Netglæpir og lögreglan

Hvað segir lögreglan um það sem helst ber að varast þessa dagana?


Greinin var fyrst birt af lögreglunni og er hér birt með góðfúslegu leyfi höfundar hennar, G. Jökuls Gíslasonar.

Gagnlegar upplýsingar um netöryggi og varnir gegn netglæpum má nálgast á

Innbrotsþjófur þarf að hafa fyrir ýmsu. Hann þarf að finna húsnæði, ganga úr skugga um að það sé mannlaust og að hann setji ekki öryggiskerfi af stað. Hann þarf að brjótast inn. Hann hefur enga vissu um hverju hann nær. Þá þarf hann að koma þýfi í verð og allan tímann á hann það á hættu að nást. Tölvuþrjótur hefur það náðugt í samanburði. Hann getur setið hvar sem er í heiminum og unnið við tölvuna sína á meðan hann sendir út hundruð þúsunda af sviksamlegum skeytum. Ef hann gætir sín á því að vinna ekki í heimalandinu eru litlar líkur á að hann svari til saka því refsilöggjöf er bundinn landslögum og nær illa yfir fjölþjóðlega glæpi. Tölvuþrjóturinn getur líka notað skilvirkt net fjármálafyrirtækja til að flytja feng sinn á milli landa.

Þetta er nýr veruleiki sem löggæslustofnanir um allan heim eru að glíma við. Í skýrslu breska innanríkisráðuneytisins Home Office frá mars 2016 kemur skýrt fram að það verði að skoða þennan flokk með nýju ljósi enda sé heildarfjöldi glæpa skakkt skráður ef ekki er tekið tillit til netglæpa og mikils umfangs þeirra í dag.

Í hugum margra þá tengja margir þá við hin klassísku Nígeríubréf sem enn lifa góðu lífi. En það er mikill misskilningur að hugsa um þá í svo einföldu samhengi. Margt af því sem að við sjáum í dag er mun vandaðra og er í stöðugri þróun. Það sem einkennir samt megnið af þessum brotum að stórum hluta þeirra er beint gegn notandanum frekar en að þeim sé beint að hugbúnaði eða vélbúnaði. Til að skilja þetta betur er ágætt að fara yfir helstu flokka þeirra brota sem að við erum að sjá. Þá eru góðar venjur aftan við hvert brot sem ef fólk temur sér þá dregur það verulega úr hættu á að verða fyrir afbroti.

Bandaríska alríkislögreglan FBI er með sérstaka netglæpadeild sem kallast IC3 (Internet Crime Complaint Center). IC3 er fremst meðal löggæslustofnanna í heiminum í rannsóknum netglæpa og fræðilegum skilgreiningum. Ég mun styðjast við þá vinnu en jafnframt heimfæra það til íslensks veruleika. Ég flokka netglæpina með tilliti til skaðsemi hér á landi.

Helstu brotaflokkar netglæpa

  • Tölvupóstssvindl - Fyrirmælasvindl – BEC Business Email Compromise (áður kallað CEO fraud)

  • Fjárfestasvindl – Investment scam.

  • Greiðslukortasvik – Credit Card Fraud

  • Traustsvindl / Ástarsvindl – Confidence / Romance Fraud

  • Fyrirframgreiðslusvik (lánasvindl – íbúðasvindl - lottósvindl) – Advance Fee Scheme

  • Skömm og áhætturþættir

Samkvæmt flokkunarkerfi IC3 eru aðrir algengir flokkar erlendis; kennistuldur og gagnþjófnaður (fyrirtæki og einstaklingar). Löggjöf á Íslandi er verulega ábótavant í þessum flokkum og það er til dæmis ekki sjálfstætt brot að koma fram sem annar einstaklingur eða þykjast vera annar en maður er. Það þarf að vera brot í því hvernig slíkt er misnotað.

Tölvupóstssvindl - Fyrirmælasvindl - BEC Business Email Compromise (áður CEO Fraud)

Þetta er einn varasamasti flokkurinn sem við sjáum í dag. Erlendis hét hann upphaflega CEO Fraud eða stjórnanda svindl. Það var vísað til þess að fjármálastjórar eða gjaldkerar fengu fyrirmæli í tölvupósti um að senda greiðslu eins og að framkvæmdarstjóri hefði sent hann.

