nrk.no

Trodde de betalte leverandøren – norsk universitet loppet for 12 millioner med ny svindelmetode

Kategori: Samfunn

MILLIONBEDRAGERI: UiT skulle betale en faktura på 12 millioner kroner for denne røntgenmaskinen. Foto: Michel Herranz Carnero/UiT

UiT Norges arktiske universitet ble offer for en ny svindelmetode rettet mot offentlige institusjoner. Politiet kjenner til minst 47 lignende svindelforsøk.

30. september 2019 mottok UiT Norges arktiske universitet en faktura på 12 millioner kroner fra en britisk leverandør. Universitetet hadde akkurat inngått en kontrakt om å kjøpe inn nytt og avansert røntgenutstyr.

Dagen etter sendte «leverandøren» en ny e-post med spørsmål om når de kunne forvente å få betalt. I e-posten ble det lagt ved betalingsinformasjon som det var naturlig at kun leverandøren og UiT kjente til.

Dialogen mellom partene fortsatte over e-post og telefon. Underveis oppga leverandøren at de hadde opprettet en ny avdeling i et annet europeisk land. Kunne de sende UiT en oppdatert faktura?

14 dager etter at UiT betalte fakturaen tok den ekte leverandøren kontakt. Hvor ble det av pengene?

Flere medier omtalte hendelsen i 2019, men NRK kan nå fortelle at dette bedrageriet inngår i en ny svindelmetode rettet mot offentlige institusjoner. Et samarbeid mellom Kripos og Økokrim har avdekket minst 47 lignende svindelforsøk i Europa, men de anslår at mørketallene er store.

Slu metode

Politiet er kjent med at minst tre av svindelforsøkene har lyktes i Norge. I tillegg har det vært vellykkede forsøk i Danmark og Tyskland.

I Norge etterforskes mesteparten av datakriminalitet lokalt i politidistriktene, men noen ganger løftes sakene opp på nasjonalt plan.

– Vi oppdaget at de potensielle fornærmede ble funnet på en nettside som offentliggjør anbud. Mange offentlige kontrakter blir publisert der, sier Anne Glede Allum i Økokrim.

Hun er påtaleansvarlig for en av bedrageriene som er under aktiv etterforskning. Håpet er at Økokrim og Kripos kan finne ledetråder i de ulike bedrageriene som leder dem til gjerningspersonene.

SE SAMMENHENGEN: – Vi er avhengig av informasjon fra alle sakene for å kunne komme i mål med den som er under etterforskning, sier statsadvokat Anne Glede Allum. Foto: Martin Gundersen/NRK

– De kriminelle er gode på sosial manipulering. Informasjonen som blir offentlig gjort på disse anbudssidene går ned helt på hvilke personer i selskapet som kan kontaktes, sier seksjonssjef Øystein Andreassen ved Kripos.

Andreassen forklarer at de kriminelle har brukt denne informasjonen til å først lure leverandøren til å dele den originale fakturaen. Så har svindlerne gått mot de offentlige institusjonene som om de var leverandøren.

Dette er en av e-postene svindlerne brukte for å hale ut informasjon fra en leverandør:

Politiet tror at gjerningspersonene holder til utenfor Norge og at de er tilknyttet organisert kriminalitet.

– Henvendelsen kom så raskt etter at vi hadde mottatt den originale fakturaen at det var vanskelig å tro at det ville vært mulig for andre å ha så detaljert informasjon, sier økonomidirektør Odd Arne Paulsen ved UiT.

– Det fremstod som troverdig, informasjonsrikt, og raskt. Det var nok hovedgrunnen til at vi lot oss lure, sier Paulsen.

I etterkant av svindelen har UiT styrket sine interne rutiner og delt sine erfaringer med resten av universitets- og høyskolesektoren. UiT innhenter nå en uavhengig bekreftelse ved endring av betalingsopplysninger.

28 norske svindelforsøk

Politiet sender nå ut målrettede advarsler til bedrifter som nylig har offentliggjort engelskspråklige kontrakter.

– Etter at vi ble klar over metoden og forstod at det var et stort omgang så har vi sendt ut e-poster til cirka 170 kontaktpersoner for norske bedrifter og fått svar fra 28 som i ettertid som bekrefter at de har blitt forsøkt svindlet, sier Olav Skard som leder Nasjonalt cyberkrimsenter (NC3) i Kripos.

ETTERLIKNER NORMAL KOMMUNIKASJON: – De kriminelle lærer seg hvordan selskapene drives og hva som er normal informasjonsflyt. Så forsøker de å ikke skille seg ut. Det har de etter hvert blitt gode til, sier Olav Skard i Nasjonalt cyberkrimsenter. Foto: Martin Gundersen/NRK

Utfordringen med fakturasvindler er at pengene ofte er borte innen bedrageriet oppdages. De kriminelle har gjerne også etterlatt kun noen få spor, noe som gjør det krevende å straffeforfølge.

