Økokrim vet at store beløp er på avveie

14. april meldte organisasjonen for internasjonalt kriminalpolitisamarbeid, Interpol, at de hadde arrestert to personer i tilknytning til det de beskrev som en sofistikert internasjonal svindel.

Svindelen startet da tyske myndigheter i midten av mars ville anskaffe ansiktsmasker for til sammen 15 millioner euro. Selskapene som ble leid for å gjøre jobben, fant raskt ut at det ordinære markedet allerede var støvsugd. De kom så over hjemmesiden til et selskap i Spania som kunne hjelpe dem. Etter en korrespondanse på mail ble tyskerne ble henvist til et nytt selskap i Irland, som igjen fungerte som en mellommann for en produsent som angivelig holdt til i Nederland. Det ble inngått en avtale om å levere 1,5 millioner ansiktsmasker mot en forhåndsbetaling på 1,5 millioner euro. Kjøperne arrangerte så 52 lastebiler og en politieskorte for å frakte lasten fra Nederland til Tyskland. Da selgerne meldte at de aldri hadde mottatt pengene og trengte 880.000 euro til, skjønte kjøperne at de var blitt lurt. Pengesporet førte til en konto i Nigeria.

Svindelen beskrevet her inneholder, ifølge flere trusselvurderinger og rapporter, mange av ingrediensene til en kraftig økende kriminell trend som følger i kjølvannet av coronapandemien. Det dreier seg i hovedsak om kriminelle aktører og nettverk som benytter seg av alt fra enkle triks til avansert datakunnskap for å lure organisasjoner og næringsliv.

Dette er svindel: Her ser du et eksempel på en nettsvindel som har blitt avslørt. Bakmennene prøver her å få deg til å aktivere underliggende programvare ved å lokke deg til å klikke på siden. Foto: Skjermdump

– Skaper et marked for ny kriminalitet

Interpol er en av mange internasjonale organisasjoner som overvåker utviklingen av coronapandemien nøye. I slutten av mars publiserte de rapporten Anchors in the Storm, hvor organisasjonen ga uttrykk for sterk bekymring.

Interpol lister opp følgende trusselbilde:

• Kriminelle aktører har fått en mulighet til å utnytte svakheter i forskjellige lands helseberedskap. Det gjelder spesielt svindler knyttet til beskyttelsesutstyr, medisiner og teknologi.
• Frykten Covid-19 har skapt i en gitt befolkning øker muligheten for å spre desinformasjon.
• Covid-19 har gitt terroristorganisasjoner og ekstremistgrupper en gyllen anledning til å spre sin ideologi.
• Covid-19 har lagt til rette for økt cyberkriminalitet. Det gjelder blant annet spredning av skadelig programvare, utpressing, e-postsvindler.

Spesielt det siste punktet knytter Interpol opp mot økonomisk kriminalitet. De anslår at bedrifter som er spesielt avhengige av moderne teknologi for å løse driften, kan være spesielt sårbare. Dette gjelder særlig i moderne land som de europeiske. Et annet avgjørende moment er hvor hardt rammet av Covid-19 et land er, og hvor strenge restriksjoner befolkningen i perioder må leve med.

Frykter bedrageriboom

Frykter svindelbølge: Avdelingsleder Inge Svae-Grotli i Økokrim ser at bedrageri mot offentlige institusjoner og næringslivet øker, og det er en tiltagende trend under coronakrisen. Foto: Fredrik Grønningsæter

Dagen etter at Interpol kunngjorde nyheten om ansiktsmaskesvindelen, publiserte Økokrim sin trusselvurdering for 2020. Fungerende Økokrim-sjef Hedvig Moe trakk frem særlig tre trusler knyttet til pandemien: svindel med dagpenger, utnyttelse av nasjonale strakstiltak og konkurskriminalitet.

