Digital svindel i 2024: Utvidelse av kunstig intelligens vil på godt og vondt prege kampen mot svindlerne

De kriminelle tilpasser seg kontinuerlig. Dette så vi spesielt i forbindelse med PSD2 – den nyeste versjonen av direktivet som regulerer betalingstjenester i EU – hvor det ble innført strengere krav til kundeautentisering på betalinger. Før PSD2 var under fem prosent av svindelsakene Tietoevry Banking, Financial Crime Prevention (FCP) avdekket, relatert til phishing.

– I dag utgjør denne formen for svindel nærmere 40 prosent – og disse sakene er ofte mer utfordrende å avdekke. Dette er en trend vi forventer vil fortsette å øke inn i 2024, sier André Moen Eide, Head of FCP Defence Centre.

Mange av metodene som brukes er svært sofistikerte, og de kriminelle kjører ulike kampanjer for å treffe så bredt som mulig. På generell basis forventer vi at de kriminelle vil fortsette å bruke ny teknologi, der kunstig intelligens vil bli brukt for å manipulere og tilegne seg betalingsinformasjon.

Her er de svindeltrendene som vil fortsette å prege 2024:

• Merkenavn til ulike aktører innen post/frakt, hotell, strømmetjenester og offentlige instanser blir misbrukt i svindel som retter seg mot en stor andel av befolkningen – gjerne i form av epost eller tekstmelding.
  
  
• En annen oppblomstrende trend er QR-kode-phishing (Quishing). Dette er ofte vellykket ettersom mange ikke tenker over at de følger en lenke – som de fleste har lært at de ikke skal trykke på.
  
  
• Sosial manipulasjon i form av «safe account scams» spiller på frykt. Svindlere utgir seg for å være fra politi eller bank, og skal bistå med å få overført penger til en trygg konto.

• «Recovery scams» er også en form for sosial manipulering der en falsk investeringsrådgiver bistår med å få tilbake investeringer som er gjort tidligere. Ofte har offeret blitt ledet inn på falske applikasjoner der de kan følge investeringen og avkastingen i sanntid. En annen variant er «Refund scams» der svindleren lurer ofrene til å tro at de har mottatt penger de ikke skal ha, for så å kreve pengene tilbake.

• Falske nettbutikker der betalingsinformasjon kommer på avveie og blir misbrukt kort tid etter.
  
  
• Både frivillig og ufrivillig muldyrsaktivitet som følge av sosial manipulasjon

For FCP er det flere faktorer som må være på plass for å lykkes i kampen mot svindel. Å kunne overvåke transaksjoner på tvers av betalingskanaler har vært viktig ettersom svindel beveger seg raskt mellom både kort og konto.

– I dag avdekkes over 90 prosent av alle svindelforsøk av våre systemer, hvor majoriteten av alle transaksjoner blir stoppet i sanntid uten tap for våre kunder – og vi jobber kontinuerlig med å forbedre våre systemer for å ligge i forkant av de kriminelle, sier André Moen Eide.

Deler BankID til tross for advarsler

En av de store utfordringene vi har når vi er på internett, er å bevise hvem vi er. I Norge har vi i stor grad klart å løse denne utfordringen med innføring av BankID og Buypass. Samtidig er ikke e-ID problemfritt i et av de mest digitaliserte samfunn i verden. En utfordring er digitalt utenforskap; at mange av økonomiske, sosiale eller medisinske årsaker blir stående utenfor.

– Vi ser en del svindel som er forbundet med bruk av BankID. En undersøkelse fra Norsis viser at 1 av 5 har delt sin BankID med andre, noe som gjør mottakeren i stand til å gi seg ut for å være deg. Halvparten av de som har delt sin BankID, rapporterer at de har vært utsatt for svindel, sier John Erik Setsaas, Director of Innovation i FCP.

For eksempel deler mange eldre BankID med sine barn for å få hjelp til å utføre oppgaver.

– Banker og andre tjenester har ofte manglende mulighet for å gi andre tilgang, derfor oppleves det enklest å dele tilgang til BankID. Dette er i strid med avtalen med BankID, og frarådes på det sterkeste, fortsetter John Erik Setsaas.

SODI rapporten som kom i fjor, undersøkte svindel med e-ID i sårbare grupper i samfunnet. Den viser at det er en stor grad av svindel i nære relasjoner for denne gruppen. Men også andre grupper i samfunnet kan oppleve svindel av denne typen, ved at man har tilgang til partnerens mobil, og ofte kjenner hverandres passord.

– Vi oppfordrer sterkt til ikke å dele passord eller BankID – selv ikke med den du deler seng med, understreker John Erik Setsaas.

KI gjør det enklere å utgi seg for å være en annen

Med utbredelsen av KI ser vi en økning av svindel som går ut på å lure folk til å foreta en betaling. Mange opplever å motta KI-genererte phishing e-poster, som er adressert direkte til en selv. Nå er det også enkelt å bruke KI til å etterligne stemmen til en annen person. Svindlere kan dermed ringe og gi seg ut for å være et familiemedlem, og få deg til å overføre penger. Det ekstreme tilfellet av dette er falske kidsnappinger også kalt kidnappingsvindel.

CEO svindel, hvor sjefen sender deg en e-post og ber om en hasteoverføring, blir mer troverdig når du hører sjefens stemme over telefon. Rådet er å alltid være skeptisk hvis du blir oppringt, dersom det handler om noe utenom det vanlige.

– Selv om vi i FCP overvåker finanstransaksjoner og klarer å stoppe en svært stor andel av falske transaksjoner, er det viktig at hver enkelt gjør det de kan for å beskytte seg selv i kampen mot finansiell svindel, hvor svindlerne bruker din identitet, sier André Moen Eide