Í dag er flokkurinn víðfeðmari og nær yfir öll brot sem byggja á að senda svindl tölvupóst eða BEC (Business Email Compromise). Fyrirtæki og félagasamtök eru algengustu skotmörk þessara tölvuþrjóta. Svindlið getur verið hefðbundið og einfalt, póstur er útbúinn til að líta út fyrir að vera frá forstjóra en er í raun sendur utan kerfis og frá öðru pósthólfi. En það getur líka verið mun faglegra, þar sem tölvuþrjótar taka yfir tölvupóst eins eða fleiri aðila og yfirtaka samskiptin. Þá bíða þeir eftir viðskiptum sem eiga sér raunverulegar forsendur og breyta svo greiðsluleiðum til að senda peningana annað en þeir eiga að fara. Þetta er hástig og þarfnast meiri tæknikunnáttu. Oft eru settar inn skipanir í tölvupóstinn sem tryggir að svindlararnir sjá póstana á undan viðtakanda. Þeir taka út alvöru reikninga og setja þá tilbaka þegar þeir hafa breytt upplýsingum um greiðslubanka.

Við erum með dæmi hér á Íslandi þar sem fjármálastjóri var grandvar og fannst reikningur einkennilegur, fór fram og spurði framkvæmdarstjórann hvort að hann hefði sent póstinn og framkvæmdarstjórinn hafði sent póst aðeins nokkrum mínútum áður. Í millitíðinni höfðu tölvuþrjótarnir gripið póstinn og breytt reikningsupplýsingum um hvert átti að senda greiðslu og framsent það á fjármálastjórann. Allt á nokkrum mínútum.

FBI hefur unnið mikið starf til að sporna við þess konar brotum og hefur áætlað að umfang tölvupóstsvindls sé komið í fyrsta sæti í flokki tölvuglæpa í dag ef miðað er við þær upphæðir sem hafa tapast. Byggt á málum frá heiminum öllum er áætlað umfang þessa brotaflokks mælt í dollurum. Tap ársins 2017 í þessum flokki var 676 milljónir dollara eða um 93 milljarðar íslenskra króna. En síðan 2017 hefur umfang netglæpa á heimsvísu nær þrefaldast miðað við tjón. Það er æ algengara að við séum að sjá vönduð svindl af þessu tagi sem eru í hástigi tækniþekkingar.

Góðar venjur

  • Ef þú færð tölvupóst þar sem þú átt að greiða inn á áður óþekktan reikning skaltu hafa samband beint við aðilann sem sendi þér póstinn, helst með öðrum hætti en tölvupósti og fá staðfestingu á honum. Oft er villandi texti settur inn í skeytin eins og „ég er á fundi og það er ekki hægt að ná í mig í síma“ en það er bara til að setja þann sem á að svindla á í pressu.
  • Ekki ýta á reply, sendu frekar nýjan póst á viðkomandi. Þessi póstur er oft þannig frágenginn að reply fer á svindlarann en nýr póstur fer á réttan viðtakanda eða að báðir möguleikar koma upp og þá er oft augljóst að önnur er fölsk slóð.
  • Ef þú ert í samskiptum við erlent fyrirtæki sem vill breyta greiðslufyrirkomulagi er líka full ástæða að hafa varan á sér og setja sig í beint samband við sína tengla þar. Sá sem greiðir inn á svindl er sá sem tapar og áhætta þeirra er því mikil.

Reikningasvindl (False Invoice Scams)

Er undirflokkur þar sem svindlararnir senda inn tilhæfulausa reikninga í þeirri von að þeir séu greiddir án þess að þeir séu skoðaðir sérstaklega. Á tíma bar nokkuð á því að fyrirtæki sem kallaði sig OfficeMax en er ótengt stóru fyrirtæki með sama nafni sendi út slíka reikninga og með stuttum fresti á eindaga. Þeir höfðu haft fyrir því að tilgreina starfsmann sem var ábyrgur og sendu þetta yfir sumarið. Þeir eru líka með falska heimasíðu til að ljá svindlinu meira vægi.

Góðar venjur

  • Hafið kerfi þar sem þið getið sannreynt reikninga.

Ef það er of gott til að vera satt er eitthvað skrítið í gangi.

Fjárfestasvindl – Investment scam

Ef það er of gott til að vera satt er eitthvað skrítið í gangi.

Nokkur vöxtur er í tilkynningum um að einstaklingar hafi verið blekktir til að senda peninga til „fjárfestingafyrirtækja“ á netinu. Þetta eru svikamyllur sem auglýsa mikið á samfélagsmiðlum eins og á Facebook. Svindlararnir veigra sér ekki við að bendla nafnkunna einstaklinga við þessar auglýsingar og misnota myndir þeim tengdar til að ljá lygi sinni trúverðugleika. Þeir nýta sér líka takmarkaða þekkingu fólks á Bitcoin, Forex viðskiptum og öðru sem fólk kann ekki almenn skil á.

