– Da jeg ranet Per, var det med hans samtykke. Hans skriftlige samtykke.
Cecilie Wian har kapret bankkontoen til sin venn Per Thorsheim. Det gjorde hun på en svært enkel måte: Hun sendte inn skjemaet «Fullmakt til å disponere konto», til banken hans.
Dermed fikk hun full kontroll over alle pengene på kontoen.
Alt som skulle til var en forfalsket signatur og opplysninger hun søkte seg til på internett.
Wian jobber til daglig i et norsk konsulentselskap, men på fritiden har hun engasjert seg i hvordan digitale løsninger kan misbrukes til å overvåke og trakassere andre. Thorsheim arrangerer konferansen PasswordsCon og konsulent.
– Det jeg synes er spesielt skummelt, er at en disponent kan sende alle mine penger ut av landet. Jeg vil ikke få noen beskjed om det før det er for seint, sier Thorsheim.
– Vi har vist at det er mangelfull kontroll, om noen i det hele tatt, med dette papirskjemaet. Konsekvensen av det er at kriminelle kan utnytte dette for å få tilgang til privatkunders bankkontoer i norske banker, sier Thorsheim.
I etterkant av testen, har Thorsheim og Wian kontaktet Storebrand. Banken forteller NRK at de har sluttet å benytte det aktuelle skjemaet.
Å være disponent for en bankkonto gir mange muligheter – man kan overføre penger, se årevis med kontohistorikk, og opprette bankkort.
Ordningen er mye brukt for å hjelpe eldre og andre hjelpetrengende familiemedlemmer med å holde styr på regningene. Det er også vanlig å benytte seg av disposisjonsrett, da ofte med elektronisk skjema, ved håndtering av en felleskonto innad i en husholdning.
Bekymret for misbruk
Dette er ikke første gangen Wian har kapret Thorsheims konto.
– De har ikke tatt lærdom av den forrige gangen vi gjorde det samme stuntet mot en annen bank. Og det syns jeg er veldig, veldig skuffende. Rett og slett, sier Wian.
Storebrand forteller NRK at de ikke er kjent med at deres skjema for disposisjonsrett har blitt misbrukt til svindel. Det samme opplyser bransjeorganisasjonen Finans Norge.
– Men det har nok mer å gjøre med på flaks og manglende kunnskap hos de kriminelle, og har ingenting med sikringstiltak i bankene å gjøre. Og man bør jo ikke basere seg på flaks, sier Thorsheim.
Nye rutiner
– Dette har vært et problem i bransjen, men våre kunder skal være trygge på at løsningene våre er 100 prosent sikre, sier kommunikasjonsrådgiver Robert Henriksen i Storebrand.
Henriksen forteller at Storebrand i vinter endret måten de oppretter disposisjonsrett og at papirskjemaet ikke lenger er tilgjengelig på deres nettsider.
– I tilfeller der våre analoge kunder ønsker å gi disposisjonsrett, krever vi at hovedeieren av kontoen personlig kontakter oss via telefon først for kontrollspørsmål. Etter at denne bekreftelsen er gjennomført, vil vi sende disposisjons- og legitimasjonsskjemaer til hovedeierens primære adresse. I tillegg vil vi inkludere en forhåndsfrankert returkonvolutt, noe som vil gjøre tilbakesendingen både enkel og sikker, sier Henriksen.
Banken har også forbedret selve skjemaet for å forhindre misbruk med krav om signatur fra to vitner. Banken har også rutiner for å varsle kontoeier slik at vedkommende kan stanse prosessen.
– Vi har helt vanntette rutiner på dette nå, sier Henriksen.
Gry Nergård i Finans Norge forteller at bankene hele tiden må balansere brukervennlighet med sikkerhet, og at det noen ganger kan glippe. I fjor kom det på plass en ny finansavtalelov, noe som har ført til at bankene har måttet oppdatere en rekke av sine skjemaer og rutiner.
I det arbeidet har nok papirskjemaet for disposisjonsrett ikke vært høyest prioritert, forteller Nergård.
Etter testene Wian gjorde nå og i 2021, er hun ikke lenger komfortabel med å alle sine penger stående på samme sted.
– Jeg har bare erkjent at alle pengene mine ikke kan stå på én konto, sier hun.
