– Hvorfor plaget dere meg, inkludert familien min, i nærmere et halvt år?
I mai skrev Nettavisen om tidligere Sbanken-kunde Atle Helland som opplevde at over 200.000 kroner forsvant ut av bankkontoen etter at han hadde forsøkt å laste ned mobilbanken til Sbanken i slutten av januar 2022.
– Jeg hentet appen på App Store og logget meg inn ved å bruke personnummer og BankID med personlig passord, sier Helland til Nettavisen.
Da han skulle aktivere applikasjonen ble prosessen trøblete.
Spesielt da han skulle bestemme om han ønsket å benytte seg av ansiktsgjenkjenning.
– Da kom det en feilmelding som sendte meg tilbake til start – og en ny pålogging. Dette skjedde to-tre ganger. Jeg lot være å gjøre noe mer, og tenkte at jeg heller venter til mandag når jeg kan få hjelp av folk som er på jobb.
På mandagen overførte svindlerne 20.000 euro ut av Hellands konto i Sbanken til en konto i Spania.
Metoden svindlerne har benyttet seg av for å få tilgang til kontoen kan verken Helland eller Sbanken redegjøre for. De neste månedene var preget av lange diskusjoner mellom partene om hendelsen.
Helland mener han ikke har «trykket» seg inn på noen nettsider eller gitt betalingsopplysninger til noen over telefon.
– Hvordan kan dette skje? De må ha utrolig mye kunnskap om Sbankens system. Det er veldig profesjonelt, sa Helland til Nettavisen i mai.
Sbankens kommentar til Nettavisen på daværende tidspunkt var at på et generelt grunnlag oppstår hendelser som beskrevet av Nettavisen som følge av en eller annen form for deltakelse hos offeret. Banken ønsket ikke å kompensere Helland for det økonomiske tapet.
Da klaget Helland inn saken til Finansklagenemnda.
Mens saken var under behandling i nemnda bestemte Sbanken seg plutselig for å utbetale beløpet i juni 2022.
Men hvorfor endret banken ståsted?
– Jeg har plukket i stykker argumentene deres
Pensjonisten, som har erfaring fra IT-bransjen, har utallige ganger gjennom de siste månedene ønsket å prate med systemfolk i Sbanken. Men her mener han Sbanken har vært lite behjelpelige.
10. juni, etter flere etterspørsel, fikk han til slutt prate med sikkerhetssjef Vidar Drageide.
Seks dager senere får Helland en telefonsamtale fra en jurist i Sbanken.
I samtalen får Helland vite at Sbanken har bestemt seg for å tilbakeføre beløpet han ble svindlet for.
– Som opplyst til deg på telefon bekrefter jeg herved at Sbanken har besluttet å tilbakeføre kr 203.268 kroner til deg i medhold av finansavtaleloven § 37, skriver banken.
Banken utelukker likevel ikke at Helland har blitt utsatt for «phishing». Dette er en metode svindlerne bruker for å fiske etter eller lure ut sensitiv informasjon om deg som de kan benytte for å komme inn på for eksempel bankkontoen din.
– Banken har derfor etter en helhetsvurdering kommet til at denne tvilen er avgjørende for å tilbakeføre beløpet.
Ulike angrep svindlerne benytter seg av
Manipulasjon i sanntid
Et slikt angrep kan starte med at offeret mottar en SMS og/eller et anrop.
- I begge tilfellene har de kriminelle gjemt seg bak falske mobil numre, fastnettnumre eller avsendernavn – for eksempel navnet på banken eller tilsvarende. I SMS-en eller i samtalen spilles det som regel på frykt for å få deg på limpinnen og handle irrasjonelt, sier Busch.
Et eksempel på en melding du kan få er at «banken mistenker uautorisert aktivitet på kontoen din».
- En slik melding vil også påfører deg stress og følt tidspress ved at offeret raskt må ta affære for å hindre misbruk og tap av penger. De kriminelle ønsker at du skal la seg rive med av frykten, bite på kroken og trykke på en lenke du tror leder til nettbanken. Det du tror er bankens offisielle innloggingside, er i realitet en ondsinnet nettside de kriminelle kontrollerer. Nettsiden kan se helt lik ut den innloggingssiden du pleier å logge deg på.
Svindlerne ønsker at du skal gi fra deg innloggingsinformasjon, BankID, aktiveringskoder, eller andre engangskoder.