Fólk sér þessar auglýsingar og ef það smellir á þær fer það á síður sem í fljótu bragði virðast vera fjárfestingarfyrirtæki. Þar er fólk hvatt til að skrá sig og í framhaldi fær það símtal frá tunguliprum en ágengum sölumönnum sem vilja endilega bjóða þeim pakka. Oft er fyrsta upphæðin ekki stór, um kannski 250 til 300 evrur eða dollarar, en það er bara byrjunin. Í framhaldi berast önnur símtöl og flækjustig. Fólk er beðið að skanna inn og senda myndir af persónuskilríkjum og greiðslukortum. Sumir hafa lent í því að óheimilar úttektir eru gerðar á kortin þeirra enda eru svindlararnir komnir með allar upplýsingar sem þeir þurfa. Í öðrum tilvikum halda símasölumennirnir áfram að hringja og vilja að viðkomandi fjárfesti meira og meira enda sé væntanlegur ávinningur mikill.

Á meðan eiga engar fjárfestingar sér stað. Einu aðilarnir sem græða eru svindlararnir sem eru að hirða peninga af þeim sem þeir eru að blekkja. Þeir hafa alls kyns svör og fullyrðingar á reiðum höndum til að blekkja enn frekar og eru ýtnir. Þeim er sama út í afleiðingar þeirra sem verið er að svíkja, þeir eru bara að reyna að græða sem mest. Þeir eru að leita að fólki sem er ekki vel að sér á þessu sviði, lofa miklu og eru oft með tækifæri í hlutum eins og rafmyntum eins og Bitcoin sem fólk hefur takmarkaðan skilning á. En varan skiptir litlu máli, þeir eru ekki að selja neitt, aðeins að ná í peninga á innantóm loforð. Einu peningarnir eru þeir sem er verið að svíkja út.

Þegar þessi „fyrirtæki“ eru skoðuð nánar fer ýmislegt grunsamlegt að koma í ljós. Oft er erfitt að finna hvar þau eru skráð, heimasíðan er ný og ýmislegt vantar sem ætti að vera þarna. Þær eru nægilega góðar til að vera fagmannlegar við fyrstu sýn. Ef einhverjar upplýsingar liggja fyrir þá kemur í ljós að fyrirtækið er skráð á eyjum í karabíska hafinu, Indlandshafi eða í Eyjaálfu. Þar eru þetta oft skúffufyrirtæki skráð á grandlaust fólk, til dæmis einhvern sem sendi inn afrit af vegabréfi sínu í öðru svindli. Þessi skráning er samt mikilvæg fyrir svindlaranna því hún gerir þeim mögulegt að fá bankaþjónustu. Svo er fyrirtækið keyrt áfram þangað til fjöldi endurkrafna er orðin hár. Þá hverfa svikararnir tímabundið og stofna nýtt fyrirtæki. Þetta er ferli sem tekur nokkra mánuði, jafnvel hálft ár. Þegar greiðslurnar eru eltar fara þær oft á reikninga í ótengdum löndum sem stofnað var til á svipaðan hátt. Peningarnir staldra stutt við á þessum reikningum og fara á aðra sem eru líka jafnóðum tæmdir. Fyrir lögreglu og eftirlitsaðila er ógerningur að rekja þá og það er búið að tæma þá hvort sem er.

Þetta nær svo langt að svindlararnir leika á leitarvélar og oft eru fyrstu síðurnar sem koma upp þær sem mæla með svika „fyrirtækjunum“.

Investteck svindlið

Investteck svindlið er það sem að við höfum lagt einna mesta vinnu í að rekja en nokkrir einstaklingar á Íslandi féllu fyrir þessu svindli. Öll umgjörðin var vönduð, heimasíður settar upp, „þjónustufulltrúar“ hringdu, sendu alls kyns kvittanir og stöku sinnum sendu litlar upphæðir til baka til að sýna hvað þetta var traust en í engu samræmi við það sem þeir höfðu náð til sín.

Frá Íslandi gátum við rekið greiðslur til 6 landa. Við fengum aðstoð frá Europol og lögreglu í Búlgaríu sem rakti þetta til Hollands en þar fór þetta inn á reikning sem var í eigu fyrirtækis sem sett var upp í Hong Kong en eigandi þess var maður í Aserbaídsjan. Frá Hollandi voru greiðslur raktar til 7 annarra landa. Þá voru liðnir nokkrir mánuðir sem það tók að fá þessi svör og allir reikningar tómir og ómöguleiki að rekja þetta frekar enda peningarnir í sjálfu sér horfnir og við vorum að horfa á röð falskra fyrirtækja.

Hópur einstaklinga á Íslandi hefur þegar hafa farið illa út úr svona svindli og jafnvel eftir að þeir hætta að senda peninga halda símtölin áfram og fara jafnvel út í hótanir. Svindlararnir nota mikið netsíma þannig að þeir eru ekki endilega að hringja frá því landi sem fram kemur á símanúmerabirti. Oft er afar erfitt að greina í hvaða landi þeir raunverulega eru.

