Økonomi

Hacker overtok kundes e-postutveksling med banken

Stadig flere får Gmail-kontoen sin hacket. Maren Evensmo Jacobsen opplevde at en e-postkorrespondanse med en bankrådgiver ble kapret uten at hun eller rådgiveren skjønte det.

  • Arild Færaas

Se video i toppen for å se hvilke triks hackerne bruker, og hvordan du kan beskytte deg.

Jacobsen ville ha råd om hvordan hun skulle investere noen penger hun hadde til overs. Derfor tok hun kontakt med rådgiveren sin på e-post i desember.

– Etter noen e-poster frem og tilbake, fikk jeg til slutt ikke noe mer svar. Det synes jeg var rart.

I januar søkte hun på navnet til rådgiveren for å se om hun kunne finne tilbake til de gamle e-postene, og da oppdaget hun at Gmail-kontoen hennes var hacket.

– Det var en e-post som noen hadde sendt fra meg til rådgiveren hvor det ble spurt om banken kunne overføre penger til kontoen til min nevø.

HAR DU TIPS TIL SAKER OM PERSONVERN ELLER INFORMASJONSSIKKERHET? Kontakt journalisten på e-post , send tips til vår krypterte varsleportal eller send vanlig post og stil til Arild Færaas.

Ville ha penger til «nevø»

Bankrådgiver Gisle Osaland i SR-Bank hadde også svart svindleren. Der skrev han at om hun skulle gjøre en bankoverføring til nevøen hennes, måtte det gjøres i nettbanken. Han skrev også at det var så mange skrivefeil at han begynte å lure på om det var en svindel-post.

— E-postene var lagt inn i en annen mappe enn hovedmappen som jeg vanligvis bruker. Det var kjempeekkelt og jeg fikk sjokk da jeg skjønte at noen andre hadde vært inne og sett på min private e-post. Det var tydeligvis nøye planlagt også.

LES MER:

Les også

E-post-svindlere lover «penger tilbake på skatten»

Hun forteller at hun i desember fikk melding om at hun måtte bytte passord på Gmail.

— Jeg skjønte ikke at det kunne bety at jeg var hacket, og jeg var mest irritert over at jeg måtte bytte passordet jeg hadde hatt i så mange år.

Maren Evensmo Jacobsen som ble utsatt for svindelforsøk. Dan Petter Neegaard

Banken ble først klar over det som hadde skjedd da Jacobsen kontaktet dem etter at hun oppdaget at hun ble hacket.Vidar Sandland, seniorrådgiver i Norsis (Norsk senter for informasjonssikring), bekrefter overfor Aftenposten at de den siste tiden har merket en markant økning av henvendelser om hackede epostkontoer, og da særlig Gmail.

— Det skjer hele tiden og ofte fordi folk gir fra seg brukernavn og passord på falske sider. Svindlerne spiller på tillit, og får folk til å tro at de får en ordentlig e-post.

LES OGSÅ:

Les også

Toalettbesøket ditt kan havne på nettet

Googles pressekontakt Christine Sørensen sier til Aftenposten at de aldri kommenterer om det har vært en økning eller nedgang i hacking av Gmail-kontoer.

— Men for å være mer beskyttet mot hacking anbefaler vi å bruke tostegsfunksjonen for passord. Den hever sikkerhetsnivået.

Tostegsfunksjonen hos Google fungerer slik at for hver nye maskin du logger deg på Gmail-kontoen din, må du i tillegg til passordet ditt også skrive inn en kode du får tilsendt på mobilen.

Har advart banker

Osaland som fikk svindel-e-posten sier at han ikke skjønte at det var en svindel-epost med en gang.

— Jeg tenkte at den var skrevet på mobilen og at det var derfor det var så mye skrivefeil. Men det var uvanlig for hun skriver vanligvis bra norsk.

Han mener likevel at det ikke skulle skjedd noe som ville ført til økonomisk tap for Jacobsen.

— Så lenge penger skal ut av kunders konto, pleier jeg å passe på at det skal skje i nettbanken.

Hovedorganisasjonen Finans Norge sier også at de har advart banker mot kriminelle som prøver å hacke seg inn på kunders e-post-kontoer.

— Dette er metoder som er godt kjent i sikkerhetsmiljøene, også fra utlandet. Hver enkelt bank har ansvar for sine kundeforhold, og det skal være gode rutiner som sikrer rett verifisering av kunders identitet før det overføres midler, eller blir gjort andre handlinger som berører kundeforholdet, sier kommunikasjonssjef Stine Neverdal.

LES MER:

Les også

Twitter tappet for 250.000 passord

Banken: Tre andre lignende tilfeller

Thor-Christian Haugland er konserndirektør for kommunikasjon i Sparebank 1 SR-Bank. Han forteller Aftenposten at de har hatt tre tilsvarende svindelforsøk som det Maren Evensmo Jacobsen ble utsatt for

— Svindlerne klarer å lese seg opp på historikken og bruker det i neste omgang for å sannsynliggjøre overfor banken at det er den rette personen som sender e-posten.

Dette var eposten som svindleren sendte fra Maren Evensmo Jacobsens epost til SR-Bank. Skjermbilde

Ingen av svindlerne har lykkes mot SR-Bank, men Haugland utelukker ikke at de kunne ha gjort det.