– Vi har fått informasjon om, og ser jo for oss, at man rapporterer uriktig inn, at man har permittert noen som faktisk jobber. Slik at arbeidstager kanskje får betalt svart for den jobben man gjør, samtidig som man mottar penger, sa Moe til NRK i forbindelse med trusselvurderingen.

Moe påpekte også at kriminelle aktører kunne tenkes å ville utnytte hjelpeordningene. I selve trusselvurderingen blir derimot følgende påpekt: “Coronapandemien skaper et handlingsrom for kriminelle opportunister som utnytter den sårbare situasjonen vi befinner oss i.” Det er ikke småbedrifter eller grådige NAV-brukere Økokrim tenker på her.

En uke senere er Kapital på besøk hos Økokrim, og avdelingsleder Inge Svae-Grotli fyller ut bildet noe mer.

– Da trusselvurderingen ble publisert, kunne man få inntrykk av at den mest alvorlige trusselen Økokrim hadde identifisert i kjølvannet av coronapandemien var småbedrifter og arbeidsledige eller permitterte som prøver å utnytte hjelpeordningene, er det tilfellet?

– Det er vurderingen på kort sikt. Det lange bildet handler om bedrageri mot offentlige institusjoner og næringslivet, og det er en tiltagende trend. Vi frykter at bedrageriområdet skal skifte modus i denne perioden, påpeker han.

Vi frykter at bedrageriområdet skal blomstre opp i denne perioden.

Inge Svae-Grotli, Økokrim

– Store beløp har kommet på avveie

Økokrim vil ikke si noe om hvorvidt de har opplevd en økning i antall anmeldelser eller saker som en direkte konsekvens av Covid-19 i Norge. Svae-Grotli begrunner det med at det er for tidlig å si noe endelig om tallene.

– Det vi først og fremst ser, er at denne krisen skaper nye muligheter for kjente aktører, og vi deler den vurderingen våre internasjonale kolleger har gjort. Kriminelle søker nye muligheter i det digitale rom. Det handler primært om forsøk på å kompromittere epost-kontoer, sosial manipulasjon osv. Hovedpoenget er at aktørene prøver å komme på innsiden av et selskap eller en organisasjon for så å utnytte dette til sin vinning. Vi vet at store beløp kan komme på avveie, og vi vet at store beløp allerede har kommet på avveie.

Vi vet at store beløp allerede har kommet på avveie siden coronakrisen begynte i Norge.

Inge Svae-Grotli

Avdelingslederen viser til en rekke teknikker og metoder kriminelle kan ta i bruk for å komme på innsiden av bedrifter – flere av dem kan minne om science fiction. En kategori som Økokrim opererer med kalles direktørbedrageri, hvor gjerningspersoner gir seg ut for å være blant bedriftens ledelse. I 2018 utgjorde kjente tap fra direktørbedrageri i Norge ca. 34 millioner norske kroner, og i 2019 ble energiselskaper i Stavanger-regionen svindlet for 150 millioner kroner.

Avanserte “deepfakes”

Tradisjonelt har dette blitt gjort ved teknikkene beskrevet ovenfor – epost-manipulasjon osv. Men teknologien er i rivende utvikling, og såkalte deepfakes er nå kommet opp på et meget avansert nivå. I tillegg kan man med enkle grep på nettet finne gratis programvare som designer deepfakes for deg.

– Deepfake er en type computerteknologi som gjør det mulig for kriminelle å “forkle” seg med ansiktet eller stemmen til noen du kjenner og stoler på. Det kan for eksempel skje i sanntid på en videokonferanse. Personlig synes jeg dette er skummelt, og det er en reell trussel. Nettopp fordi mange fremdeles tror det science fiction, så tar de det ikke på alvor. Mitt budskap er at folk ikke må være naive.

Økokrim oppfordrer bedrifter og ansatte til å være spesielt årvåkne i tiden fremover. Bruk sikkerhetsrutiner som tofaktorautentisering, hold datamaskinen oppdatert, samt vær nøye med de helt regulære sikkerhetsrutinene.