Í besta falli væru þetta miklar áhættufjárfestingar en í raun er það ekki einu sinni svo gott þar sem peningarnir fara aldrei í nein viðskipti heldur beint í vasa þeirra sem standa að svindlinu. Þessi fyrirtæki eru síðan með flókna skráningar og starfa utan starfsviðs fjármálaeftirlits. Dæmi um heimskráningar eru Kyrrahafseyjar eins og Vanuatu (sem er austan við Ástralíu). Það fer að verða mjög erfitt að reyna að endurheimta peninga sína frá slíkum stöðum og oftast eru þetta aðeins skúffuskráningar hvort sem er þannig að það myndi ekki leiða til neins.

Svindlararnir nota oft kunnugleg nöfn annarra fyrirtækja og hafa jafnvel fyrir því að skrifa jákvæðar umsagnir um fyrirtækin til að gabba þá sem skoða þetta á netinu.

Erlend löggæsluyfirvöld hafa verið að vara við þessu, sjá:

Ef þið haldið að þið hafi orðið fyrir slíku svindli eða finnst eitthvað grunsamlegt sendið okkur línu á abendingar@lrh.is eða cybercrime@lrh.is

Ef svindlararnir eru komnir með skönnuð skilríki og greiðslukort geta þeir auðveldlega misnotað þessar upplýsingar í annars konar svindli.

Góðar venjur:

  • Lögregla mælist til við fólk að falla ekki fyrir slíkum gylliboðum og taka þeim með mikilli tortryggni.
  • Fara varlega með allar kortaupplýsingar og skilríki. Það er ekki að ástæðulausu sem svindlararnir sækja í þessar upplýsingar.
  • Ef þið sjáið auglýsingar á Facebook sem þið sjáið að eru svindl ekki hika að tilkynna þær til Facebook, með að hægri klikka efst á auglýsinguna og velja „Report Ad“ og segja að það sé „Misleading or Scam“.

Vefveiðar (Phishing)

Óþekktir erlendir aðilar hafa verið að senda út skeyti í nafni stofnanna og fyrirtækja á Íslandi. Hafa þeir blygðunarlaust notað kennimerki og nöfn Skattsins, Borgunar, Póstsins og annarra stórra fyrirtækja til að falast eftir kortaupplýsingum. Fólk fær SMS skeyti og í því er tengill þar sem það á að skrá inn allar kortaupplýsingar sínar til að fá „endurgreiðslu“ eða pakka sendan til sín. Allt er þetta plat sem miðar að því að ná kortaupplýsingum sem svo er hægt að nota við aðra glæpi. Þar sem fólk hefur fyllt út allar upplýsingar, líka öryggisnúmer, jafngildir þetta því að rétta glæpamanni kortið sitt og einstaklingurinn er ábyrgur ef það er misnotað.

Glæpurinn miðar að því að fólk sé latt og fari á tengilinn hugsunarlaust. Viðmótið sem mætir þeim er mjög sannfærandi en oftast er vefslóðin meira en lítið óeðlileg.  Aðalatriðið er að ef fólk fær svona tengil sendan sem biður fólk um greiðslukortaupplýsingar eða að skrá sig inn á þjónustur eins og Paypal, Netflix eða álíka þá er það svindl. Ábyrgir aðilar senda ekki tengla sem biðja fólk um greiðslukortaupplýsingar eða senda það á skráningarsíður. Verið mjög tortryggin ef það gerist og ekki skrá ykkur inn með viðkvæmar upplýsingar á slíka tengla.

Í ágúst/september 2020 voru gerðar fjölmargar tilraunir til að fá greiðslukortaupplýsingar. Atlögunar voru margvíslegar og notuðu margar heimasíður og nöfn íslenskra fyrirtækja og stofnanna.

Góðar venjur

  • Aldrei að klikka á tengla sem eru sendir á þennan hátt og fara á síður með viðkvæmum og/eða fjármálatengdum upplýsingum. Bankar og önnur fyrirtæki senda ekki slíka tengla. Opnið alltaf nýjan glugga í vafra og farið beint á réttan stað ef þú ert ekki viss um hvort að þetta sé svindl.
  • Það eru nokkrar leiðir til að sannreyna svona síður en einfaldast er að fara aldrei um tengilinn.

