Eva Valdís Jóhönnudóttir, reyndur sérfræðingur á svikavakt Íslandsbanka, segir mikla aukningu hafa átt sér stað í svikatilraunum á síðasta ári þá sérstaklega á seinni hluta ársins. „Í dag eru einstaklingar meira og minna tengdir netinu öllum stundum. Fyrir vikið eiga svikarar auðveldara en áður með að komast í snertingu við okkur. Það er ekkert lát á tilraunum svikahrappa til að blekkja saklaust fólk og beita þeir ýmsum aðferðum við það, t.d. smáskilaboðum, hringingum og tölvupóstum.“

Umfang greiðslna sem svikarar ná að svíkja út úr viðskiptavinum bankans er verulegt. Til marks um það var fjöldi svikagreiðslna á síðasta ári yfir tíu þúsund og tókst svikurum að svíkja nærri hálfan milljarð króna út úr viðskiptavinum bankans. Í helmingi tilfella tókst bankanum þó að endurheimta fjármuni viðskiptavina. Eva segir almennu regluna vera að viðskiptavinir beri sjálfir ábyrgð á færslum sem séu staðfestar með sterkri sannvottun eða persónubundnum öryggisþáttum. Í sumum tilvikum sé hægt að reyna að endurheimta fjármuni þegar svik hafa átt sér stað. Það sé þó ekki hægt að ábyrgjast það heldur þurfi að skoða hvert mál sérstaklega.

Eva Valdís Jóhönnudóttir
Eva Valdís Jóhönnudóttir
© Aðsend mynd (AÐSEND)

Yfir 1.700 mál voru tilkynnt til CERT-IS, netöryggissveitar íslenskra stjórnvalda, árið 2024. Tæplega 40% af þessum málum tengdust netsvikum. Magni R. Sigurðsson, fagstjóri atvikameðhöndlunar hjá CERT-IS, segir langmest herjað á fólk í gegnum tölvupóst eða í rúmlega helmingi allra svikamála. Þar á eftir komi netsvik í gegnum SMS skilaboð, sem voru um það bil fjórðungur tilfella. Svikasímtöl hafi svo tekið mikið stökk á síðasta ári og verið í kringum 15%. Síðustu 10% skiptist síðan á samfélagsmiðla. Tilkynningarnar komi frá bönkum, greiðslukortafyrirtækjum, almenningi og mörgum fleiri aðilum, t.d. þeim fyrirtækjum og stofnunum sem svikarar senda pósta og skilaboð í nafni til að blekkja almenning.

„Fyrsti ársfjórðungur 2025 fer svipað af stað eins og árið 2024 og telja netsvika málin fyrir rúmlega helming heildarfjölda mála. Heildarfjöldi mála fyrir fyrsta fjórðung yfirstandandi árs er þó um 7% fleiri en á sama tíma í fyrra.“

Magni R. Sigurðsson
Magni R. Sigurðsson
© Aðsend mynd (AÐSEND)

Frá stórum glæpahópum niður í einstaklinga

Að sögn Evu er flóra svikahópa sem stunda netsvik fjölbreytt. „Þessir hópar skiptast helst í tvennt. Annars vegar eru það skipulagðir svikahópar sem geta verið mjög hæfir í því sem þeir gera og aðrir sem eru enn að þróa aðferðir sínar. Hins vegar eru það svo óskipulagðir svikahópar sem oftar en ekki eru tækifærissinnaðir nýgræðingar sem eru að taka sín fyrstu skref í undirheimunum.“

Svikastarfsemi geti verið hluti af fjármögnun skipulagðra glæpasamtaka og í sumum tilfellum þekkist það að þeir aðilar sem framkvæmi svikin séu á sama tíma brotaþolar mansals eða kúgunar.