- Idet du taster inn engangskoden fra BankID på den falske nettsiden, kan svindlerne lese av denne. Siden de også har fødselsdatoen, kan de raskt logge inn i for eksempel den ekte nettbanken din før koden blir for gammel. Dette er mulig fordi bakmennene sitter parat, i sanntid, og følger med på alt du skriver på den falske nettsiden – som de kontrollerer. Straks de er inne i nettbanken, setter de gjerne i gang en overføring av penger ut av kontoen din, sier Busch.
- Men siden slike overføringer gjerne krever en egen godkjenning via BankID, kan de la deg tro at «innloggingen» din feilet. Når du da forsøker å «logge inn» på nytt med en ny BankID-kode, har du i realiteten gitt svindlerne koden de trenger for å godkjenne overføringen ut av kontoen.
- En annen variant kan være at du mottar et anrop, eller blir lurt til å ringe tilbake til «banken».
- Her kan man bli bedt om å «bekrefte identiteten sin» med BankID som gjør at de kriminelle, mens de har deg på tråden, kan tappet kontoen din for penger. BankID kan også fungere som en aktiveringskode slik at de kriminelle selv kan installere banken sin app på egen telefon, og deretter gjennomføre betalinger fra kontoen de har fått tilgang til.
Jailbreak
- Telefoner blir levert fra leverandør med begrensninger i tilgang. Disse begrensningene er ofte tiltak for å sikre telefonen og dens data. Jailbreak betyr at man med programvare åpner opp telefonen for å øke tilgangen til seg selv som bruker, og dette kan medføre en sikkerhetsrisiko. ¨
Applikasjoner på telefonen kan da få økt tilgang og justere innstillingene.
- Små sårbarheter med liten innvirkning kan i stedet bli alvorlige sårbarheten. I praksis har man ødelagt en del av sikkerhetsrutinene på telefonen som normalt sett gjør telefonen mindre sårbar. En kan sammenligne sikkerhetsrutinene med en løk der hvert lag utgjør en sikkerhetsbarriere. Når du jailbraker telefonen er bare skallet igjen.
0-dagsangrep
- Et 0-dagsangrep (nulldag) betyr at en sårbarhet i programvare ikke er kjent og rettet opp i. Det kan være at angriper er den eneste som kjenner til sårbarheten. Å beskytte seg mot disse sårbarhetene er vanskelig, og det kan gi en angriper full tilgang til telefonen uten at en bruker kan beskytte seg.
Disse type sårbarhetene finnes ikke ofte, og de blir fikset så raskt de blir kjent, ifølge eksperten.
- Men når de først er kjent så vil mange flere benytte seg av angrepstypen. Derfor er det viktig a holde telefonen oppdatert så kjente sårbarheter ikke kan brukes mot telefonen. De kriminelle kan potensielt sett utnytte sårbarheten til å ta kontroll på mobilen, og nettbanken kan bli sårbar for angrep. Angriperen gis såkalte «systemprivilegier» der det ikke er noen begrensninger for hva de kriminelle kan gjøre på mobilen.
Nedlastning av usignerte applikasjoner fra useriøse markedsplasser
- For at en app skal kunne installertes på en telefon må den godkjennes\autoriseres av Apple eller Google, avhengig av telefon. App som ikke er autorisert kan installeres ved at brukeren tillater usignerte applikasjoner. Da kan bruker laste ned fra andre kilder enn App Store og Google Play Store. Dette er en betydelig sikkerhetsrisiko da app lastet ned fra andre kilder ikke har samme kvalitetskontroll og sjekk for ondsinnet innhold. Apper kan da være trojanisert, det vil si at de gir seg ut for å være en type app, men i virkeligheten er noe annet.
Typisk for dette er spill som ibakgrunnen stjeler brukerens informasjon, bilder og data. Ved å tillate usignerte apper så er det mye lettere å få brukeren til å installere en ondsinnet app - som Flubot, sier eksperten.
- Flubot er et eksempel på ondsinnet applikasjon, som i realiteten er en banktrojaner, og er designet for å stjele informasjon fra telefonen og spre viruset videre via SMS eller MMS.
En usignert app, eller en app som er gitt for mye rettigheter på telefonen enten ved hjelp av bruker eller utnyttelse av plattformen, kan stjele informasjon fra telefonen, understreker Busch.
- De kan oppføre seg som en legitim app og tilby tjenester og funksjoner som forventet, men i realiteten sende data, passord, navn, alt av informasjon til kriminelle. I tillegg så er det andre måter de kan stjele informasjon som for eksempel skjermdump, logging av tastetrykk, bruk av mikrofon og kamera og å sende nettverkstrafikk fra legitime apper til angriper som kan manipulere den.