Trausts svindl (Confidence Scam, Confidence Trick, 419 scam)

Það er í þessum flokki sem Nígeríubréfin falla en það er aðeins ein birtingarmynd þessa flokks. Til gamans má geta að Nígeríusvindl eru oft kölluð 419 svindl sem vísar til greinar í nígerískum hegningarlögum. Þessi brot eru þó engan veginn bundin við Nígeríu. Þau ganga út á það að sannfæra notandann að hann eigi von á verulegum ávinningi. Meðal dæma er að hjálpa einhverjum prins að ná peningum úr landi, óvæntir happdrættisvinningar sem þú hefur unnið (án þess að hafa keypt miða), að fá arf eftir „mjög“ fjarskyldan ættingja eða kynnast ástinni sönnu. Í þennan flokk falla einnig brot þar sem einhver hefur yfirtekið netpóst eða fésbók vinar þíns og bráðvantar aðstoð af því að þeir hafa tapað öllu í útlöndum, en það tengist einmitt vefveiðum að ofan. Þá falla íbúðaleigusvindl í þennan flokk þar sem brotaþoli svarar auglýsingu um að leigja húsnæði. Það höfum við séð í gegn um Airbnb, Bland og mbl. Rétt er að taka strax fram að þessir vefir gera allt sitt besta við að taka út slíkar svindl auglýsingar og hjá Airbnb sem dæmi er kaupandi tryggður svo lengi sem greiðslan fer ekki úr kerfinu. En svindlararnir senda oft tölvupóst um að framkvæma eigi greiðslu á annan hátt og utan kerfis og þá er engin ábyrgð. Sammerkt er að svindlararnir beita ýmsum leiðum til að ljá svindli sínu trúverðugleika. Það er því engin trygging er þið fáið tölvupóst sem lítur út fyrir að vera af tilteknum uppruna. Það er mjög auðvelt að falsa slík skjöl.

Öll þessi svindl eiga það sammerkt að reyna að vekja traustsamband á milli svindlarans og fórnarlambsins. Þau eru mis vönduð. Stundum er það gert vísvitandi að hafa þetta ekki of vandað og er þá oft fyrsta skimun svindlaranna. Ef svindlið væri of vandað fengju þeir hærra svar hlutfall sem væri meiri vinna fyrir þá. Óvandaðir póstar fá færri svör en sá hópur sem þá svarar er móttækilegri fyrir svindli.

Góðar venjur

  • Best er að svara aldrei neinu slíku, það er aldrei neinn að fara að hafa samband við ykkur af handahófi til að gefa ykkur stórar fjárhæðir.
  • Varastu öll frávik í eðlilegum samskiptum eins og með leigu á húsnæði. Ef þú hefur tök á þá skaltu alltaf skoða húsnæðið fyrst. Ef þú ert að leigja erlendis þá borgar sig að fara í gegn um trausta aðila og aldrei samþykkja samskipti eftir öðrum leiðum eða senda greiðslu utan kerfis.

Falskar vinabeiðnir (Fake friend requests)

Eftir því sem þekking um traust svindl hefur orðið útbreiddari hafa svindlararnir breytt um aðferð og tekið upp flóknari svindl, sem á ensku kallast oft Long Con sem vísar til þess að svindlarinn gefur sér tíma áður en ráðist er til atlögu. Það er þegar einhver ókunnugur útlendingur sendir inn óvænta vinabeiðni á fésbókinni eða jafnvel á stefnumótasíðum. Dágóðum tíma er síðan varið í að viðkomandi vilji kynnast þér og þið eigið svo margt sameiginlegt. Þið skiljið hvort annað svo vel. Svo þegar sambandi hefur verið komið á þá kemur svindlið. Viðkomandi lenti í slysi og bráðvantar peninga eða ætlar að koma til Íslands en vill senda pakka á undan sér sem þú þarft að greiða fyrir. Þessi sambönd geta virkað mjög raunveruleg á brotaþola og þarna er verið að rugla með tilfinningar fólks. Vitað er um dæmi hér á landi þar sem fólk hefur misst nokkrar milljónir af því að það er að bjarga einhverjum í útlöndum og svindlararnir svífast einskis í lygum sínum. Hér eru dæmi um „bandaríska hermenn“ sem setja sig í samband við íslenskar konur eða ungar konur sem setja sig í sambandi við íslenska menn og möguleikarnir eru ótæmandi. Sjálfur hef ég fengið ófáar vinabeiðnir frá „stúlkum“ í útlöndum sem virðast hafa einkennilegt blæti fyrir miðaldra mönnum á Íslandi. Kannski er hörgull af miðaldra mönnum þaðan sem þær koma? Í stuttu máli sagt þá getur svindlarinn logið því sem að honum sýnist og svífst einskis við að hirða upp myndir á netinu eða breyta skjölum til að ljá sögu sinni trúverðugleika. Bandarískir hermenn í vanda þurfa ekki að leita á náðir ókunnra kvenna, það er heill her í kring um þá og ungar myndarlegar stúlkur í útlöndum eru ekki að fletta sig í gegn um alla Facebook í leit af mönnum með traustverðug andlit. Einn vandinn er líka sá að af því að sumt fólk samþykkir slíkar vinabeiðnir í blindni þá fylgja aðrir í kjölfarið af því að þeir eiga sameiginlega vini. Þeim sem eru eldri og óvanari netnotkun er sérstaklega hætt við svindli af þessu tagi.

