Svindelanrop har blitt milliardindustri

For et par uker siden ble 200.000 nordmenn utsatt for svindelanrop som tilsynelatende kom fra Nord-Korea. Men dette digitale angrepet er bare toppen av isfjellet. I telebransjen bruker de kriminelle mange metoder for å cashe inn på dyre tellerskritt.

Lett å bli nysgjerrig: Svindelanrop er blitt milliardindustri. Mange lar seg fortsatt lure og ringer tilbake når det kommer en mobilsamtale fra et land langt unna. Foto: Berit Roald/NTB
Tech

Det japanske uttrykket "wangiri" kan oversettes med "ett ring og kutt", og det beskriver også hvordan denne formen for svindelanrop foregår. En type oppringninger som en av tre nordmenn er kjent med. Det kommer et anrop fra et fremmed land, gjerne fra svært eksotiske land som Tunisia, Papua Ny-Guineas eller Kosovo, men den som ringes opp rekker knapt nok å svare før oppringningen eller samtalen avbrytes. Vi blir lokket til å ringe tilbake – og da løper tellerskrittene raskt.

Denne gangen kom svindelanropene altså fra Nord-Korea. Eller gjorde de det? – Det er lett å få et inntrykk av at dette er et angrep fra Nord-Korea, men det stemmer ikke, sier senior sikkerhetsrådgiver Thorbjørn Busch. Han jobber i den delen av Telenors sikkerhetsavdeling som kalles "Team Fraud and Crime" og som har ansvar for å håndtere all ekstern kriminalitet.

– Det er rett og slett misbruk av retningsnummeret til Nord-Korea. – Det finnes mange helt åpne nettsteder og tilbydere av tjenester med programvare som svindlere bruker for å sluse samtaler gjennom, og her var det nordkoreanske numre som ble misbrukt. Kriminelle med tilgang til anropsgeneratorer eller ringemotorer skaffer seg ledige numre og misbruker disse.

Globalt er svindelanrop blitt en milliardindustri, og antallet øker også i hele Skandinavia. Telenor har kommet med tjenesten "Se Hvem", som forteller hvem som er på tråden, i samarbeid med det amerikanske selskapet Hiya.

- Hiya har analysert svindelanrop og andre plagsomme numre som for eksempel useriøs markedsføring og oppdaget at i 2020 økte uønsket anrop i Sverige med hele 62 prosent sammenlignet med 2019. I Norge var økningen på 39 prosent og i Danmark på 32 prosent, sier Busch.

Men "wangiri" er langt fra den eneste metoden de kriminelle bruker for å skaffe seg ulovlige inntekter fra tellerskritt. De kan skaffe seg tilgang til et sentralbord, en hussentral, og bruker natten til å ringe tusenvis av samtaler med dyre tellerskritt. De kan også skaffe seg tilgang til SIM-kort på flere måter, og bruker disse til å skaffe seg ulovlige inntekter.

Fellesnevneren for de numrene som vi blir lokket til å ringe tilbake til – eller som svindlerne selv ringer tilbake til – er det som internasjonalt kalles International Premium Rate Numbers. Og kan sammenlignes med norsk teletorgtjenester som spåtelefoner eller teletorgtjenester.

– Eksempler på dette er spåtelefoner eller teletorgtjenester, sier Busch. – Numre der det koster ekstra for den som ringer opp.

"Fraud and crime": Thorbjørn Busch jobber i Telenor med å stanse og forebygge svindelanrop og annen digital kriminalitet knyttet til telebransjen. Foto: David Fidjeland

– Men det koster ingenting å svare på disse samtalene, beroliger Telenors sikkerhetsekspert. – Det koster ingenting å svare på de som utgir seg for å være fra Microsoft. Det som kan koste noe er hva man foretar seg etterpå. For eksempel å oppgi sensitive personopplysninger eller personlig kortinformasjon som kan misbrukes.

Kan ikke skru til for hardt

I løpet av den aktuelle kvelden og natten ble det gjennomført om lag 200.000 svindelanrop med nordkoreanske numre. – Våre tall viser at mer enn 8.000 nordmenn ringte tilbake i dette tilfellet. Vanligvis er det syv-åtte prosent som ringer tilbake, men i dette tilfellet lå andelen bare på halvparten. Vi nordmenn har blitt litt mer kritiske, konstaterer Busch.

I dette tilfellet ble det også forsøkt å ringe til 200.000 kunder, men her klarte vi å være raskt på ballen og sperre ned raskt.
Thorbjørn Busch, Telenor

Men av disse 8.000 var det bare 500 som slapp gjennom. Resten ble stanset av Telenors brannmur. – Vi har etablert en enhet som aktivt forhindrer at trafikken slipper inn.

Busch forteller også at det bare noen dager etter denne runden med svindelanrop kom en ny bølge svindelanrop fra Kosovo. – I dette tilfellet ble det også forsøkt å ringe til 200.000 kunder, men her klarte vi å være raskt på ballen og sperre ned raskt. Veldig få ringte tilbake i dette angrepet.

