I mitten av september förra året blev Kristina utsatt för ett id-kapningsförsök. Någon hade ansökt om ett lån på 250 000 kr i hennes namn. Låneansökan gick ut till ett 20-tal banker.

GDPR Bild: Montage, Pexels och iStock.com/bildfokus

Kristina1 bor på en vackert belägen gård i sydvästra Sverige tillsammans med sin man, deras gemensamma son, en bonusdotter på deltid och en hund. Hela familjen, även hunden, möter upp ute på gårdsplanen. De är mitt uppe i att fixa med gården idag.

Huset har renoverats men de har behållit den gamla stilen. I husets mitt står en vedspis som kan används för matlagning. Köket har fått en köksö. Det råder en mysig och lugnande atmosfär i huset. Hunden är kramgo och kommer och går.

Kristina hälsar välkommen och förbereder fika. Hon är i 30-årsåldern, har brunt hår, bruna ögon och är klädd i svarta fritidsbyxor och en t-tröja. Hon ser proper och tjusig ut. Vi sitter ner vid köksbordet medan hennes man fortfarande är ute och fixar med gården. Hon bjuder på lussekatter och pepparkakor till kaffet medan hon tar oss tillbaks till den där tidiga, gråmulna septembermorgonen när hon upptäckte upplysningskopiorna i Kivra.

– Det är inte ovanligt att man får upplysningskopior så fort man handlar på nätet, så jag tänkte inte så mycket på det. Men denna gången hade jag inte handlat något så jag gick in och började titta, berättar Kristina.

Det var då hon upptäckte att upplysningskopian från UC var på hela 81 sidor. Kreditupplysningarna var från en lång rad banker – banker som hon aldrig tidigare haft med att göra – bland annat Resurs Bank, Ikano Bank, Collector med flera. Här fanns även banker från Norge och Finland. Med på listan fanns också Kristinas ordinarie Bank, SEB. Hon kontaktade därför SEB och fick reda på att hon hade ansökt om ett lån på 250 000 kr. När hon förklarat att hon inte hade ansökt om något lån började banken titta närmre på ansökan. De såg då att den hade kommit via Freedom Finance dagen innan.

Kristina insåg att hon inte kunde åka till jobbet denna dag. Hon ringde sin chef och berättade om det inträffade. Chefen var förstående och sa att hon självklart inte behövde jobba denna dag.

Kristina kontaktade därefter Freedom Finance som ägs av Zmarta och förklarade att hon inte hade ansökt om något lån via dem. De började då gå igenom vilka banker de rörde sig om. Freedom Finance har samarbete med ett 40-tal banker och det var ett 20-tal av dessa som hade gjort en kreditupplysning. Däremot var det bara 14 banker som hade hunnit bevilja låneansökan.

ANNONS FÖR VÅRA EGNA BÖCKER Demonerna på internet

– Men i vilket fall som helst så fick vi ju stoppat den här låneansökan. Vad som hände sen minns jag knappt. Man är så uppstressad för man vet ju fan inte vad som händer, förklarar Kristina.

Kristina ringde och pratade med sin man, Stefan2, som var på tjänsteresa denna dag. Han tipsade om att hon måste spärra sitt personnummer hos UC, vilket hon också gjorde.

– När jag pratade med SEB sa de att jag även måste byta mitt BankID, och det hjälpte de mig med, berättar Kristina.

– Då visste jag inte hur låneansökan hade gått till, så det första jag tänkte var ju “shit, har de kommit över mitt BankID?”

Men något BankID hade bedragarna inte kommit över. Freedom Finance förklarade för Kristina att i det första skedet räcker det med att ange namn och personnummer. Därefter – för att godkänna lånet – krävs en signatur antingen på papper eller via BankID.

Att endast kräva ett personnummer för att starta en låneansökan kan kännas konstigt. Personnummer är inget som kan användas för att verifiera någons identitet. Precis som namn och adress är personnumret en offentlig handling som går att hitta lite varstans. Vet man namnet och adressen för en person går det att hämta personnumret med ett gratiskonto hos bland annat Merinfo och Ratsit. Det går även att få tag på hos Skatteverket.

Men Freedom Finance är inte de enda som gör på detta sättet. Om man inte aktivt kräver BankID-verifiering går det att handla mot faktura hos de flesta e-handlare via bland annat Klarna och Qliro. Det finns även andra tjänster som jämför och startar låneansökningar med hjälp av personnummer och namn.

– Jag fick jobba med det här i tre dagar för att se till så att allting var spärrat överallt, bekräfta spärrarna och göra polis­anmälan, berättar Kristina.