Góðar venjur

  • Vandaðu til vina og varastu handahófskenndar vinabeiðnir.

Fjárkúgun (Extortion/sextortion)

Fjárkúgun getur auðveldlega átt sér stað á netinu og eitt form sem við höfum séð nokkrum sinnum er þegar einstaklingur er gabbaður í að senda nektarmyndir af sér eða nektarmyndskeið. Algengt er að þetta tengist fölskum vinabeiðnum sem síðan leiða út í klámfengið tal og deilingu mynda. Með því að samþykkja slíka vini hefur viðkomandi líka opnað fyrir þeim vinalistann sinn og eftir að hafa sent af sér viðkvæmt myndskeið fyrir framan tölvu kemur póstur um að myndskeiðinu verði dreift á alla vini þína nema að viðkomandi reiði fram greiðslu sem í byrjun er oft á bilinu 500 – 1.000 evrur. Það má aldrei falla í þá gryfju að senda peninga því það eina sem þá gerist er að svindlararnir vita að þú ert hræddur og munu alltaf reyna að hafa meiri pening af þér.

Góðar venjur

  • Við í lögreglunni mælum með að fólk sendi aldrei myndefni sem þolir ekki almenna dreifingu.

Löglegt en samt svindl

Þetta er einkennilegur flokkur en hér eru mörg ómótstæðileg tilboð. Nú gengur yfir alda þar sem fólki eru boðinn sérkjör bara fyrir lokaðan hóp í verðbréfamiðlun. Oft eru þetta vandaðar auglýsingar með „traustverðugum“ aðilum sem hafa hannað 100% öruggt gróðamódel sem þeir vilja deila með þér. Samhliða eru viðtöl við fullt af fólki sem hefur grætt óhemju upphæðir á þessu kerfi. Allt þetta fólk eru leikarar og þetta er gert til að lokka trúgjarnt og oft illa statt fólk inn í gróðavél sem gengur út á að hafa fé af fólki. Þar sem málið vandast er að oft fylgir einhver þjónusta og alls kyns skilmálar þannig að þetta er ekki alveg ólöglegt en það er enginn að fara að græða neitt á þessu nema þeir sem selja þjónustuna.

Annað dæmi um þetta eru bréf sem hafa borist íslenskum fyrirtækjum um European Business Number. Þarna fá einyrkjar og fyrirtæki bréf um ókeypis skráningu á einhvern sameiginlegan gagnagrunn. Þeir eru líka beðnir um að fylla inn VSK númer og svo stendur í smáa letrinu að breyting á skráningu kosti 677 evrur árlega, sem þeir verða rukkaðir um. Þetta fyrirtæki er staðsett í Þýskalandi og það hefur leikið þennan leik í mörgum löndum. Þetta er algjörlega gagnslaus grunnur og enginn ástæða til að skrá fyrirtækið sitt þar. En þetta er þjónusta þannig að þessi gerningur er ekki ólöglegur. Vitað er til þess að þeir sendi endurtekið rukkanir og kröfur á fólk en þeir hafa ekki svo ég viti til farið nokkurn tíma með mál fyrir dóm enda væri það mál á mjög veikum grunni. Þeir einfaldlega reikna með að nógu margir gefist upp og borgi til að fá innkomu. Það eru til mörg önnur afbrigði af slíku svindli og ef þú vilt láta freistast þá skaltu ræða við vini og fjölskyldu fyrst til að fá annað álit.

Góðar venjur

  • Forðastu gylliboð eða þjónustu sem að þú hefur ekki leitað eftir. Ef það hljómar of gott til að vera satt þá er það OF GOTT TIL AÐ VERA SATT.
  • Ef þú ert í vafa ræddu við vini og fjölskyldu áður en þú ferð af stað.

Gíslaforrit og tölvuvírusar (Ransomware and malicious software)

Hér erum við kominn á tæknilegan hluta netglæpa þar sem árásin beinist ekki gegn notandanum heldur gengur úr á yfirtöku á hug- og vélbúnaði. Þessi tegund er ekki eins algeng en er mun erfiðari. Oft eru tölvuhakkararnir að beita mjög þróuðum forritum og búnaði. Almenna reglan er að opna ekki skjöl eða fara inn á tengla sem þú þekkir ekki. En leiðir sem slík forrit fara eru margvíslegar. Hér skiptir máli að hafa góðar innbyggðar varnir á tölvubúnaði, eiga örugg afrit af mikilvægum gögnum og uppfæra hugbúnað.

Passið vel upp á myndir eða önnur gögn sem viljið aldrei glata og ekki treysta á eina geymsluaðferð. Til að mynda er lítið gagn í samtengdum utanáliggjandi hörðum diski. Betra er að nota skýjalausnir eða vista á tveimur aðskildum stöðum.

