BREAKING:Region Syddanmark skal betale historisk stor bøde for grove overtrædelser af GDPR

Artikel top billede

(Foto: Foto: iStockphoto (brugeren Spannerdude))

Kreditkortsvindel for millioner endelig standset

Svindlere har med virtuelle virksomheder foretaget over en million falske opkrævninger fra forbrugeres kreditkort.

Computerworld News Service: USA's Federal Trade Commission har sat en stopper for et langlivet online-bedrageri, der gjorde det muligt for udenlandske svindlere at stjæle millioner af dollars fra amerikanske forbrugere - ofte ved blot at snuppe få øre ad gangen.

Svindelnummeret, som ifølge FTC har kørt i omkring fire år, udgør en lektion i, hvordan mange af de
online-tjenester, der får erhvervslivet til at køre i det 21. århundrede, også kan misbruges til svindel.

"Det var et meget tålmodigt bedrageri," siger Steve Wernikoff, der er jurist hos FTC, som er anklager i sagen. "Folkene bag er meget pertentlige mennesker."

FTC har ikke identificeret de ansvarlige bag bedrageriet, men i marts anlagde myndigheden i al stilfærdighed et civilt søgsmål ved distriktsdomstolen i Illinois. Dette har indefrosset bandens amerikanske aktiver og gjort det muligt for FTC at lukke for flere såkaldte merchant accounts og stoppe 14 "money mules" - amerikanske statsborgere, der er blevet rekrutteret af de kriminelle til at overføre penge til lande som Bulgarien, Cypern og Estland.

"Vi vil aggressivt forsøge at identificere hvem end, der ultimativt står bag dette bedrageri," siger Wernikoff. Han forklarer, at svindlerne har fundet smuthuller i det system, der står for kreditkort-håndteringen, der har gjort dem i stand til at oprette falske amerikanske virksomheder, der har gennemført over en million falske kreditkort-opkrævninger via legitime virksomheder, der håndterer betalinger via kreditkort.

Wernikoff ved ikke, hvordan svindlerne fik fat i numrene på de kreditkort, de lavede opkrævninger fra, men de kunne have købt dem online på såkaldte carder-fora, hvilket er websites på det sorte marked, hvor kriminelle køber og sælger stjålne informationer.

Svindlerne holdt sig under radaren ved kun at opkræve meget små mængder - typisk mellem 1,5 og 55 kroner per kort - og ved at oprette over 100 falske virksomheder, der stod for transaktionerne.

Bedrageriet er hovedsagligt gået ud over de amerikanske forbrugere, og utroligt nok er omkring 94 procent af alle svindel-opkrævningerne aldrig blevet anfægtet af ofrene. Svindlerne opkrævede ifølge FTC 57,3 millioner kroner fra 1,35 millioner kreditkort, mens kun 78.724 af alle disse illegitime opkrævninger tilsyneladende blev opdaget.

Typisk lavede de kun en enkelt opkrævning per kortnummer på vegne af en falsk virksomhed med navne såsom Adele Services eller Bartelca LLC.

Sodavandsmaskiner og parkeringsautomater

Da kreditkort i stigende omgang bruges til også små betalinger - de accepteres nu af eksempelvis sodavandsmaskiner og parkeringsautomater - har kriminelle udnyttet tendensen ved at køre denne type svindelnumre med uautoriserede opkrævninger.

"De ved, at de fleste systemer til opdagelse af svindel ikke lægger mærke til noget under 60 kroner, og de ved, at forbrugerne ikke gider klage over et uidentificeret gebyr på en krone," siger Avivah Litan, der er analytiker hos Gartner, og som følger banksvindel. "Det interessante i denne sag er størrelsesordenen, og at de slap af sted med det i så mange år," siger hun.

I marts blev Alexsandr Bernik fra Roseville i Californien idømt 70 måneders fængsel for at køre et lignende svindelnummer. Han gennemførte titusinder af opkrævninger til Amex-konti, der hver lå på mellem 55 og 90 kroner. Hverken de føderale myndigheder eller American Express har villet forklare, hvordan Bernik fik fingre i de anvendte kortnumre.

Bernik gennemførte sine opkrævninger via en fiktiv virksomhed ved navn Lexbay Ltd., men i den nye sag ført af FTC efterlignede svindlerne legitime virksomheder ved at udnytte rigtige virksomheders CVR-lignende numre til at oprette falske virksomheder med næsten identiske navne, der tilsyneladende havde adresse i nærheden.