Hein Olsen
Det svindles for ca en miliard fra nettbanker / banker hvert år, i følg finanstilsynet. Her bør pressen engasjere seg og lage artikler hvor bankene og teleselskaper blir presset til bedre tekniske løsninger, sikkerhet/ kontroll. Det kan vi forbrukere leve fint med.
Knut B
Skal pressen bidra med noe, så er det nok bedre om det fortelles hvordan svindel skjer. Hva som får folk til å gå på. Folk må lære seg å bli mer kritiske.
Teleselskap og bank står på ingen måte med hendene i lomma. Hadde de gjort det, ville beløpet vært høyere.
Det er mye som må til for å minimere problemet. Skikkelig straff for de som begår bedrag, og at nasjonen går inn for det. Sikrere bank/betaling på nett. Skikkelig informasjon til folket.
Problemet vedvarer fordi myndigheter i mange land er korrupt, og bryr seg lite om å straffe systematisk svindel. Spesielt når personer som er ansvarlig for å dømme/straffe også mottar sin del av svindelen. Sikrere betalingstjenester vil ofte bety at det tar lengre tid (gjerne dager) med en overføring. Det er ikke praktisk for mange. Og folk vil for alltid være naive.
Det er rett og slett alt for mye å tjene, for enkelt å utføre og uten reell risiko for bakmennene.
Kim Bjørn Jensen
Veldig bra!
Men at banken nå mener at sikkerheten er på topp fordi man skal ha 2 vitners signatur, er vel noe naivt? Kan man forfalske en underskrift, kan man sikkert også forfalske 2 til.
Hvis ikke banken gjør en nitidig kontroll før det åpnes disposisjonsrett med faktisk verifisering av overførselen og vitnene, er det vel i beste fall en «papirtiger» beregnet på å holde banken skadesløs.
Denne typen svindel viser hvorfor det skal passes nøye på alle personopplysninger man har i sin besittelse til sine formål. Og er digitale personopplysninger på avveie så må de berørte få beskjed og veiledning.
Kanskje andre som administrerer disposisjonsrett eller godtar papirdokumenter som grunnlag for vesentlige økonomiske eller formuerettlige disposisjoner, som Kartverket og verdipapirforetak, bør gå over sine rutiner også?
Knut-Helge Eikrem
Enig. Hvorfor ikke BankID verifisering av 2 vitner? Og fysisk oppmøte dersom de ikke har BankID?
Robert Henriksen
For en latterlig klovn Robert Henriksen er til å si sånt tull. Nå trenger man bare forfalske 2 vitneunderskrifter i tillegg.
Arnt
😂😂😂😂😂 Årets kommentar!
Eivind Daljord
Her bør det brukes Nasjonalt Idekort eller pass fra begge parter før noe som helst skal være mulig og med personlig oppmøte i banken slik maset var når man måtte identifisere seg på nytt i bankene for en stund siden og er persone for syk så må han ha en som er kjent med vedkommenede og skrive fullmakt.
vhaha
Enig~Personlig oppmøte i bank av BEGGE parter, med GYLDIG legitimasjon…. beste måten åpenbart spør du meg! folk e blitt for lat etter alt e blitt digitalisert….så lenge det e lettvint&kjapt, så hopper hele KULTur-samfunnet ALL-IN…🙄🫣🫣
Ola, Johnny
Dette blir for enkelt fra bankenes side. Å vaske hendene sine uten å øke identifikasjons-sikkerheten holder ikke.
Slikt er jo relevant i forbindelse med vergemål også, og det må være mulig å sikre dette gjennom ID og en digital prossess selv om en kunde ikke håndterer sin konto digitalt.
Om ikke annet må bevisbyrde og erstatningsansvar pålegges banken i tilfeller der slike antikvariske prosesser misbrukes. Det er deres ansvar når løsningen de tilbyr ikke er forsvarlig sikret.
Det er jo ikke vanskelig å følge med postgangen og snappe opp korrespondansen for en tyvaktig pårørende/pleier/hjelpsom nabo.
Arne Dahlen
Kan ikke annet enn å lure på hvor de har lært seg faget de som jobber med kunde- og datasikkerhet i Storebrand.