Gíslaforrit (Ransomware) hafa færst í aukana í heiminum en þá lendir þú í því að fá tölvuóværu í formi forrits sem breytir öllum skrám hjá þér í ólesanlega drullu sem er bara hægt að endurheimta með því að borga lausnargjald til að endurheimta gögnin. Slík tölvuóværa getur komið inn með tölvupósti eða niðurhali frá ótryggum miðlurum. Þá eru snjallsímar oft alveg óvarðir. Það hefur verið vinsælt í Bandaríkjunum að dreifa smá forritum í þá sem mæla út hvenær eigandinn sefur og hringja í gjaldskyld númer á nóttunni. Þetta eru oft litlar upphæðir á mánuði sem týnast með öðru en ef margir símar eru sýktir þá getur svindlarinn gætt helling.

Góðar venjur

  • Eigðu öruggt afrit af þínum dýrmætustu gögnum.
  • Ekki freistast til að opna einkennileg skjöl eða keyra skrýtin forrit.
  • Fylgist með reikningum.

Fjárkúgun í hótunarbréfi

Stutta svarið er: Ekki hafa áhyggjur, þetta er innistæðulaus hótun. Lengra svarið er að neðan.

Lögreglu hefur einnig borist nokkur fjöldi tilkynninga vegna annarskonar netglæpa. Fólki hefur verið að berast póstur þar sem svindlararnir beita fyrir sér að hafa lykilorð viðkomandi og senda póst með tilkynningu um að þeir hafi yfirtekið tölvuna og náð myndefni af brotaþola þar sem hann/hún sé að skoða klámsíður. Ef greiðsla berist ekki innan tiltekins tíma og með Bitcoin eða annarri rafmynt verði þessu myndefni af brotaþola dreift.

Lögreglan biður fólk að halda ró sinni fái það slíkan póst. Glæpamennirnir hafa ekki tekið yfir tölvu viðkomandi né hafa þeir yfir neinu skaðlegu myndefni að ráða. Lykilorðið er þó líkast til rétt. Það gerist af og til að tölvuþrjótar brjótast inn á síður á netinu og fá þá notandalista ásamt lykilorðum. Þessar upplýsingar eru síðan nýtar í slíkum pósti til að skapa hræðslu og óhug í þeirri von svindlaranna að fólk bregðist hrætt við og sendi peninga. Það getur verið mjög óþægilegt að fá slíkan póst og valdið uppnámi hjá fólki, enda er pósturinn sniðinn að því að hafa þau hughrif.

Góðar venjur

  • Ef þú færð slíkan póst ekki senda peninga. Í raun er best að senda aldrei svindlurum peninga því þeir eru aðeins líklegir til að reyna að þvinga þig til að borga meira.
  • Ef þetta er lykilorð sem þú notar mikið og á viðkvæmum stöðum þá er þér ráðlagt að breyta því. Við mælum eindregið með fólk noti aðskilin lykilorð á viðkvæmum stöðum, eins og aðgangi að netfangi, samfélagsmiðlum, greiðsluþjónustum heldur það notar almennt á öðrum síðum. Það má koma sér upp einhverju kerfi eins og lykilorðabanka (password manager).
  • Fólki er líka bent á að síðan Have I been pwned? birtir upplýsingar um gagnaleka þar sem fólk getur skoðað hvort að eitthvað tengist netfangi þeirra.

Ef þið fáið tölvupóst með netsvindli þá þið endilega senda hann á okkur í lögreglunni á cybercrime@lrh.is . Það gefur okkur færi á að fylgjast með því sem er í gangi og bregðast við því fljótt og vel.

Lánasvindl (Advance Fee Scam)

Þessi flokkur nær til auglýsinga um loforð um góð lán. Fólk sem hefur nýlega misst vinnu eða orðið fyrir tekjuskerðingu er líklegra til að falla fyrir slíku svindl en aðrir. Auglýsingar geta birst á margan hátt en vinsælt er að nota samfélagsmiðla. Fyrirtæki sem lofa skjótum gróða með Bitcoin, eða auglýst eru lánatilboð sem eru jafnvel á spjallborðum.

Ef fólk svarar slíkum tilboðum fær það alls konar rafræn skjöl, er sent á sannfærandi heimasíður og fær jafnvel símtöl frá tunguliprum þjónustuaðilum. Allt þetta eru skýjaborgir til að ljá lyginni trúverðugleika. Svindlið miðast við að ná sem mestu af brotaþolanum. Fyrst eru fögur fyrirheit en síðan þarf að greiða peninga í stimpilgjöld, fyrirfram greiddan skatt eða kallað eftir aukinni fjárfestingu. Það eru engin takmörk fyrir þeim kröfum sem eru gerðar. Á sama tíma er engin fjárfesting að eiga sér stað eða lán að fara að koma, bara ný flækjustig og krafa um frekari greiðslur enda snýst þetta eingöngu um að svindla á fólki og taka af þeim peninga.