Med et trick, der kunne narre leverandører af betalingsløsninger til at lade Adele Services oprette en konto hos dem, var det muligt for den falske virksomhed at efterligne en legitim virksomhed fra Bronx i New York City ved navn Adele Organization.

Når svindlerne ansøgte om at indgå betalingskortaftaler hos udbydere af betalingsløsninger, ville udbyderne foretage en undersøgelse, men ved hjælp af trick som disse var svindlerne altid et skridt foran.

Faktisk ligner FTC's beskrivelse af bedrageriet en undervisningstekst i, hvordan man opretter falske virksomheder i internettets tidsalder.

De kriminelle benyttede sig af en række legitime erhvervs-services for at fremstå overfor udbyderne af betalingsløsninger som legitime amerikanske virksomheder, selvom svindlerne muligvis aldrig har sat fod på amerikansk jord.

For eksempel var de ved hjælp af en virksomhed ved navn Regus i stand til at give deres fiktive virksomheder adresser, der lå meget tæt på de virksomheder, hvis skattemæssige id-numre, de havde stjålet. Regus gør det muligt for virksomheder at drive "virtuelle kontorer" fra prestigefyldte adresser i USA - såsom Chrysler-bygningen i New York City - og videresender post for helt ned til 350 kroner per måned.

Money mule skammer sig

Post sendt til Regus-adresser blev således videresendt til en anden virksomhed ved navn Earth Class Mail, som scanner posten og sender den til kunden som PDF-filer over internettet.

Svindlerne brugte også en anden legitim erhvervs-service, CallMe800 fra United World Telecom, til at viderestille telefon-opringninger til udlandet. For derudover at få det til at virke som om, at deres virksomheder var legitime, havde svindlerne oprette falske detailhandel-websites. Og når udbydere af betalingsløsninger bad om information om virksom-hedernes ledelser, udleverede svindlerne rigtige navne og social security-numre tilhørende ofre af identitetstyveri.

Når de loggede ind på deres betalingsløsningers websites, gjorde de det fra IP-adresser i geografisk nærhed af deres virtuelle kontorer, hvilket igen snød betalingsløsningernes systemer til opdagelse af svindel.

En af de største udbydere af betalingsløsninger i USA, First Data, var svindlernes favorit. Ud af de 116 falske merchant accounts, som FTC har afdækket, var de 110 oprettet hos First Data. Svindlerne havde også oprettet falske konti hos Elavon og BBVA Compass.

First Data har ikke villet kommentere, hvordan leverandøren sikkerhedsmæssigt har forbedret ansøgningsproceduren, men bekræfter at have samarbejdet med FTC's undersøgelse.

For at få pengene ud af USA var svindlerne nødt til at rekruttere money mules. Dette var amerikanske statsborgere, som blev rekrutteret på nettet ofte ved hjælp af e-mailspam. I den tro at de hjælper udenlandske virksomheder, opretter sådanne money mules bankkonti og foretager pengeoverførslerne.

I et brev til dommeren i sagen skriver en af disse money mules, James P. Smith, at han arbejdede for en af svindlerne i fire år, uden at det gik op for ham, at der foregik noget ulovligt. Smith siger, at han nu "skammer sig" over at blive navngivet i sagen og tilbyder al den hjælp, han kan give, for at fange hans tidligere chef, der kaldte sig Alex Moore.

Wernikoff fra FTC regner med, at de ansvarlige lever uden for USA, men når nu der er sat en stopper for dette svindelnummer, er svindlerne nødt til at begynde forfra, hvis de vil fortsætte med bedragerikarrieren. Og efterforskerne har nu et spor at gå efter.

"Forhindrer det dem, der i sidste ende er ansvarlige, i at begynde forfra?" spørger Wernikoff retorisk.

"Nej. Men vi håber, at dette stikker dem en kæp i hjulet."

Oversat af Thomas Bøndergaard




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Ciklum ApS
Offshore software- og systemudvikling.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
PCI og cloud-sikkerhed: Strategi til beskyttelse af betalingsdata

Er din organisation klar til de nye PCI DSS 4.0-krav? Deltag i vores event og få indsigt i, hvordan du navigerer i compliance-udfordringerne i en cloud-drevet verden.

16. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, Aarhus: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

21. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, København: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

23. januar 2025 | Læs mere