For enkelt å lure banken

Bankene setter kundetilfredshet foran sikkerhet, og gjør identitetstyveri på nettet for enkelt, ifølge en fersk amerikansk rapport.
Såkalte phishing-angrep utgjør en sterkt økende andel av bankkort-svindel i USA, hevder analyseselskapet Gartner Group, som anslår at amerikanske banker hvert år svindles for 2,75 milliarder dollar, eller rundt 15 milliarder kroner.

Phishing-angrep er definert som å villede brukere til å oppgi fortrolig informasjon til falske nettsteder. Bankkort-svindel og phishing er velkjente fenomener blant bankene, men de er ikke alltid så flinke til å se sammenhengen, mener Avivah Kitan, forskningsleder i Gartner.

En økning i omfanget av kortsvindel kan gjøre ting verre for kunder som rammes av identitetstyveri.

-- Det er et mareritt for kundene. Og de får ikke alltid pengene sine tilbake. Enkelte banker vil hevde at det ikke finnes beviser for at det står kriminelle bak, sier Kitan til IDG News Service.

Øker også her

Forsøkene på å lokke kunder til å oppgi kontonummeret har økt også i Norge. Men det har bare vært ett kjent eksempel på at phisherne har gitt seg i ut for å være en norsk bank, DNB Nor i dette tilfellet, sier informasjonssjef Thomas Midteide i VISA Norge.

-- Risikoen øker jo hvis kunden kjenner seg igjen, hvis det er epost som ser ut som den kommmer fra ens egen bank, sier Midteide.

Men Norge er et lite land, og det er de internasjonale storbankene, som Bank of America og Barclay's Bank, som er mest utsatt for phishing-fenomenet. Ved netthandel bør man derfor være oppmerksom på at nettstedene normalt bruker en lokalt beliggende betalingssentral.

Da spiller set liten rolle hva slags sikkerhetsmekanismer som finnes i din norske nettbank.

Svar aldri

Under den omfattende kortsvindelen i juni, som rammet 40 millioner kunder totalt, var det for eksempel flere tusen norske kunder som hadde vært innom databasen som ble hacket, uten at de nødvendigvis ble svindelt av den grunn.

Midteide har et par enkle råd og forholdsregler:

-- Oppgi aldri kortnummeret ditt bortsett fra når du selv har tatt initativet til en handel. Bankene elle Visa vil aldri sende ut henvendeleser der du bes om å oppgi ditt kontonummer. Det er jo opplysninger vi sitter på fra før. Og bruk de store, seriøse nettbutikkene, hvis du skal handle på nettet.

Fjernet sikkerhetskode

Minstekravet fra bankene i USA er at det oppgis kontonummer og pin-kode for å ta ut penger fra en konto. Men bankene kan også lagre et tredje nummer på kortets magnetiske stripe på baksiden av kortet. Nummeret er ukjent for kunden, men kan brukes til å bekrefte kortets gyldighet.

Nummeret, som kalles en pin-offset, ble mye brukt i minibankenes barndom. Men bare rundt halvparten av amerikanske banker bruker denne koden idag, fordi den normalt krever at kortet må bringes til banken hver gang man ønsker å endre pin-koden.

Kundene foretrekker å kunne endre sin pin-kode per telefon, og derfor har mange banker droppet pin-offset-nummeret.

En utilsiktet effekt av dette har vært at kortene er blitt enklere å svindle for "phishere", siden de ikke trenger å lese dette tredje nummeret rett fra kortet, for å kunne utføre kortsvindel.

Doblet på tre måneder

Basert på en undersøkelse blant 5.000 voksen amerikanere i mai, anslår Gartner at rundt 3 millioner ble rammet av kortsvindel det siste året. De vanligste svindelmetodene er å stjele lommeboka og å stjele informasjon på internett. Litan i Gartner antar at 70 prosent av minibanksvindelen er en form for phishing.

Selskapet Postini, som spesialiserer seg på sikkerhetsprodukter relatert til epost, sier at epost med lenker til phishing-nettsteder nådde nye rekorder i juli. Selskapet stanset i juli over 19 millioner phishing-epostmeldinger, nær en dobling i forhold til april i år.