Lisa
Hvorfor må man ikke identifisere seg med BankID eller bruke en verifisert digital signeringsløsning om man skal bli disponent? Hvis analogt bør dette skje gjennom personlig oppmøte, men det er vel vanskelig nå som alle filialer er nedstengt.
Rune
Ja, personlig oppmøte er garantert tingen for en eldre sengeliggende kunde, som gjerne bor flere mil unna alt som ligner på en bankfilial.
Misja Pus
Flere banker har kun kontor i Oslo. Er nektet tilgang på bussen der i et år
Jølle Pølle
Bankene har klart å samarbeide om BankID. Klarer de å samarbeide om felles svindelavdekning, etterforskning, kontrolltelefoner, disponentavklaring sånne ting også? Når man leser om svindelsaker mot banker/bankkunder får man inntrykk av at ofte er en kontrolloppringing alt som skal til for å avdekke. Hvorfor ringer ikke bankene opp oftere?
Cecilie Wian
Sikkerhet er lagarbeid. Også for norske banker. Det er mange som skal snu seg. Håper diskusjoner rundt banktjenester og banknæringen i Norge kan heve tryggheten for kundene.
Jølvar Jølversen
Hvorfor går NRK ut med dette vis det så lett kan missbrukes?
Cecilie Wian
Folk i banknæringen leser også aviser. Og det er bra, for jeg har lyst å gjøre andre ting på fritiden enn å teste alle bankene i Norge. Det er veldig mange banker.
Martin Gundersen (NRK)
Hei,
Det Cecilie skriver. Vi omtalte først saken etter at den aktuelle banken hadde få ordnet opp for metoden som ble omtalt.
0x00000
Helt herlig at noen gidder å pen-teste! Red-teaming burde vært obligatorisk for alle slike instutusjoner, helst på et nasjonalt plan, i stedet for å sløse det på fine lokaler..
Jørgen Fundingsrud
Det ryktes å komme innskjerpinger på dette i nye revisjoner av NIS-direktivet. Utfordringen blir nok for å utdanne kapasiteten dersom flere må gjennom dette regelmessig. Kall det gjerne et luksusproblem all den tid sikkerheten faktisk går opp over tid 🙂
Petter Anton
Så bra at det er løst, nå er det umulig å overta en annens konto uten samtykke. Helt vanntett plan. Føler meg trygg. Ingen mer svindel nå. Problemet er hundre prosent løst for alltid. Kommer ikke til å skje èn eneste gang til.
Jan Skarval
Vær snill og ikke ta dette videre, det vil bare føre til at bankene tvinges til å trakassere kundene med idiotiske spørsmål hvert halvår om hva de skal med pengene sine og sånn, og terrorisere de som ikke henger med digitaliseringen. Å nei, dette har jo skjedd allerede, så hva blir det neste? Tror vi bare skal la bankene være i fred. Vi får forsikre oss mot svindel og tyveri.
Men man kunne kanskje sørget for skikkelig konkurranse, og ikke la DNB få avlive sin største konkurrent, så kundene kan få bedre service? Å nei, det skjedde visst allerede det også.
Anonym
Det er mange måter å lure bestemor. En god gammeldags måte er den gode «bankdama» som sier du har noe uvanlige trekk. Må bare ha en bekreftelse hvor du oppgir mye forskjellig info. Denne info er feks hvor brukte du kortet sist osv. Deretter kan man få sendt en brikke eller noe.
Eller man kan forfalske signatur.
Endre Leivestad
Så flott at denne muligheten presenteres i detalj slik vi alle kan bli utsatt for enda flere svindelforsøk. Godt jobbet!
Martin Gundersen (NRK)
Hei,
omtalen skjer etter at den aktuelle banken fikk mulighet til å fikset problemet og de går ut med dette for å hindre at andre skal ha lignende utfordringer med slike skjema.
David Pugh
Jeg har lest kommentarfeltet til saken om utenlandske turister som slipper bompenger pga at Liechtenstein har trenerte noe i EØS, og det var andre folk der som var enige med meg at Norge har stilt seg laglig til for hogg med dets automatisering og tvangsdigitalisering. Når man tar feil sti i skogen skal man gå tilbake til skillen, ikke sant?