For UiTs del av nesten alle av de 12 millionene borte. Ved hjelp av DNB og BDO fikk UiT beslaglagt «noen hundretusen» som stod igjen på en av bankkontoene til svindlerne.

Politiet, i samarbeid med andre, forsøker derfor å oppdage og informere om nye svindelmetoder slik at man kan hindre at andre går på limpinnen. Det har ikke blitt oppdaget flere vellykkede bedragerier med denne metoden etter politiet startet sin målrettede informasjonskampanje.

En av måtene politiet oppdager nye metoder og trender er gjennom deres tipsportal for datakriminalitet.

– Når bedrageriene endrer seg får vi som regel inn mange tips. Slik kan vi konsentrere oss om det som brenner nå, sier Øystein Andreassen.

– Det kan være de klassiske Nigeria-brevene eller pornosvindlene. Vi ser det treffer i bølger.

Les også: Et åpent brev til min sex-utpresser

19 kommentarer

  1. Vi har hatt teknologien på plass for digital signering i omlag 30 år – enten vi bare ønsker å signere en epost i klartekst, eller samtidig vil kryptere den.

    Det er ikke noe vanskelig å ta det i bruk – kjøp et sertifikat, dobbeltklikk på mottatt sertifikatfil, og det er på plass. Alle vesentlige epost-klienter har hatt støtte for dette siden forrige årtusen.

    Så hvorfor benytter vi det ikke, så vi slipper slike problemer? Gidder vi ganske enkelt ikke?

    Det kommer alltid noen super-flinke på banen og påper at det finnes en eller to «corner cases» der løsningen ikke er perfekt. Men når de ikke kan diske opp med noen perfekt, og tilsvarende lett tilgjengelig, løsning, så fører deres framheving av at det du kan få ikke er perfekt til at de store massene blir usikre, og lar istedet eposten gå totalt usikret. Ikke signert, ikke kryptert.

    Ekspertene er eksperter på å gjøre det beste til det godes fiende. De lykkes i forsøket.

    Svar på denne kommentaren

    • Nevermind (svar til keal)

      Det er et ufravikelig krav i det Norge at dersom en person forstår noe som helst av det du skriver over så er vedkommende ekskludert fra stillinger i det offentlige med noen form for myndighet eller ledelse.
      Slike spørsmål skal kun tåkelegges av konsulentfirmaer med høy timerate og svingdørpolitikk for å ansette gamle venner som kan sikre en bærekraftig utvinning av skattekroner.

    • Tobias Brox (svar til keal)

      Jeg signerer alle mine eposter, og får stadig vekk spørsmål fra offentlige byråkrater … «jeg kan ikke åpne vedlegget ditt, kan du sende det som pdf?»

    • Krister Brandser (svar til keal)

      «Vi har hatt teknologien på plass for digital signering i omlag 30 år»

      Og det er flere gode grunner til at det aldri har blitt vanlig, først og fremst fordi slik kommunikasjon lett kan spoofes, f.eks via MITM. E-post er notorisk usikker, selv «kryptert» e-post, da det bare skal én forglemmelse til for at hele tråden blir videresent i klartekst (altså u-kryptert). Da er også både signering og kryptering meningsløst.

      «Det er ikke noe vanskelig å ta det i bruk» … for deg. Men i realiteten har de fleste utfordringer med teknologi på ett eller annet nivå. Ta for eksempel ingeniøren som ikke får til å bruke mikrobølgeovnen han har stående hjemme. Det er ikke hans feil. Det er teknologiens. For mer om det, les nesten hva som helst av Donald Norman.

      Det som må til i dette tilfellet er en helt ny løsning hvor alt er kryptert fra ende til ende.

    • keal (svar til keal)

      Krister,

      Det synes som om du ikke fullt ut har forstått hvordan digital signering og kryptering fungerer.

      Uansett: Du tar til orde for at ‘siden løsningen ikke er 100% perfekt, bare 99,999%, kan den like godt forkastes – la oss heller velge ingen form for beskyttelse. Det er nettopp slike holdninger jeg går til felts mot!

      Sikkerheten i etablerte metoder er betydelig høyere enn det inntrykk du etterlater, og kan være avgjørende for å kontrollere epost-svindel!

  2. For det første:
    Beløp, IBAN/kontonummer og KID spesifiseres i kontrakten(ikke i en tilfeldig epost).

    For det andre:
    Skal du svare på en epost som handler om millioner av kroner sjekk hva reply-to epostenadressen er og at domenet tilhører organiasjonen du skal betale til.

    For det tredje: Still kontrollspørmål og ta deg tid til 5 minutt for å ringe og bekrefte hos dem du har inngått en millionavtale med. Ikke ring nummeret som står i eposten. Ring nummeret som du har fått fra dem tidligere/som bør stå i kontrakten.

    Dette er basic due dilligence

    Svar på denne kommentaren

    • Helt enig, betalingsform OG KONTOINFO skal inn i avtalen. Da er det aldri noe reelt behov for å endre en bankkonto, med mindre banken forsvinner. Selger kan ordne overføring selv.