– Vi blir ofte spurt hvorfor vi slipper gjennom trafikk, og når vi velger å trykke på stopp-knappen. Vi må slippe gjennom noe mens vi analyserer trafikken, før vi kan detektere og avsløre at det er svindel. Vi kan ikke skru til for hardt, da blokkerer vi jo all fra trafikk fra et land.

Busch er veldig opptatt av det han beskriver som sosial manipulasjon, svindlernes metoder for å lokke oss til å gjøre som de vil. De velger også tidspunkter for angrepene helt bevisst.

– Ingenting av det de gjør er tilfeldig, her snakker vi om organisert kriminelle. Angrepene går også i bølger, litt i rykk og napp. De starter gjerne i begynnelsen av en helg, gjerne litt sent. De spekulerer kanskje at vi som teleoperatør da har færre på jobb som følger med, men vi overvåker trafikken 24/7, forsikrer Busch.

Angrepene kommer også gjerne rundt sommertider, jul eller påske. – Dette er tidspunkt der vi er mer tilgjengelige, og vi er heller ikke på jobb. Vi har ikke det sosiale nettverket rundt oss som vi kan sparre med. Disse forholdene utnyttet svindlerne også da pandemien slo til. Antall svindelanrop ble tredoblet i uke 12 i fjor.

– Et av de beste eksemplene på sosial manipulasjon finner vi i de digitale angrepene på bedrifter som gjerne starter med at en ansatt åpner en epost som vedkommende ikke skulle åpne. Det handler om hvordan man sanser omgivelsene. Er det noe ved denne henvendelsen som spiller på følt tidspress, nysgjerrighet – eller kanskje frykt? Hvis man forstår dette, er man mye bedre rustet til å avsløre dette med nettsvindel eller telefonsvindel. Ta et skritt tilbake, sier Busch. I Telenor pleier vi også å si at en god huskeregel er "Stopp – Tenk – Sjekk"

Han ringer ikke: Mobilsamtaler fra Nord-Korea er neppe ekte. Kim Jung Un lar ingen av sine landsmenn ringe ut av landet. Foto: Kin Cheung/AP/NTB

Og akkurat i tilfellet Nord-Korea burde det ha ringt flere bjeller. – I Nord-Korea er det streng sensur. Ingen får ringe til utlandet derfra.

Busch kan også fortelle at mens Telenor for tre år siden blokkerte ca. 70 millioner anrop inn til Norge, lå det tallet i fjor på ca. 20 millioner. – Kunnskapen blant folk har økt, og vi er blitt mindre attraktive. På grunn av effektive blokkeringer. Svindlerne går etter det svakeste leddet.

Havner på hot list

– Mange lurer på hvorfor akkurat de blir oppringt?

– Nummerlistene som ligger ute på nettet har helt tilfeldige numre. Den som ble oppringt var uheldig denne gang, det var hans eller hennes nummerserie.

Dette er en katt og mus lek. Når vi klarer å lukke en dør, åpner en annen seg.
Thorbjørn Busch, Telenor

Men det er ikke helt tilfeldig hvem svindlerne ringer opp. – De som ofte ringer tilbake havner på en hot list. Hvis du har en god kunde i en butikk, vil du gjerne sende dem reklame. På samme måten er det med svindelanrop. Flere av mine kollegaer ringer ofte tilbake til disse numrene, og da blir de også nedringt mange ganger. Men det er veldig fint, for da kan vi blokkere den ulovlige trafikken veldig raskt, sier Busch.

– Dette er en katt og mus lek. Når vi klarer å lukke en dør, åpner en annen seg. For tre år siden så vi at en nummerserie ofte gikk igjen, den kunne bli brukt flere tusen ganger. Men vi følger jo med i timen, og da vi begynte å sperre denne måtte svindlerne prøve noe nytt. Da begynte de heller med flere nummerserier, flere numre.

De starter også i flere land. – For å gå under radaren kjører de fra kanskje åtte-ni operatører. Hvis du ringer en vanlig samtale til Spania kan denne trafikken settes opp til Sverige, via Frankrike og Polen før den kommer frem. Det er et marked som styrer dette, som finner den billigste ruten.

– Svindlerne bruker også denne lovlige ruten, men selv om de kjører trafikken fra ulike hold og via ulike kilder har vi etablert en slags brannmur som gjør at vi ikke slipper inn trafikken.

Hacker sentralbordet

Men nettopp denne rutingen av samtalene på kryss og tvers er også en av grunnene til at telebransjen ikke får bukt med wangiri. – Det er vanskelig å følge pengestrømmen gjennom alle operatørene, sier Busch. – Vi klarer kanskje å følge trafikken i to-tre ledd, men ikke lenger. Det er også ressurskrevende for politiet å følge opp disse sakene, og svindlerne sitter gjerne i et land med et lite fungerende rettsvesen.

