Kapad identitet
I mitten av september förra året blev Kristina utsatt för ett id-kapningsförsök. Någon hade ansökt om ett lån på 250 000 kr i hennes namn. Låneansökan gick ut till ett 20-tal banker.
Bild: Montage, Pexels och iStock.com/bildfokus
Kristina1 bor på en vackert belägen gård i sydvästra Sverige tillsammans med sin man, deras gemensamma son, en bonusdotter på deltid och en hund. Hela familjen, även hunden, möter upp ute på gårdsplanen. De är mitt uppe i att fixa med gården idag.
Huset har renoverats men de har behållit den gamla stilen. I husets mitt står en vedspis som kan används för matlagning. Köket har fått en köksö. Det råder en mysig och lugnande atmosfär i huset. Hunden är kramgo och kommer och går.
Kristina hälsar välkommen och förbereder fika. Hon är i 30-årsåldern, har brunt hår, bruna ögon och är klädd i svarta fritidsbyxor och en t-tröja. Hon ser proper och tjusig ut. Vi sitter ner vid köksbordet medan hennes man fortfarande är ute och fixar med gården. Hon bjuder på lussekatter och pepparkakor till kaffet medan hon tar oss tillbaks till den där tidiga, gråmulna septembermorgonen när hon upptäckte upplysningskopiorna i Kivra.
– Det är inte ovanligt att man får upplysningskopior så fort man handlar på nätet, så jag tänkte inte så mycket på det. Men denna gången hade jag inte handlat något så jag gick in och började titta, berättar Kristina.
Det var då hon upptäckte att upplysningskopian från UC var på hela 81 sidor. Kreditupplysningarna var från en lång rad banker – banker som hon aldrig tidigare haft med att göra – bland annat Resurs Bank, Ikano Bank, Collector med flera. Här fanns även banker från Norge och Finland. Med på listan fanns också Kristinas ordinarie Bank, SEB. Hon kontaktade därför SEB och fick reda på att hon hade ansökt om ett lån på 250 000 kr. När hon förklarat att hon inte hade ansökt om något lån började banken titta närmre på ansökan. De såg då att den hade kommit via Freedom Finance dagen innan.
Kristina insåg att hon inte kunde åka till jobbet denna dag. Hon ringde sin chef och berättade om det inträffade. Chefen var förstående och sa att hon självklart inte behövde jobba denna dag.
Kristina kontaktade därefter Freedom Finance som ägs av Zmarta och förklarade att hon inte hade ansökt om något lån via dem. De började då gå igenom vilka banker de rörde sig om. Freedom Finance har samarbete med ett 40-tal banker och det var ett 20-tal av dessa som hade gjort en kreditupplysning. Däremot var det bara 14 banker som hade hunnit bevilja låneansökan.
ANNONS FÖR VÅRA EGNA BÖCKER
– Men i vilket fall som helst så fick vi ju stoppat den här låneansökan. Vad som hände sen minns jag knappt. Man är så uppstressad för man vet ju fan inte vad som händer, förklarar Kristina.
Kristina ringde och pratade med sin man, Stefan2, som var på tjänsteresa denna dag. Han tipsade om att hon måste spärra sitt personnummer hos UC, vilket hon också gjorde.
– När jag pratade med SEB sa de att jag även måste byta mitt BankID, och det hjälpte de mig med, berättar Kristina.
– Då visste jag inte hur låneansökan hade gått till, så det första jag tänkte var ju “shit, har de kommit över mitt BankID?”
Men något BankID hade bedragarna inte kommit över. Freedom Finance förklarade för Kristina att i det första skedet räcker det med att ange namn och personnummer. Därefter – för att godkänna lånet – krävs en signatur antingen på papper eller via BankID.
Att endast kräva ett personnummer för att starta en låneansökan kan kännas konstigt. Personnummer är inget som kan användas för att verifiera någons identitet. Precis som namn och adress är personnumret en offentlig handling som går att hitta lite varstans. Vet man namnet och adressen för en person går det att hämta personnumret med ett gratiskonto hos bland annat Merinfo och Ratsit. Det går även att få tag på hos Skatteverket.
Men Freedom Finance är inte de enda som gör på detta sättet. Om man inte aktivt kräver BankID-verifiering går det att handla mot faktura hos de flesta e-handlare via bland annat Klarna och Qliro. Det finns även andra tjänster som jämför och startar låneansökningar med hjälp av personnummer och namn.