– Mye av dette er kriminelle metoder som har vært brukt over tid, men som bare blir mer og mer avansert. Og vi ser at denne typen kriminalitet er tiltagende under coronakrisen.

Sårbar i hjemmet

Norge er i dag i en situasjon hvor vante strukturer brytes ned. Butikker og skoler har vært stengt, og våre handlingsmønstre forandres. Hjemmekontor er f.eks. et sårbart ledd i enhver bedrift. Hovedgrunnen til det er at hjemmekontoret er en del av bedriften som gjerne bruker privat utstyr.

På det laveste nivået for kompromittering finner du sosial manipulasjon. Dette er mest utbredt og handler om at du blir lurt til å gi fra deg informasjon ved å svare på en e-post du ikke burde, en telefonsamtale eller SMS som er noe annet enn den gir seg ut for. Dette kalles også for phishing.

– Sosial manipulasjon har et psykologiaspekt. Det er lettere å få noen til å åpne døren for deg enn å dirke opp låsen selv, påpeker seniorrådgiver Vidar Sandland i Norsk senter for informasjonssikring (NorSIS).

Kan ta en stund: Seniorrådgiver i NorSIS, Vidar Sandland, forteller at det kan ta en stund før bedrifter oppdager at de er svindlet. Foto: NorSIS

Med å dirke selv mener Sandland mer avanserte dataangrep som hacking. Her kreves det mer teknologisk kunnskap hos den kriminelle. Et hjemmekontor er sårbart for begge deler.

Oppblomstring av falske nettsider

– Foreløpig har vi ikke fått meldinger om at bedrifter har blitt hacket eller kompromittert fordi folk har brukt hjemmekontor, men det er en fare for at dette kan ha skjedd. Coronakrisen har ikke vart så lenge ennå, og det kan ofte ta lang tid før en bedrift oppdager slike sikkerhetsbrudd.

Han påpeker derimot at NorSIS registrerer at svindlere nå prøver å utnytte situasjonen landet er i. Det gjelder spesielt en oppblomstring av falske nettsider. En stor økning innen investeringsbedrageri. Og kriminelle som forsøker å selge beskyttelsesutstyr gjennom klonede selskaper.

– Her er det snakk om kriminelle som vil prøve å selge deg noe. Det går også mot virksomheter. Foreløpig har vi sett forsøk på salg av beskyttelsesutstyr i forskjellige varianter. Noen av de falske nettsidene heter ofte det samme som ekte virksomheter.

Det er også en oppblomstring i svindler i mindre målestokk rettet mot enkeltpersoner.

– Vi har sett at ansatte har fått fakturaer med små beløp, for blant annet å utvide lagringskapasiteten i iCloud. Når du har klikket og betalt, er pengene borte.

Sosial manipulasjon har et psykologiaspekt. Det er lettere å få noen til å åpne døren for deg enn å dirke opp låsen selv.

Vidar Sandland, NorSIS

Risiko ved videokonferanser

I april ble det kjent at det har blitt avdekket flere såkalte nulldagsårbarheter i konferanseverktøyet Zoom. Noe som har blitt utnyttet av at hackere har greid å ta seg inn i videokonferanser, undervisning eller forretningsmøter. Sandland mener at dette alltid vil være en risiko.

– Alt kan være sårbart. Det viktige er at du stadig oppgraderer til de nyeste versjonene. Hva angår Zoom, er de på ballen nå. De jobber med å tette sikkerhetshull. Sikkerhetshull vil alltid komme. Spørsmålet du bør stille deg er hvor god utviklernes evne til å dekke hullene er. Hvis kritikerne tidligere hadde vært like kritiske mot Microsoft som de har vært mot Zoom, ville Microsoft ha vært ute av drift i dag.

