UiT Norges arktiske universitet ble offer for en ny svindelmetode rettet mot offentlige institusjoner. Politiet kjenner til minst 47 lignende svindelforsøk.
30. september 2019 mottok UiT Norges arktiske universitet en faktura på 12 millioner kroner fra en britisk leverandør. Universitetet hadde akkurat inngått en kontrakt om å kjøpe inn nytt og avansert røntgenutstyr.
Dagen etter sendte «leverandøren» en ny e-post med spørsmål om når de kunne forvente å få betalt. I e-posten ble det lagt ved betalingsinformasjon som det var naturlig at kun leverandøren og UiT kjente til.
Dialogen mellom partene fortsatte over e-post og telefon. Underveis oppga leverandøren at de hadde opprettet en ny avdeling i et annet europeisk land. Kunne de sende UiT en oppdatert faktura?
14 dager etter at UiT betalte fakturaen tok den ekte leverandøren kontakt. Hvor ble det av pengene?
Flere medier omtalte hendelsen i 2019, men NRK kan nå fortelle at dette bedrageriet inngår i en ny svindelmetode rettet mot offentlige institusjoner. Et samarbeid mellom Kripos og Økokrim har avdekket minst 47 lignende svindelforsøk i Europa, men de anslår at mørketallene er store.
Slu metode
Politiet er kjent med at minst tre av svindelforsøkene har lyktes i Norge. I tillegg har det vært vellykkede forsøk i Danmark og Tyskland.
I Norge etterforskes mesteparten av datakriminalitet lokalt i politidistriktene, men noen ganger løftes sakene opp på nasjonalt plan.
– Vi oppdaget at de potensielle fornærmede ble funnet på en nettside som offentliggjør anbud. Mange offentlige kontrakter blir publisert der, sier Anne Glede Allum i Økokrim.
Hun er påtaleansvarlig for en av bedrageriene som er under aktiv etterforskning. Håpet er at Økokrim og Kripos kan finne ledetråder i de ulike bedrageriene som leder dem til gjerningspersonene.
– De kriminelle er gode på sosial manipulering. Informasjonen som blir offentlig gjort på disse anbudssidene går ned helt på hvilke personer i selskapet som kan kontaktes, sier seksjonssjef Øystein Andreassen ved Kripos.
Andreassen forklarer at de kriminelle har brukt denne informasjonen til å først lure leverandøren til å dele den originale fakturaen. Så har svindlerne gått mot de offentlige institusjonene som om de var leverandøren.
Dette er en av e-postene svindlerne brukte for å hale ut informasjon fra en leverandør:
Politiet tror at gjerningspersonene holder til utenfor Norge og at de er tilknyttet organisert kriminalitet.
– Henvendelsen kom så raskt etter at vi hadde mottatt den originale fakturaen at det var vanskelig å tro at det ville vært mulig for andre å ha så detaljert informasjon, sier økonomidirektør Odd Arne Paulsen ved UiT.
– Det fremstod som troverdig, informasjonsrikt, og raskt. Det var nok hovedgrunnen til at vi lot oss lure, sier Paulsen.
I etterkant av svindelen har UiT styrket sine interne rutiner og delt sine erfaringer med resten av universitets- og høyskolesektoren. UiT innhenter nå en uavhengig bekreftelse ved endring av betalingsopplysninger.
28 norske svindelforsøk
Politiet sender nå ut målrettede advarsler til bedrifter som nylig har offentliggjort engelskspråklige kontrakter.
– Etter at vi ble klar over metoden og forstod at det var et stort omgang så har vi sendt ut e-poster til cirka 170 kontaktpersoner for norske bedrifter og fått svar fra 28 som i ettertid som bekrefter at de har blitt forsøkt svindlet, sier Olav Skard som leder Nasjonalt cyberkrimsenter (NC3) i Kripos.
Utfordringen med fakturasvindler er at pengene ofte er borte innen bedrageriet oppdages. De kriminelle har gjerne også etterlatt kun noen få spor, noe som gjør det krevende å straffeforfølge.
For UiTs del av nesten alle av de 12 millionene borte. Ved hjelp av DNB og BDO fikk UiT beslaglagt «noen hundretusen» som stod igjen på en av bankkontoene til svindlerne.
Politiet, i samarbeid med andre, forsøker derfor å oppdage og informere om nye svindelmetoder slik at man kan hindre at andre går på limpinnen. Det har ikke blitt oppdaget flere vellykkede bedragerier med denne metoden etter politiet startet sin målrettede informasjonskampanje.
En av måtene politiet oppdager nye metoder og trender er gjennom deres tipsportal for datakriminalitet.
– Når bedrageriene endrer seg får vi som regel inn mange tips. Slik kan vi konsentrere oss om det som brenner nå, sier Øystein Andreassen.