– Jag fick jobba med det här i tre dagar för att se till så att allting var spärrat överallt, bekräfta spärrarna och göra polisanmälan, berättar Kristina.
Inga pengar hann betalas ut då låneansökan stoppades snabbt. Det är oklart hur bedragarna hade planerat att gå vidare med godkännandet av lånet, men förmodligen har de haft bevakning av Kristinas brevlåda eftersom ingen hade kommit över hennes BankID. Frågan är också vart pengarna hade tagit vägen vid ett godkännande av lånet.
Polisanmälan som Kristina gjorde blev nerlagd samma dag. Någon förundersökning inleddes aldrig eftersom det, enligt polisanmälan, “är uppenbart att brottet inte går att utreda”.
Magnus Lindegren, chef för bedrägerisektionen vid polisregion Väst, berättar att det både är svårt att utreda och även att bevisa id-kapningar. Det är också svårt att spåra ett IP-nummer till en enskild person, särskilt med tanke på VPN-tjänsterna och att många operatörer låter flera kunder dela på samma IP-nummer. Han berättar också att om pengarna hade betalats ut hade man kunnat spåra det till mottagarkontot, men även då hade det blivit svårt att bevisa uppsåtet.
– Det är svårt att styrka att mottagaren visste om transaktionen. Man kan ju ha uppgett sin kompis kontonummer, berättar Magnus Lindegren.
Detta återspeglas också i Brottsförebyggande rådets statistik. År 2021 anmäldes 27 129 id-kapningar (brottet olovlig identitetsanvändning). Av dessa klarades bara 255 upp.
– Polisen var väl hjälpsamma och tog upp anmälan, och satte även de banker som beviljat lånet som målsägare, berättar Kristina och fortsätter:
– Polisen ville ha uppgifter om vad som stod i låneansökan för att kunna starta en förundersökning. Och jag sa att det är klart jag kan göra det. Jag ringde upp Zmarta för att få fram vad som stod i låneansökan, men där fick jag stopp.
Hon berättar att Zmarta har som policy att inte lämna ut uppgifter om man inte själv har sökt lånet. Det är endast polisen som kan begära ut dessa uppgifter. Och det gjorde de aldrig.
Kristina har tillsammans med CyberInfo begärt ut de uppgifter som registrerades om henne hos Zmarta i samband med låneansökan. De intressanta uppgifterna, som mejladressen och telefonnumret som bedragaren hade uppgett, har maskats i handlingarna.
Zmarta bekräftar i ett mejl till CyberInfo att om uppgifterna inte tillhör personen i fråga kan de bara lämna ut dem till polisen.
Kristinas personnummer är nu spärrat hos UC. Detta innebär att hon tillfälligt måste låsa upp spärren med sitt BankID för att exempelvis kunna köpa saker mot faktura eller hyra en bil på macken. Detta gör det mycket svårare för bedragarna att gå vidare med id-kapningen eller utföra andra bedrägerier mot henne. När man först spärrar sig hos UC aktiveras spärren på två veckor. Därefter måste man inkomma med en polisanmälan och spärren utökas då till fem år. Spärren gäller dessutom även hos UCs samarbetspartners: Bisnode, Creditsafe, Decidas Info och Syna.
– Det fungerar ganska smidigt att under kontorstid, måndag till fredag, kunna lyfta spärren på minuc.se. Jag har låst upp den ett par gånger och det fungerar bra. Man får bara komma ihåg att gå in och låsa igen, berättar Kristina.
– Jag känner mig faktiskt tryggare. Det är ingen som kan köpa något på nätet, det är ingen som kan hyra en bil. Det är ingen som kan köpa något i en butik på avbetalning, fortsätter hon.
Kristina ringde även till Skatteverket för att kontrollera att hon fortfarande var mantalsskriven på sin adress, vilket hon var. Hon spärrade då också adressändring hos både Skatteverket och Svensk Adressändring. Hos Skatteverket spärrade hon även ombudsregistrering.
Kristina har en stabil inkomst och en välskött ekonomi, precis det som en bedragare letar efter. Förmodligen har bedragarna kollat upp hennes ekonomi i förväg. Att hon ändå klarade sig så bra som hon gjorde beror förmodligen på att hon spärrade allting snabbt.
