Skal det være en norsk bankkonto? På det mørke nettet er det bare å velge og vrake

Kredittkortsvindel på det mørke nettet er en global industri i rask vekst, og norske finansinstitusjoner er langt fra immune. 

– Kredittkortsvindel er en stor utfordring, men blir ofte sett på som en bagatell av banker og betalingsinstitusjoner. De fleste ser det som et problem som løses ved å sperre kortet og utstede et nytt. Men hvem går egentlig etter dem som kompromitterte kortet?

Spørsmålet stilles fra scenen under Tietoevrys sikkerhetsevent FinansSec, arrangert i samarbeid med sikkerhetsnettverket HackCon, og sitatets innehaver er Keven Hendricks, en etterforsker fra New Jersey, USA. 

Under foredraget sitt viste han frem hvordan norske bankkunders informasjon distribueres på det mørke nettet – og hva bankene bør gjøre istedenfor å bare flagge kortene som stjeles.

Tilbud på bankkort

Hendricks har vært Task Force Officer for to forskjellige føderale byråer, og i dag jobber han blant annet for FBI Law Enforcement Bulletin og trener føderalt politi i hvordan de skal drive etterforskning på det mørke nettet og avdekke cyberkriminalitet. I tillegg driver han The Ubivis Project, hvis mål er å stoppe narkotikahandel på nett.

Hendricks forteller hvordan handelen med stjålne norske kredittkort og personopplysninger  foregår åpenlyst på det mørke nettet, og flere skjermdumper viser hvordan norske bankkunders kontoinformasjon selges for hyggelige priser – satt ned på tilbud fra 19 til 15 dollar og 20 cent, for eksempel. 

Kortinformasjonen selges ofte med detaljerte opplysninger om saldo og tilhørende personlig informasjon.

– Det er ingen mangel på slike data, og jeg kan enkelt filtrere søkene mine og finne norske kort med tilhørende saldo til salgs for en lav pris.  Bare på én markedsplass oppdateres 40.000 nye kredittkort daglig, sier Hendricks.

Vipps-konto til salgs

Det er ikke bare norske bankkontoer som ligger ute til salgs – også norske pass med tilhørende selfie og personlig informasjon, samt Vipps-kontoer, kan kjøpes over en lav sko.

I tillegg kan man handle norske telefonnumre. Disse brukes til å motta engangskoder, noe som gjør det lettere å opprette falske bankkontoer som brukes på for eksempel kryptobørser. 

– Skal jeg kjøpe falske førerkort med en tilhørende selfie for å bestå kjenn-din-kunde? Det er lett, sier Hendricks, og viser også hvordan han enkelt kunne kjøpe seg et norsk førerkort med valgfritt bilde hos en av disse «nettbutikkene».

– Hvis du aldri har sett disse sidene før, velkommen til virkeligheten. Du er nå ute av The Matrix.

Nettbutikk på Telegram

Et av de viktigste poengene Hendricks ønsket å få frem, er at cyberkriminelle sjelden er genier bak en dataskjerm.

– Disse folkene er ikke hackere. De er ikke supersmarte datakriminelle. Mange av dem har langt mindre teknisk kunnskap enn ekspertene som sitter her i salen.

Han forklarer at de kriminelle ofte bruker enkle verktøy, og ikke sjelden avslører de seg selv ved å være synlige på plattformer som Telegram og TikTok, hvor de skryter av hvor mye penger de tjener, eller hvordan de kan bistå kunder med sine tjenester. 

Hendricks sier til BankShift at det å være aktive på slike kanaler, enten som observatør eller for å handle «undercover», er noe av det smarteste norske banker kan gjøre for å adressere denne typen kriminalitet.

– Her kan du lete etter noe spesifikt, for eksempel et kort fra din egen bank, for å nøste opp i hva som har hendt. Kort som selges med tilhørende IP-adresse er ofte kompromittert via nettbruk. Da blir spørsmålet om kortet ble stjålet gjennom en svindel, via en tredjepartsbetalingstjeneste som PayPal eller Amazon, eller om angriperne har funnet en metode for å fange opp data under betaling, forteller Hendricks.

Hans råd er tydelig: bankene bør ikke frykte det mørke nettet, men heller kaste seg ut i det for å samle informasjon.

– Ikke bare flagg kortene, ta bakmennene

Hendricks sier at det er en grunn til at sider som Club to Card og ProZone har vært på nettet så lenge – fordi de i praksis opererer uten konsekvenser. 

– Jeg tror at først når det er en samlet innsats om å aktivt å gå etter disse aktørene, at vi vil se at disse nettstedene forsvinner, sier han.

Hendricks påpeker til BankShift at bankene så klart må fortsette å flagge kompromitterte kontoer og kort, men at arbeidet ikke bør stoppe der.

– Jeg mener at det beste grepet for å stoppe dette, er å gjøre en del etterforskning og arbeid selv og så presentere det for politiet i en strukturert pakke. På den måten blir det enklere å etterforske og føre saker, i stedet for å forvente at politiet skal ha ressurser til å ta tak i det på egen hånd, sier Hendricks.

Han mener finanssektoren, enten det gjelder kredittselskaper eller banker, ofte ser på kompromittering av informasjon mer som en irritasjon enn en faktisk forbrytelse, og at noe av grunnen til at denne type saker ikke tas tak i, er at kredittkortsvindel ofte fremstår som en victimless crime. 

– Kortinnehaveren får refundert pengene, kortet sperres og et nytt utstedes – de er fornøyde. Banken tar tapet, men ser det ofte bare som en driftskostnad, hevder han, og legger til:

– Skal man virkelig få oppmerksomhet rundt dette, må man trekke i de større trådene. Ikke bare flagg kortene – ta bakmennene! Organisert kriminalitet har ofte koblinger til langt mer alvorlige aktiviteter som hvitvasking, terrorfinansiering, narkotikahandel og menneskesmugling, og det er når disse forbindelsene kommer frem, at myndighetene virkelig reagerer.