Skömm

Það er algengt að fólk sem lendir í slíkum glæpum upplifi skömm og finnst að það hafi látið plata sig. Raunveruleikinn er hinsvegar sá að þetta er mjög skipulögð glæpastarfsemi og þeir sem standa að þessu eru fagmenn í svona lygum og gera þetta sannfærandi. Þeir nýta sér til hins ýtrasta veikleika fólks og svífast einskis í að ná peningum fólks.

Forvarnir

Peningakerfi heimsins og glæpir eru alþjóðlegir en refsilöggjöf og löggæsla eru landsbundin. Það eru til alþjóðlegar löggæslustofnanir eins og Interpol og Europol sem miðla þekkingu og koma á samskiptum á milli mismunandi lögregluliða en raunveruleikinn er sá að það er mjög erfitt að vinna mál sem þessi. Glæpamennirnir eru fljótir að flytja peninga hratt á milli reikninga og jafnvel taka þá út til að rafræn slóð hverfi. Oft nota þeir fólk í viðkvæmri stöðu til að stofna reikninga og flytja fyrir sig peninga, það fólk hefur verið misnotað en getur oft lítið sagt frá því hver er raunverulega að baki. Svo fara peningar oft til landa þar sem löggæsla á þessu sviði er afar léleg og lítil sem engin von er um samstarf. Ekki hjálpar það að umfang netglæpa er orðið svo mikið að afar fá lönd í heiminum hafa bolmagn til að elta allar tilkynningar. Þess vegna er endurheimt fjármuna afar erfið og oftast ef peningarnir eru farnir af fyrsta móttökureikningi þá er hún nánast ómöguleg. Þess vegna skiptir mjög miklu máli að fólk sé á varðbergi gegn slíku og sendi ekki frá sér peninga því það er afar ólíklegt að það fái þá nokkurn tíma tilbaka.

Framtíðin

Við erum að sjá talsverða aukningu í þessum brotum rétt eins og önnur lönd. Norðmenn, Danir og Svíar hafa sett á stofn sérhæfðar rannsóknardeildir og munu Danir fljótlega opna nýja miðstöð með um 100 starfsmönnum sem koma bæði frá lögreglu og frá hugbúnaðargeiranum. Við og Finnar rekum lestina á Norðurlöndum og höfum ekki enn tekið upp heilstæða nálgun á þessu sviði. Þá hafa önnur ríki og alþjóðastofnanir eins og Bretland, Frakkland, Interpol og Europol sett þessi mál í forgang.

Þessi flokkur afbrota er líka flókinn. Refsiréttur byggir á landslögum en brotið er framið á veraldarvefnum þannig að oftast er sakborningur utan seilingar því verður nálgunin að vera í alþjóðlegri samvinnu.

Fremstir meðal jafningja í dag eru FBI. Þeir ákváðu fyrir nokkrum árum að setja þennan málaflokk í forgang og hafa byggt upp víðtækt tengslanet. Þeirra viðhorf var að annað hvort leyfðu þeir svindlurunum að athafna sig frjálst eða þeir leggðu til mikinn mannafla og fjármuni í þennan flokk. Þeir hafa haldið námskeið hér á Íslandi fyrir lögreglumenn og byggt upp bein tengsl. Þeir eru líka mjög viljugir að deila upplýsingum enda eru upplýsingar í dag ferskvara með stuttan neyslutíma áður en þær eru úreldar. Tengslanetið er þeim mun mikilvægara og svo ég vitni í Ken Pennington yfirlögregluþjón frá Norður Írlandi: „You need to know the people you need to know before you need to know them.“ FBI hafa boðið okkur að fá upplýsingar úr sínum gagnagrunni og ef mál sem eru til rannsóknar á Íslandi tengjast málum sem þeir eru með til rannsóknar þá megum við hengja okkur við þeirra rannsókn án endurgjalds en FBI hefur nú þegar farið á eftir tölvusvindlurum í löndum í Vestur Afríku og hafa tengt okkur við rannsóknir í öðrum samstarfs-löndum.

Hvað Ísland varðar höfuð máli að halda almenningi vel upplýstum um það sem er í gangi og standa að forvörnum og vara við árásum, sérstaklega þeim sem eru vandaðar og nýlegar. Til að mynda er samstarf á milli lögreglu, Fjármálaeftirlitsins og öryggisdeilda bankanna. Það samstarf hefur bjargað því að umtalsverðir fjármunir hafi glatast.

Við hjá lögreglunni viljum gjarnan fá tilkynningar um tilraunir til netglæpa. Þær má senda á abendingar@lrh.is og cybercrime@lrh.is – þangað má líka senda fyrirspurnir.