Bankens egne systemer
En mer komplisert, men ikke usannsynlig angrepsflate, er bankens egne systemer. Da kan det tenkes at angriper kan sende ut SMS fra banken, blokkere SMS fra banken, sende ut phishing linker eller gjennomføre transaksjoner. Disse type angrepene er alvorlige og utgjør en stor trussel da den kan ramme mange. Her må man stole på banken og dens sikkerhetspersonale til å finne og å stoppe eventuelle angrep.
Kilde: Telenor
Etter flere måneder i hva Helland beskriver som en slåsskamp med banken, får han nå tilbake beløpet og rentetapet. Dette tilsvarer 208.000 kroner.
– Jeg har plukket i stykker argumentene deres hver eneste gang. Det er kunsten å stille de rette spørsmålene. Etter hvert har Sbanken kjørt seg opp i et hjørne. Det som skjer da er at de gir seg.
Sbanken ønsker ikke å utdype hvorfor de har valgt å utbetale beløpet.
– Sbanken kommenterer ikke enkeltsaker i media, sier sikkerhetssjef Vidar Drageide til Nettavisen.
Ønsket å få tilgang til PC-loggen
Helland har heller ikke mottatt en grundig forklaring på hvorfor de har endret synspunkt, men i ukene i forkant av beslutningen hadde Sbanken ønsket å få tilgang til PC-loggen til Helland.
– Det ble plutselig veldig interesse for at jeg hadde logget på PC-en min dagen før jeg ble svindlet. Sbankens advokat forsøkte å gjøre et poeng ut av dette, og mente at jeg kunne ha trykket meg inn på en svindellenke fra PC-en. Advokaten ber meg om å dokumentere alle mine nettsidebesøk ett fire dagers tidsrom.
Da tok Helland kontakt med Øst Politidistrikt.
– De ba meg være varsomme med å utlevere privat informasjon fra en leselogg til en privat aktør.
Samtidig tilbyr Sbanken at en i sikkerhetsavdelingen deres skal ringe Helland for å hjelpe han å hente ut detaljer fra loggen.
Til tross for at Helland hadde fått en advarsel fra politiet mot å dele dette, takket han ja til tilbudet.
– Jeg var interessert i å vite hva de egentlig jaktet på.
– Lært hvor lite jeg kan stole på egen bank
Her kommer samtalen med sikkerhetssjef Drageide inn.
– Men det Drageide egentlig skulle hjelpe meg med, blir vi enige om at er helt irrelevant. Om noen hadde fått tak i min BankID på lørdagen, kunne de ikke ha brukt den på nytt på søndag.
I dag er pengene tilbake på kontoen, men pensjonisten beskriver det siste halvåret som tøft.
– Når det gjelder mine tanker om hvorfor banken gir seg og velger å tilbakeføre pengene, er jeg overbevist om at det i hvert fall ikke er på grunn av at de er blitt glade i meg, og nå vil vise godhet og empati. De gikk nok dønn tomme for argumenter, «tiltalelista» var tømt.
Helland ønsker å illustrere hvor hjelpeløs man blir i møte med banken, sier han.
Pensjonisten mener Sbanken har fokusert på å dra inn advokater og lovtekster, istedenfor å hjelpe kunden deres. Dette mener han blir altfor dårlig fra banken som hevder å være best på kundeservice i Norge.
– Jeg kunne godt tenkt med å være tidsrommet 24. januar til juni 2022 foruten, men det positive er likevel at jeg har lært mye. Jeg har lært hvor lite jeg kan stole på min egen bank.
I tillegg understreker Helland at han aldri hatt fått pengene hvis han ikke hadde vært såpass på banken gjennom hele perioden. Masing hjelper, er budskapet.
– Fra bankens side var saken avgjort samme dag som pengene forsvant fra kontoen min. Det var ingen hjelp å få fra dem.
Avslutningsvis skulle han gjerne hatt en unnskyldning.
– Jeg får bare svar som «vi har et kontinuerlig fokus på sikkerhetsarbeid, og kundene blir raskt kontaktet av banken ved mistanke om svindel».
Artikkelen fra mai har blitt publisert i flere av Amedias lokalaviser. Selv har Helland fått henvendelser fra hele Norge.
– Det er fint å kunne fortelle folk at jeg nå har fått pengene tilbake, avslutter han.