Regningen for svindelanropene er det Telenors eller en annen operatørs kunder som i utgangspunktet sitter igjen med. Men Busch forteller at selskapet er i konstant dialog med teleoperatører i andre land for å kunne holde tilbake utbetalingene.

– I Nord-Korea-angrepet er det heller ingen som må betale noe. Vi sørget for at alle som ringte tilbake, ble kreditert, forteller Busch. – I fjor var det også de færreste som ble utsatt for denne typen svindel som måtte betale noe.

– Hvor stort beløp var det snakk om i dette angrepet?

– Det kan jeg ikke si, det er for mange forhold som spiller inn.

– Kan det bli snakk om tusenlapper for den enkelte?

– Nei, det er svært sjelden, fordi vi er ganske raskt på ballen. Men dersom vi ikke hadde hatt proaktive tiltak, kunne det fort blitt en stor regning.

Langt mer alvorlig kan det bli for selskaper med sentralbord som blir hacket av svindlerne.

– De som tilbyr hussentraler har ikke alltid gode nok sikkerhetsløsninger som hindrer svindlere å hacke seg inn i systemene. De kommer typisk inn i helgen og på natten, og da begynner svindlerne typisk å ringe ut og pumpe trafikk til nummer de besitter. Dette er selvfølgelig de dyre numrene, og svindlerne hacker seg altså inn og ringer til seg selv. De setter opp anrop til mange land som det er kostbart å ringe til, sier Busch.

Og summerer opp svindelen til tusenvis av kroner.

Her har imidlertid Telenor andre operatører et virkemiddel. – Vi anmelder forholdet til politiet, for å kunne holde pengene tilbake. Vi går til den første operatøren i kjeden ut av landet, og med politianmeldelsen har vi et mye bedre grunnlag for å kunne stanse betalingen som til slutt skal havne hos svindlerne.

– Politiet begynner også å få statistikk på dette og får det med i trusselrapportene sine om det som kalles IRFS eller International Revenue Fraud Sharing.

Populære SIM-kort

Svindel-casene kan også ramme teleoperatørene direkte, og her er det gjerne SIM-kort inne i bildet. – Svindlerne prøver å skaffe seg så mange SIM-kort som mulig i Norge. De bruker morselskaper i utlandet og etablere datterselskaper i Norge, stråselskaper her, men dette er en form for konkurskriminalitet. Man opptar stor gjeld i selskapet, før selskapet etter hvert blir slått konkurs. Når politiet eventuelt starter etterforskning, er bakmennene borte.

Sendes ut av landet: Stjålne SIM-kort sendes ut av landet og utnyttes av kriminelle fra mange land som skaffer seg inntekter fra dyre mobilsamtaler. Foto: ANDREJ ISAKOVIC/AFP/NTB

Stråselskapene klarer først å skaffe seg kontantkort, det vil si SIM-kort uten kredittrisiko for en operatør eller en tjenestetilbyder, men disse blir så ved hjelp av svindel og sosial manipulasjon konvertert til vanlige abonnement – med langt høyere kredittgrenser. Brukerne kan ringe for langt høyere beløp. - Disse kortene tar de så med seg ut av Norge, for eksempel til Serbia, og der sitter det en gjeng arbeidere som begynner å ringe med gamle Nokia-mobiler. Men disse har konferanseoppsett, og på fire timer kan svindlerne ha ringt for nesten 500 timer til kjempedyre numre.

De har skaffet seg et tidsvindu på fire timer.
Thorbjørn Busch, Telenor

– Se for deg betalingskjeden nedover. Hvem sitter igjen med regningen? Jo, det er Telenor. Selskapet er slått konkurs, og stråmennene er borte. Dette er enda et eksempel på IRFS som er ganske alvorlig, sier Busch.

Han forteller også om en sak der politiet slo til mot et miljø i Barcelona som stjeler mobiltelefoner fra turister. – De kriminelle selger selvfølgelig telefonen, men de tar også ut SIM-kortet og setter det nok en gang i trafikk der de for eksempel kan ringe en tjeneste i Zimbabwe.

– De har skaffet seg et tidsvindu på fire timer, forteller Busch.

– Hvorfor akkurat fire timer?

– Det samme gjelder for svindlerne som ulovlig har skaffet seg SIM-kort. De har også fire timer på seg. Teleoperatørene i utlandet er forpliktet til å sende oss eller andre operatører en forbruksfil i løpet av fire timer.

Etter fire timer kommer filene til Telenor og rett inn i fraud management-systemet der operatøren monitorer all trafikk. – Her har vi satt opp filter med det vanlige bruksmønsteret til kunden og oppdager unormal aktivitet. Hvis det kommer varsler om at det er svindel på gang blir abonnementet stanset umiddelbart.

– Hva skjer hvis operatøren i utlandet venter for lenge?

– Da er det den operatøren som må ta regningen. Men her er alle operatørene veldig gode, og så er det opp til oss hvor raskt vi klarer å håndtere også dette eksempelet på IRFS, avslutter Busch.