Forsvaret: – Faktorene er der

Nasjonens sikkerhet: Cyberforsvaret skal primært sikre Forsvarets digitale handlingsrom og sikre Forsvarets IKT-systemer. Bildet viser statsminister Erna Solberg som får en omvisning. Foto: Vidar Ruud/ NTBscanpix

Forsvarets avdeling for IKT-operasjoner- og sikkerhet, Cyberforsvaret, slapp også en trusselvurdering i april. Konklusjonen er at cybertrusselen er høyere enn tidligere.

– Vi har den siste tiden sett at endel desinformasjonskampanjer sprer seg. Disse har ikke spesifikt vært rettet mot Norge, men vi skal være årvåkne i en situasjon hvor vi er mer sårbare enn normalt.

I vurderingen beskriver Cyberforsvaret en rekke aktører som kan tenkes å gjøre nytte av coronapandemien. Det dreier seg om kriminelle miljøer, aktivister, individer og statlige aktører.

– Det er to rammefaktorer som i ganske stor grad påvirker det digitale trusselbildet. Den ene er når det oppstår situasjoner som er unormale i den forstand at normale prosedyrer brytes. Vi har tidligere sett bølger med cyberkriminalitet og -angrep knyttet til sommerferier og juleferier. Den andre rammefaktoren spiller på frykt og usikkerhet. Med utbruddet av Covid-19 står vi i en situasjon hvor begge faktorer er gjeldende, forklarer kommunikasjonssjef Knut H. Grandhagen i Cyberforsvaret.

Med utbruddet av Covid-19 står vi i en situasjon hvor begge faktorer er gjeldende.

Knut H. Grandhagen, Cyberforsvaret

Kommunikasjonssjef Knut H. Grandhagen i Cyberforsvaret. Foto: Privat

Ser økt innsidervirksomhet

Konklusjonene til Cyberforsvaret er stort sett likelydende med konklusjonene til de andre sikkerhetsorganisasjonene i Norge – deriblant Nasjonal sikkerhetsmyndighet (NSM) og Kripos. NSM advarer i sin rapport Risiko 2020 mot mer avanserte hackerangrep. De skriver:

“Høyttalere og mobiltelefoner kan brukes som avlyttingsutstyr uten at eieren av utstyret er klar over det. Dataskjermer kan avleses på avstand gjennom vegger og fra utsiden av bygg. Usikrede Wifi-rutere og andre IoT-enheter kan hackes på lang avstand via trådløs tilgang.”

Videre ser NSM en tendens til at krisen kan føre til økt korrupsjon og innsidervirksomhet – både i det private og det offentlige. Generelt ser alle sikkerhetsetatene og organisasjonene i Norge ut til å dele samme trusselvurdering, med noe ulikt trykk på forskjellige momenter. Kripos, f.eks., advarer spesielt mot bedrageriforsøk rettet mot eldre. På deres hjemmeside opplyser de å ha fått rapporter fra inn- og utland om kriminelle som nå utnytter epidemien for å bedra eldre mennesker.

Følger sykdomsforløpet

Interpol deler pandemiens forløp inn i tre faser: en innledende, en periode med unntakstilstand og en stabiliseringsperiode.

Flere europeiske land er i dag i fase to, og i denne fasen kan landenes politistyrker være under betydelig press samtidig som kriminelle aktivt prøver å utnytte kritiske behov. Interpol har registrert cyberangrep mot organisasjoner som Verdens helseorganisasjon (WHO) og Røde Kors. Organisasjonen anslår at slike angrep vil bli en global trend.

– Interpol viser til at de nasjonene som er hardest truffet av coronaviruset, også er de nasjonene hvor man ser de største bølgene av kriminalitet. Enn så lenge har Norge håndtert denne krisen tilforlatelig bra, og vi har foreløpig ikke vært i hovedmålgruppen for den typen utfordringer. Det kan endre seg dersom sykdomsforløpet i Norge endrer seg, eller om restriksjonene i samfunnet over tid bidrar til at usikkerhet og frykt brer om seg, sier Grandhagen.