– Det kan være de klassiske Nigeria-brevene eller pornosvindlene. Vi ser det treffer i bølger.
Les også: Et åpent brev til min sex-utpresser
Vi har hatt teknologien på plass for digital signering i omlag 30 år – enten vi bare ønsker å signere en epost i klartekst, eller samtidig vil kryptere den.
Det er ikke noe vanskelig å ta det i bruk – kjøp et sertifikat, dobbeltklikk på mottatt sertifikatfil, og det er på plass. Alle vesentlige epost-klienter har hatt støtte for dette siden forrige årtusen.
Så hvorfor benytter vi det ikke, så vi slipper slike problemer? Gidder vi ganske enkelt ikke?
Det kommer alltid noen super-flinke på banen og påper at det finnes en eller to «corner cases» der løsningen ikke er perfekt. Men når de ikke kan diske opp med noen perfekt, og tilsvarende lett tilgjengelig, løsning, så fører deres framheving av at det du kan få ikke er perfekt til at de store massene blir usikre, og lar istedet eposten gå totalt usikret. Ikke signert, ikke kryptert.
Ekspertene er eksperter på å gjøre det beste til det godes fiende. De lykkes i forsøket.
Det er et ufravikelig krav i det Norge at dersom en person forstår noe som helst av det du skriver over så er vedkommende ekskludert fra stillinger i det offentlige med noen form for myndighet eller ledelse.
Slike spørsmål skal kun tåkelegges av konsulentfirmaer med høy timerate og svingdørpolitikk for å ansette gamle venner som kan sikre en bærekraftig utvinning av skattekroner.
Jeg signerer alle mine eposter, og får stadig vekk spørsmål fra offentlige byråkrater … «jeg kan ikke åpne vedlegget ditt, kan du sende det som pdf?»
«Vi har hatt teknologien på plass for digital signering i omlag 30 år»
Og det er flere gode grunner til at det aldri har blitt vanlig, først og fremst fordi slik kommunikasjon lett kan spoofes, f.eks via MITM. E-post er notorisk usikker, selv «kryptert» e-post, da det bare skal én forglemmelse til for at hele tråden blir videresent i klartekst (altså u-kryptert). Da er også både signering og kryptering meningsløst.
«Det er ikke noe vanskelig å ta det i bruk» … for deg. Men i realiteten har de fleste utfordringer med teknologi på ett eller annet nivå. Ta for eksempel ingeniøren som ikke får til å bruke mikrobølgeovnen han har stående hjemme. Det er ikke hans feil. Det er teknologiens. For mer om det, les nesten hva som helst av Donald Norman.
Det som må til i dette tilfellet er en helt ny løsning hvor alt er kryptert fra ende til ende.
Krister,
Det synes som om du ikke fullt ut har forstått hvordan digital signering og kryptering fungerer.
Uansett: Du tar til orde for at ‘siden løsningen ikke er 100% perfekt, bare 99,999%, kan den like godt forkastes – la oss heller velge ingen form for beskyttelse. Det er nettopp slike holdninger jeg går til felts mot!
Sikkerheten i etablerte metoder er betydelig høyere enn det inntrykk du etterlater, og kan være avgjørende for å kontrollere epost-svindel!
For det første:
Beløp, IBAN/kontonummer og KID spesifiseres i kontrakten(ikke i en tilfeldig epost).
For det andre:
Skal du svare på en epost som handler om millioner av kroner sjekk hva reply-to epostenadressen er og at domenet tilhører organiasjonen du skal betale til.
For det tredje: Still kontrollspørmål og ta deg tid til 5 minutt for å ringe og bekrefte hos dem du har inngått en millionavtale med. Ikke ring nummeret som står i eposten. Ring nummeret som du har fått fra dem tidligere/som bør stå i kontrakten.
Dette er basic due dilligence
Helt enig, betalingsform OG KONTOINFO skal inn i avtalen. Da er det aldri noe reelt behov for å endre en bankkonto, med mindre banken forsvinner. Selger kan ordne overføring selv.
Er mange handler på millionbeløp som går uten kontrakter i Norge selv i dag. Mange oppfatter dette som slurv. Men det norske samfunnet er basert på tillit. Og dette er gjerne handler mellom parter som har handlet med hverandre i flere tiår.
Med så mye skriverier som det er rundt dette så er det utrolig at slikt kan skje. Hvor er kontrollen og or rutinene? Her er det noen som bør ta ansvar og innse at de ikke makter jobben.
«Politiet er kjent med at minst tre av svindelforsøkene har lyktes i Norge.»