– Vi skal være sikre på at når vi har en dialog med en kunde, er det den rette kunden. Men det har nok skjedd før at det har blitt gjort banktransaksjoner på grunnlag av e-poster. Men vi har nå endret rutinene, sånt at alt slikt skal skje i nettbanken, sier Haugland.

Sikkerhetsekspert Vidar Sandland mener uansett det er dårlig av banker å ha kommunikasjon med kunder på e-post. Han mener alt bør gå via nettbanken.

Norsis advarte også i høst i fjor om svindlere som prøver å lure norske banker. Det var blant annet sendt e-poster fra hackede gmail-kontoer, hvor det også var sendt kopi av kundens pass. Da hadde svindlerne fått tilgang på passet via sendte elementer hos kunden.

— Begrensede tap

Aftenposten kan ikke utelukke, men har heller ikke klart å oppdrive eksempler hvor svindlere faktisk har klart å lure banker til å overføre penger til dem på den måten som er beskrevet her mot Jacobsen.

Stine Neverdal i Finans Norge sier at de samlet sett ikke kjenner til veldig mange slike tilfeller.

— Såvidt vi kjenner til er det svært begrensede tap knyttet til dette.

Aftenposten har kontaktet de fire største bankene for å høre om de har opplevd det samme som SR-Bank.

Også DNB har opplevd slike svindelforsøk

DNB opplyser at de har registrert en økning av saker hvor kunders epostkontoer blir tatt over av hackere og at også en korrespondanse blir overtatt. Men fordi DNB ikke overfører penger bare basert på e-post, har ikke svindelen latt seg gjennomføre.

Handelsbanken, Danske Bank og Nordea sier de ikke har opplevd slike svindelforsøk.

— En annen trend vi har observert er at hackere sender «korreksjon» på fakturaer hvor de setter inn eget kontonummer i de tilfellene epostkontoene benyttes for å sende ut fakturaene på vegne av firmaer. Da kan mottaker tro at den første originale fakturaen var feil og så betale til den nye kontoen hackerne oppgir, sier informasjonsdirektør Even Westerveld i DNB.

Lars Erik Fjørtoft er daglig leder for Bankenes standardiseringskontor. Han tror at dersom bankene skulle gå på en slik svindel vil det være snakk om småbeløp.

— Men disse angriperne er hele tiden på jakt etter områder hvor vi i bankfellesskapet er sårbare, sier han.

LES OGSÅ:

Les også

Bruker kortnummer for å svindle deg

Slik kan du unngå hacking

Vidar Sandland, seniorrådgiver i Norsis (Norsk senter for informasjonssikring) gir under her råd om hva du kan gjøre for å minimere risikoen for å bli hacket.

Vidar Sandland er ekspert på sikkerhet på internett. Astrid Hexeberg

— Ha forskjellige passord forskjellige steder, og bytt passord jevnlig.

— Aldri klikk på linker for å komme til Gmail, Facebook eller andre steder hvor du skal skrive inn brukernavn og passord eller annen sensitiv informasjon. Og om du får en e-post eller sms fra noe som ser ut som banken din, skal du aldri gi fra deg informasjon eller trykke på linker fra dem.

— Skriv adressen i adressefeltet for å komme dit du vil, og bare skriv brukernavn og passord på sider som har «https» i begynnelsen av adressen, og hvor du kan se en hengelås. For å være helt sikker trykker du på låsen, og ser på sertifikatet om det er den rette nettadressen som er lagt inn der.

— Dersom du er på et åpent trådløst nettverk bør du være forsiktig med å logge deg på sider med brukernavn og passord, iallfall der det ikke er kryptering. Dersom du skal sende noe sensitivt eller gå inn i nettbanken er det bedre å bruke mobilt bredbånd.

— Ha oppdaterte operativsystemer og programmer, særlig på Adobe reader, Java og Adobe flash player. Også ha oppdatert anti-virus.

Hvordan Maren Evensmo Jacobsen ble hacket vet hun ikke, men Sandland viser i videoen i toppen av saken flere vanlige hackemetoder som kan være brukt mot henne.

  1. Les også

    130 millioner passord lekket på internett

  2. Les også

    Snart kan vi bli kvitt de plagsomme passordene

  3. Les også

    Store mørketall ved nettsvindel

  4. Les også

    Politiet misbrukes i ny nettsvindel

  5. Les også

    Slik hacker NSA seg inn i datamaskiner verden over

  6. Les også

    - Folk bør ha lås på postkassen

Vi videreutvikler våre artikler.
Hjelp oss å forbedre, gi din tilbakemelding.
Gi tilbakemelding

Relevante artikler

  1. DIGITAL

    Telefonsvindel: – Forfalskningen av numrene gjør det ekstra vanskelig og utfordrende

  2. DIGITAL

    Høysesong for svindlerne: Her er tipsene som gjør at du ikke blir lurt

  3. DIGITAL

    Unngå hackerne med disse fem triksene

  4. DIGITAL

    Unngå hackerne med disse fem triksene

  5. DIGITAL

    Derfor bør du ikke koble datamaskinen eller mobilen din til gratis nettverk

  6. DIGITAL

    Svindelnettsider utgir seg for å være Aftenposten i forsøk på å få tak i kredittkortopplysningene dine