Høykompetente arbeidsløse

Hvem er det som utfører all denne kriminaliteten? Den uavhengige tenketanken Global Initiative Against Transnational Organized Crime, som er støttet av blant andre Utenriksdepartementet i Norge, kan gi noen svar på dette. Gjennom deres initiativ CovidCrimeWatch finner du en nylig casestudie fra India. Studien gir et visst innblikk i fremveksten av typen kriminelle som trekker mot cyberkriminalitet – unge datakyndige og engelskspråklige arbeidsløse.

I de siste fem årene har cyberkriminalitet som kan spores til India vokst med nærmere 500 prosent. Det er for det meste snakk om lavterskel cyberkriminalitet – callsentre og e-postsvindler. Disse ser ikke ut til å være knyttet til noen større kriminelle organisasjoner. Det kan heller beskrives som mange små kriminelle firmaer med en enorm tilgang på arbeidskraft.

Millioner av IT-ansatte: IT-bransjen, spesielt lavterskeldelen av bransjen, har eksplodert i India de siste 20 årene. I dag har landet en enorm mengde datakyndige arbeidsledige unge mennesker, og mange lar seg lokke til kriminelt arbeid. Foto: Sherwin Crasto/ Reuters/ NTBscanpix

Studien bruker India som case, men maler et bredere bilde av hvordan denne formen for kriminalitet fungerer. Det blir påpekt at lignende forhold som i India finner du flere steder i verden, da spesielt i noen afrikanske land. Deriblant Nigeria, hvor pågripelsene det ble vist til innledningsvis ble sporet til et miljø der. Nigeria har gjennom årene vært et arnested for forskjellige former for bedrageri. Blant annet er det såkalte Nigeria-brevet et kjent fenomen.

Aktiviteten i India er derimot ikke av den mest sofistikerte. Det finnes derimot bevis som tyder på at kriminelle organisasjoner i Øst-Europa står bak noe av den mer høykompetente cyberkriminaliteten i verden, ifølge studien.

Økokrims Svae-Grotli vil ikke gå i detaljer på hvilke kriminelle nettverk eller aktører som Økokrim er kjent med. Han påpeker at de ser aktivitet hos både norske og utenlandske aktører, men bemerker kort at det blant annet kan se ut som det klassiske Nigeria-brevet har fått en oppussing.

Pyramidespill kan kollapse

20. april meldte Politidirektoratet (POD) at antall registrerte straffesaker i uke 11 til 15 hadde gått tilbake med 25,9 prosent sammenlignet med samme periode i fjor. Saker som omhandlet seksuallovbrudd hadde gått mest tilbake, tett fulgt av voldssaker, narkotikasaker og vinningsforbrytelser som tyveri og ran. Opprettede straffesaker for ordensforstyrrelser var redusert med hele 51,5 prosent.

POD påpekte derimot at det var stor usikkerhet knyttet til omfanget av faktisk begått kriminalitet. For eksempel holdt de det for sannsynlig at det var en skjult økning i saker som omhandler vold i nære relasjoner. Poenget er at den tradisjonelle kriminaliteten får dårlige kår når samfunnet stenges.

Stengte grenser: Her er holder politi og militært personell vakt ved grensen ved Svinesund. Det meldes at innførselen av narkotika til Norge har gått kraftig ned etter at coronarestriksjonene ble innført. Foto: Vidar Ruud/ NTBscanpix

Coronakrisen kan altså, paradoksalt nok, også føre til noe bra. Økokrim påpeker at noen typer investeringssvindler som har vært vanlige vil bli vanskelig å opprettholde. For eksempel såkalte Ponzi-svindler, som er en form for pyramidespill.

– I en situasjon som coronakrisen utløser kan investeringsviljen raskt forsvinne. Alle som er avhengig av kontinuitet og flyt i bedrageriene sine, som Ponzi-svindler, kan se disse falle sammen. Dét er i alle fall en ting vi er fornøyd med, forteller avdelingssjef Inge Svae-Grotli.