Magni tekur í sama streng og segir að gerendur í netsvikamálum séu allt frá því að vera skipulagðir glæpahópar, sem séu stórtækir og hafi það að markmiði að svíkja út stórar fjárhæðir í hverri árás, niður í smærri hópa eða einstaklinga. „Þessir stórtæku glæpahópar styðjast t.d. mikið við svokölluð fyrirmæla- eða stjórnendasvik (e. business e-mail comprimise) þar sem herjað er á fyrirtæki og árásarmaðurinn villir sér heimildir til að ná út stærri ávinningum. Smærri hópar og einstaklingar sem stunda netsvik eru aftur á móti meira að herja á heimabanka einstaklinga, stela greiðslukortaupplýsingum þeirra, herja á rafmyntaþjónustur o.s.frv.“

Dæmi um fyrrgreind fyrirmæla- eða stjórnendasvik er þegar fjármálastjóri fyrirtækis heldur að hann sé að fá póst frá framkvæmdastjóra þess með skipun um að framkvæma millifærslu. Þar geta oft stórar fjárhæðir verið í spilunum. Svikarar hafa þannig náð að komast inn í Microsoft umhverfi eða tölvupóstkerfi fyrirtækisins og þegar þangað er komið geta þeir villt á sér heimildir, t.d. með því að senda reikning í nafni fyrirtækisins til viðskiptavina þess. Í stað þess að bankareikningur fyrirtækisins sé móttakandi greiðslurnar búa svikararnir þannig um hnútana að greiðslurnar berist inn á reikning þeirra. „Þessi svik geta oft verið mjög sannfærandi,“ segir Magni.

Fræðsla skilvirkasta leiðin

Spurð um hvernig sé best að verjast netsvikum segir Eva lykilatriði að fólk og fyrirtæki passi upp á auðkennisþætti sína, sama hvaða auðkennisleið sé notuð. „Mikilvægt er að fólk deili ekki eða láni auðkennisþætti sína. Þá er mikilvægt að samþykkja ekki auðkennisbeiðnir sem koma frá öðrum en einstaklingnum sjálfum.“

Ekki síður sé mikilvægt að meta áreiðanleika þeirra viðskipta sem fólk tekur þátt í. „Dæmi um slíkt er að sannreyna trúverðugleika vefsíðu áður en verslað er á henni sem og að skoða umsagnir annarra um hana. Það er hægt að gera með aðstoð vefsíðna á borð við ScamAdviser og Trustpilot. Einnig er hægt að biðja mótaðila viðskiptanna um kennitölu fyrirtækisins sem hann kveðst vera í forsvari fyrir, sérstaklega ef um fjárfestingar er að ræða, og sannreyna tilvist þess, auk þess að ganga úr skugga um að rætt sé við einstakling sem sannarlega vinnur þar. Loks þarf að vera á varðbergi gagnvart tilboðum sem eru of góð til að vera sönn, t.d. fjárfestingar sem lofa ávöxtun langt umfram það sem almennt gerist á markaði, án nokkurrar áhættu.“

Þessi ráð eiga bæði við fyrir einstaklinga og fyrirtæki en Eva segir þó stigsmun geta verið á þeim aðferðum sem er beitt á þessa hópa til að svíkja út úr þeim fé. „Þrátt fyrir að fyrirtæki hafi alla jafna sterkari öryggisinnviði og lendi ekki jafn oft í svikum og einstaklingar þá eru þau yfirleitt að sýsla með hærri fjárhæðir og viðkvæmari gögn. Tjón fyrirtækja getur orðið töluvert og þurfa þau því að vera árvökul og uppfæra reglulega kerfi sín og þjónustur. Með uppfærslum fylgja oft lagfæringar á öryggisveikleikum. Allir geta lent í netsvikum og því er skilvirkasta leiðin til að koma í veg fyrir netsvik að fræða sig um þau með reglubundnum hætti og viðhalda góðum netöryggisvenjum. Á netöryggissíðu Íslandsbanka getur fólk lesið sér meira til um netöryggi og ef það grunar svik er mælt með að það hafi strax samband beint við bankann sinn. Neyðarþjónusta Íslandsbanka er opin allan sólarhringinn í síma 440-4000 en einnig er hægt að frysta greiðslukort og loka á innskráð tæki í Íslandsbankaappinu.“

Nánar er fjallað um málið í sérblaði Viðskiptablaðsins um SFF daginn. Áskrifendur geta lesið fréttina í heild hér.