är mycket svårt att upptäcka. Det är även över 300 000 personer i Sverige som skyddar sina betalkort med vår produkt och ett okänt antal som använder metallplånböcker som ofta kan ge visst skydd. Detta kan ha motverkat spridningen av den här skimming-metoden eftersom det är såpass många betalkort som förvaras på ett säkert sätt, säger han.

Kräver Bank-ID

Ytterligare en aspekt som sannolikt har fungerat avvärjande när det gäller skimming är att fler och fler e-handlare på nätet kräver, i enlighet med EU-direktivet, utökade bevis på identitet. Så, även om en kriminell kommer över kortuppgifter så behöver hen i vissa fall även tillgång till Bank-Id, eller motsvarande, för att kunna genomföra större inköp och transaktioner.

Det kan bli lätt olönsamt att försöka få kontroll över alla de steg som krävs för ett lyckat kortbedrägeri. I synnerhet om det är okänt för gärningspersonen vad offret har för kreditvärdighet och tillgångar. Dessutom är informationen som lagras på kortets chip krypterad, vilket torde komplicera förfarandet ytterligare.

Många bedömare menar att det numera är lättare att köpa hackade kreditkortsuppgifter i internets mer skuggiga gränder, än att syssla med avancerade bedrägeriupplägg som tar en hel del tid och omsorg i anspråk.

Samtidigt, att stjäla kortuppgifter genom trådlös skimming kräver ingen mångårig teknisk kunskap och är enkelt jämfört med att montera skimmingsutrustning i en bankomat eller hacka en e-handelsplats. – Att köpa kortuppgifter på nätet är också förhållandevis enkelt, men det krävs ändå en särskild webbläsare, krypto-plånbok, kunskap om marknadsplatser på dark web plus att det är stor chans att du blir lurad och köper kortuppgifter som någon annan bedragare redan använt eller som spärrats, säger Carl Martinsson på Skimsafe. ■

” Skimming är inte längre vanligt i svenska butiker”

BÖR VI BEKYMRA OSS?

Ett kortbedrägeri består av två moment. Det första momentet är när kortuppgifterna stjäls från offret, vilket kan ske på en mängd olika sätt.

Det andra momentet är när kortuppgifterna används och pengar dras från offrets konto och det är först då brottet upptäcks. Frågan är hur pass bekymrad över just trådlös skimming du ska vara då det förefaller vara ont om folk som drabbats, även om det finns ett par uppmärksammade härvor utomlands som visar att bedrägerimetoden finns på riktigt. – Det finns inga data på hur vanliga olika skimming-metoder är. Det är helt enkelt omöjligt att mäta då skimmingen inte upptäcks förrän ett kortbedrägeri begås, säger Carl Martinsson på Skimsafe.

Marknaden svämmar över av olika sorters skydd för att ens kreditkort ska hållas säkert från de trådlösa skimmingförsöken. Men när vi frågor runt verkar det vara ett brott utan några offer, eller i alla fall är det försvinnande få, som drabbats av denna försåtliga och omärkbara formen av digital informationsstöld. – Nej, vi känner inte till någon incident där en konsument fått sitt korts chip avläst på trådlös väg, säger Kicki Westerståhl, på organisationen

Konsumenternas Bank-och finansbyrå. – Inte vad jag vet, men det är möjligt att det kan förekomma, men är så pass ovanligt i så fall att det inte uppmärksammats. Marknaden är kraftigt avsvalnad gällande kortbedrägerier generellt, säger Jan O Olsson på Polisens IT-brottscentrum.