Inga pengar hann betalas ut då låneansökan stoppades snabbt. Det är oklart hur bedragarna hade planerat att gå vidare med godkännandet av lånet, men förmodligen har de haft bevakning av Kristinas brevlåda eftersom ingen hade kommit över hennes BankID. Frågan är också vart pengarna hade tagit vägen vid ett godkännande av lånet.

Polisanmälan som Kristina gjorde blev nerlagd samma dag. Någon förundersökning inleddes aldrig eftersom det, enligt polis­anmälan, “är uppenbart att brottet inte går att utreda”.

Magnus Lindegren, chef för bedrägerisektionen vid polisregion Väst, berättar att det både är svårt att utreda och även att bevisa id-kapningar. Det är också svårt att spåra ett IP-nummer till en enskild person, särskilt med tanke på VPN-tjänsterna och att många operatörer låter flera kunder dela på samma IP-nummer. Han berättar också att om pengarna hade betalats ut hade man kunnat spåra det till mottagarkontot, men även då hade det blivit svårt att bevisa uppsåtet.

– Det är svårt att styrka att mottagaren visste om transaktionen. Man kan ju ha uppgett sin kompis kontonummer, berättar Magnus Lindegren.

Detta återspeglas också i Brottsförebyggande rådets statistik. År 2021 anmäldes 27 129 id-kapningar (brottet olovlig identitetsanvändning). Av dessa klarades bara 255 upp.

– Polisen var väl hjälpsamma och tog upp anmälan, och satte även de banker som beviljat lånet som målsägare, berättar Kristina och fortsätter:

– Polisen ville ha uppgifter om vad som stod i låneansökan för att kunna starta en förundersökning. Och jag sa att det är klart jag kan göra det. Jag ringde upp Zmarta för att få fram vad som stod i låneansökan, men där fick jag stopp.

Hon berättar att Zmarta har som policy att inte lämna ut uppgifter om man inte själv har sökt lånet. Det är endast polisen som kan begära ut dessa uppgifter. Och det gjorde de aldrig.

Kristina har tillsammans med CyberInfo begärt ut de uppgifter som registrerades om henne hos Zmarta i samband med låneansökan. De intressanta uppgifterna, som mejladressen och telefonnumret som bedragaren hade uppgett, har maskats i handlingarna.

Zmarta bekräftar i ett mejl till CyberInfo att om uppgifterna inte tillhör personen i fråga kan de bara lämna ut dem till polisen.

Kristinas personnummer är nu spärrat hos UC. Detta innebär att hon tillfälligt måste låsa upp spärren med sitt BankID för att exempelvis kunna köpa saker mot faktura eller hyra en bil på macken. Detta gör det mycket svårare för bedragarna att gå vidare med id-kapningen eller utföra andra bedrägerier mot henne. När man först spärrar sig hos UC aktiveras spärren på två veckor. Därefter måste man inkomma med en polisanmälan och spärren utökas då till fem år. Spärren gäller dessutom även hos UCs samarbetspartners: Bisnode, Creditsafe, Decidas Info och Syna.

– Det fungerar ganska smidigt att under kontorstid, måndag till fredag, kunna lyfta spärren på minuc.se. Jag har låst upp den ett par gånger och det fungerar bra. Man får bara komma ihåg att gå in och låsa igen, berättar Kristina.

– Jag känner mig faktiskt tryggare. Det är ingen som kan köpa något på nätet, det är ingen som kan hyra en bil. Det är ingen som kan köpa något i en butik på avbetalning, fortsätter hon.

Kristina ringde även till Skatteverket för att kontrollera att hon fortfarande var mantalsskriven på sin adress, vilket hon var. Hon spärrade då också adressändring hos både Skatteverket och Svensk Adressändring. Hos Skatteverket spärrade hon även ombudsregistrering.

Kristina har en stabil inkomst och en välskött ekonomi, precis det som en bedragare letar efter. Förmodligen har bedragarna kollat upp hennes ekonomi i förväg. Att hon ändå klarade sig så bra som hon gjorde beror förmodligen på att hon spärrade allting snabbt.

Läs gärna även artikeln Tre enkla sätt att försvåra bedrägerier.

  1. Kristina heter egentligen något annat. 

  2. Stefan heter egentligen något annat. 


Nyhetsbrev
Nyhetsuppdateringar från tidningen direkt till din inkorg, helt kostnadsfritt. Avsluta när du vill.

Kommentarer

Kommentarsfältet är modererat. Det innebär att alla kommentarer granskas av ansvarig utgivare före publicering.

Du väljer själv om du vill ange ditt riktiga namn, en pseudonym eller vara helt anonym. Ingen registrering behövs.