Hvis Politiet ikke kjenner til flere forsøk vil jeg anbefale dem å lese nrk.no. Der har de f. eks. omtalt:
-Rottefella-saken (tror det var to saker med samme gjerningskvinne)
-Musikkorps-lederen som overførte alle pengene som skulle gått til Danmarkstur
-Norfund
-UiT
Politiet snakker her utelukkende om fakturasvindler med samme modus/metode. Fakturasvindel er et langt større problem og vi har i denne saken fokusert på en liten del av problemet.
Hvorfor legger nrk ut videoer man ikke kan stoppe eller spole i og uten lyd? Er jo totalt fullstendig idioti, som i denne artikkelen:
nrk.no/spesial/de-_verdilose_-millionverkene-1.15825186
Er langt på vei enig ang. disse videoene. Men man kan ihvertfall slå av «Loop» ved å høyreklikke på videoen. Det forhindrer at den stadig begynner på nytt.
UIT som er blitt svindlet er, eller bør være, en profesjonell part. Dersom denne type informasjon ikke er skrevet ned i kontrakten så …kan de skylde på seg selv. Det jeg lurer på er; Hvordan fikk svindlerne tak i slik kritisk informasjon. Har de virkelig ikke bedre kontroll på hvem som får tak i kontraktsinfomasjon?
Som det fremgår i saken står det at svindlerne benytter anbudssider til å finne kontaktinformasjon ++ som gjør at de kan rette seg mot nøkkelpersonen tidsriktig og med mye bakgrunnsinfomrasjon.
«– Informasjonen som blir offentlig gjort på disse anbudssidene går ned helt på hvilke personer i selskapet som kan kontaktes, sier seksjonssjef Øystein Andreassen ved Kripos.»
«I Norge etterforskes mesteparten av datakriminalitet lokalt i politidistriktene,…»
Det burde opprettes et eget politidistrikt for digital kriminalitet, dette krever spesialkompetanse.
Mmmmja, nei, kanskje ikke …
Da jeg var datastudent gikk en stor diskusjon om det var riktig å ha det som et separat institutt, en separat fakultet. Eller burde data være integrert i samtlige liner på Gløshaugen, slik at alle siv.ing-spirer lærte seg det?
Jeg hadde data-mannens selvsikkerhet og hevdet naturligvis at vårt kunnskap er så spesiell at vi må ha vårt eget studium. Og sånn er det fortsatt. Og slett ikke bare i Norge.
Resultatet er at så å si samtlige «rene» datafolk jeg har møtt i min karriære har hatt svært sviktende forståelse for de problemer vi blir satt til å løse – det som gjerne kalles «domenekunnskap» lærer vi slik man lærer et fremmedspråk. Skal data-løsningen bli god, må vi ikke få styre den slik vår halvvegse og delvise forståelse tilsier. Vi må la oss styre av fageksperter med en dyp faglig forståelse av problemstillingene, og løsningene. Og det må være folk med tilstrekkelig data-bakgrunn til å ikke la seg overkjøre av oss!
Så etter en del års yrkeserfaring har jeg snudd helt om: En langt større andel av undervisnings-ressursene bør gå til å lære fag-ekspertene å bruke IT-teknologi for å løse sine problemer.
Det vil nok være enkelte spesielle problemstillinger der man må hente inn en spesialist fra «ren» datateknikk – men da for å gjøre helt spesifikke enkeloppgaver. Sett aldri «rene» datafolk ansvarlige for å utvikle løsninger innen andre domener enn ren datateknikk (som å lage kompilatorer eller nettverks-stakker). Overlat løsnings-designet til de som virkelig forstår problemet, som sitt «faglige morsmål».
Parallellen burde være klar: Samtlige politidistrikter må kunne handtere verktøy for å bekjempe digital kriminalitet i hverdagen. Det er ikke noe super-spesielt lenger; det er noe ethvert politikammer kan bli involvert i etterforskning av, hvilken dag som helst.
Også innen andre former for kriminalitet har de lokale politidistriktene spesialister de kan støtte seg til, f.eks. Kripos. Men det er som topp-eksperter, «konsulenter». Kripos tar ikke over etterforskning av alle kriminalsaker.
Så la gjerne Kripos eller Økokrim få topp-eksperter som politidistriktene kan konsultere, men sett de som møter datakriminaliteten i praksis ute i felten få kompetanse i å løse også disse oppgavene innen sitt fagfelt. Ikke la skrivebords-eksperter i Oslo være de som definerer løsningene på det praktiske etterforsknings-arbeidet ute i distriktene.
Ja med de fantastisk høye telefonprisene vi
Vi har, en samtale til EU koster jo fort 0 nr minutter, tar masse tid også. 12 millioner er jo en detalj som man ikke gidder å ringe for
Den eneste 100% pålitelige vitenskap er etterpåklokskapen.