Läs gärna även artikeln Tre enkla sätt att försvåra bedrägerier.
Nyhetsbrev
Nyhetsuppdateringar från tidningen direkt till din inkorg, helt kostnadsfritt. Avsluta när du vill.
Relaterade artiklar
-
Ditt gamla telefonnummer är en säkerhetsrisk
Telefonnummer som inte längre är i bruk återanvänds. Det innebär att nästa person som får ditt gamla telefonnummer kan använda det för att ta sig in på dina onlinekonton, exempelvis Facebook.
-
PrizeKing-bedrägerierna från 72144
Under augusti månad har många drabbats av PrizeKing- och PrizeChief-bedrägerierna från SMS-nummer 72144. Allt börjar med att man får ett SMS om att man har beställt en prenumeration på PrizeChief eller PrizeKing. Därefter debiteras 40–50 kr i veckan på mobilräkningen – utan att man själv aktivt har startat någon prenumeration.
-
Tre enkla sätt att försvåra bedrägerier
Det finns många åtgärder vi kan vidta för att försvåra bedrägerier och ID-kapningar på internet. Här listar jag tre enkla åtgärder som går snabbt att genomföra på egen hand.
Senaste nyheterna och inläggen
-
Avlyssna trafik på servern med Wireshark och TShark
Wireshark är ett ovärderligt verktyg för att felsöka nätverkskonfigurationer, applikationer, API:er, demoner och mycket annat. I kombination med
tsharkkan vi dessutom avlyssna trafiken på en server i realtid. -
Mysig stämning på sommarens första demoparty
I helgen var det Reunion 2024 i Kvidinge Folkets hus, sommarens första skånska demoparty. Partyt organiserades av Jesper “Skuggan” Klingvall. På plats fanns ett 30-tal besökare.
-
Sommarens skånska demopartyn
Årets sommar bjuder på två skånska demopartyn. Först ut är Reunion i Kvidinge den 28–30 juni. Därefter är det Pågadata i Örtofta den 9–11 augusti.
-
Riskerna med BankID som ingen pratar om
BankID är ett säkert och smidigt sätt att identifiera sig online. Men i takt med dess ökade popularitet och användning har det blivit en svag länk – en single point of failure – på mer än ett sätt.
-
Polisernas fängelsedomar står fast
Efter tre år är målet mot de två poliser som olovligen tog sig in i en berusad mans bostad i Landskrona och misshandlade honom klart. Högsta domstolen beslutade den sjätte mars att avvisa överklagan. Fängelsedomarna för poliserna står därmed fast.
Utvalda artiklar
-
Mysig stämning på sommarens första demoparty
I helgen var det Reunion 2024 i Kvidinge Folkets hus, sommarens första skånska demoparty. Partyt organiserades av Jesper “Skuggan” Klingvall. På plats fanns ett 30-tal besökare.
-
Datorparty i Landskrona
I helgen höll Syntax Society sitt årliga sommarparty. Platsen var en källarlokal i Landskrona där ett femtontal personer medverkade.
-
Det första Pågadata har ägt rum
I helgen ägde det första Pågadata rum – uppföljaren till Gubbdata. Platsen var Folkets Hus i Kvidinge. Organisatör av partyt var Johan “z-nexx” Osvaldsson med hjälp från Jesper “Skuggan” Klingvall. Partyt hade över 100 anmälda deltagare.
-
Även hovrätten fäller poliserna för att ha satt dit oskyldig
Hovrätten fastställer straffet för de två poliser som förra året dömdes till vardera ett års fängelse av Lunds tingsrätt för att ha misshandlat och satt dit en oskyldig man. De båda poliserna ska även betala skadestånd till mannen.
-
Retroloppis i Påarp
Idag var det retroloppis hos Andreas Nilsson i Påarp. På baksidan av huset fanns hundratals spel uppradade på långa bord. Trots friska vindar och sval temperatur var loppisen välbesökt.
CyberInfo Sverige är ett it- och medieföretag i nordvästra Skåne som tillhandahåller böcker, utbildningar, nyheter och konsulttjänster inom Linux, säkerhet och programmering.
CyberInfo Sverige är godkänd för F-skatt, är momsregistrerat och innehar
utgivningsbevis för webbplatsen www.cyberinfo.se.