    • Andreas (svar til Andreas)

      Er mange handler på millionbeløp som går uten kontrakter i Norge selv i dag. Mange oppfatter dette som slurv. Men det norske samfunnet er basert på tillit. Og dette er gjerne handler mellom parter som har handlet med hverandre i flere tiår.

  3. «Politiet er kjent med at minst tre av svindelforsøkene har lyktes i Norge.»

    Hvis Politiet ikke kjenner til flere forsøk vil jeg anbefale dem å lese nrk.no. Der har de f. eks. omtalt:
    -Rottefella-saken (tror det var to saker med samme gjerningskvinne)
    -Musikkorps-lederen som overførte alle pengene som skulle gått til Danmarkstur
    -Norfund
    -UiT

    Svar på denne kommentaren

    • Martin Gundersen (NRK) (svar til Øystein)

      Politiet snakker her utelukkende om fakturasvindler med samme modus/metode. Fakturasvindel er et langt større problem og vi har i denne saken fokusert på en liten del av problemet.

    • Bjørnar H. (svar til Petra)

      Er langt på vei enig ang. disse videoene. Men man kan ihvertfall slå av «Loop» ved å høyreklikke på videoen. Det forhindrer at den stadig begynner på nytt.

  4. Morten Angell Berg

    UIT som er blitt svindlet er, eller bør være, en profesjonell part. Dersom denne type informasjon ikke er skrevet ned i kontrakten så …kan de skylde på seg selv. Det jeg lurer på er; Hvordan fikk svindlerne tak i slik kritisk informasjon. Har de virkelig ikke bedre kontroll på hvem som får tak i kontraktsinfomasjon?

    Svar på denne kommentaren

    • Martin Gundersen (NRK) (svar til Morten Angell Berg)

      Som det fremgår i saken står det at svindlerne benytter anbudssider til å finne kontaktinformasjon ++ som gjør at de kan rette seg mot nøkkelpersonen tidsriktig og med mye bakgrunnsinfomrasjon.

      «– Informasjonen som blir offentlig gjort på disse anbudssidene går ned helt på hvilke personer i selskapet som kan kontaktes, sier seksjonssjef Øystein Andreassen ved Kripos.»

    • keal (svar til Nils)

      Mmmmja, nei, kanskje ikke …

      Da jeg var datastudent gikk en stor diskusjon om det var riktig å ha det som et separat institutt, en separat fakultet. Eller burde data være integrert i samtlige liner på Gløshaugen, slik at alle siv.ing-spirer lærte seg det?

      Jeg hadde data-mannens selvsikkerhet og hevdet naturligvis at vårt kunnskap er så spesiell at vi må ha vårt eget studium. Og sånn er det fortsatt. Og slett ikke bare i Norge.

      Resultatet er at så å si samtlige «rene» datafolk jeg har møtt i min karriære har hatt svært sviktende forståelse for de problemer vi blir satt til å løse – det som gjerne kalles «domenekunnskap» lærer vi slik man lærer et fremmedspråk. Skal data-løsningen bli god, må vi ikke få styre den slik vår halvvegse og delvise forståelse tilsier. Vi må la oss styre av fageksperter med en dyp faglig forståelse av problemstillingene, og løsningene. Og det må være folk med tilstrekkelig data-bakgrunn til å ikke la seg overkjøre av oss!

      Så etter en del års yrkeserfaring har jeg snudd helt om: En langt større andel av undervisnings-ressursene bør gå til å lære fag-ekspertene å bruke IT-teknologi for å løse sine problemer.

      Det vil nok være enkelte spesielle problemstillinger der man må hente inn en spesialist fra «ren» datateknikk – men da for å gjøre helt spesifikke enkeloppgaver. Sett aldri «rene» datafolk ansvarlige for å utvikle løsninger innen andre domener enn ren datateknikk (som å lage kompilatorer eller nettverks-stakker). Overlat løsnings-designet til de som virkelig forstår problemet, som sitt «faglige morsmål».

      Parallellen burde være klar: Samtlige politidistrikter må kunne handtere verktøy for å bekjempe digital kriminalitet i hverdagen. Det er ikke noe super-spesielt lenger; det er noe ethvert politikammer kan bli involvert i etterforskning av, hvilken dag som helst.

      Også innen andre former for kriminalitet har de lokale politidistriktene spesialister de kan støtte seg til, f.eks. Kripos. Men det er som topp-eksperter, «konsulenter». Kripos tar ikke over etterforskning av alle kriminalsaker.

      Så la gjerne Kripos eller Økokrim få topp-eksperter som politidistriktene kan konsultere, men sett de som møter datakriminaliteten i praksis ute i felten få kompetanse i å løse også disse oppgavene innen sitt fagfelt. Ikke la skrivebords-eksperter i Oslo være de som definerer løsningene på det praktiske etterforsknings-arbeidet ute i distriktene.

Legg igjen en kommentar til keal Avbryt svar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *. Les vår personvernserklæring for informasjon om hvilke data vi lagrer om deg som kommenterer.