Avverget svindel for 2 milliarder i fjor
For et par år siden eksploderte det. Ny teknologi hadde ikke bare gjort banktjenestene mer kundevennlige, men også mer sårbare.
– Vi så en voldsom opptrapping. Det var alt fra store organiserte miljøer til unge gutter på 18-19 år som laget sine egne svindelkampanjer.
Slik beskriver Nina Merethe Olsen, operativ ansvarlig for antihvitvasking i Sparebanken Sør, det store skiftet.
Før den tid var det tilfeller av kjærlighetsbedrageri og investeringsbedrageri, men omfanget var ikke større enn at regionbanken klarte seg uten dedikerte ansatte på området.
Så smalt det. Sparebanken Sør har i dag 14 personer som jobber med svindel og antihvitvask sentralt i Kristiansand, i tillegg til flere ved lokalkontorene.
Den samme trenden gjelder resten av bank-Norge.
– Digitalisering har åpnet for nye typer bedrageri. Samtidig har det ikke vært nok fokus på sikkerhet, verken fra bankenes eller kundenes side, sier Olsen.
Overvåkning og analyse gull verdt
Med seg har hun Gry Elnæs Moe, produktsjef for Account Fraud Monitoring i Tietoevry Banking.
Teknologileverandøren jobber tett med Sparebanken Sør og en rekke andre banker for å bekjempe svindel og hvitvasking. Deres Account Fraud Monitoring-løsning (AFM) har spart regionbanken for millioner.
– Våre tjenester monitorerer både konto- og korttransaksjoner, en del svindel foregår på tvers av kort og konto, forteller Elnæs Moe.
Blant tjenestene er 3D Secure Monitoring som stopper mye svindel i forbindelse med nettkjøp. Samtidig oppdager Tietoevry Bankings overvåkningsløsning for korttransaksjoner, Card Transaction Monitoring, over 90 prosent av alle svindelforsøk med kort.
– I dialog med bankene har vi videreutviklet antisvindel-plattformen vår i over 25 år. For de rundt 80 bankene vi har som kunder, avverget vi svindel for cirka to milliarder kroner i fjor. I snitt hadde vi 350 saker om dagen.
Tietoevry Banking har i tillegg til teknologiske løsninger et eget defence-senter som følger opp svindelsakene på vegne av bankene som ønsker det.
– For mange av bankene omfatter tjenesten også at vi tar kontakt med kundene deres når vi ser mistenkelige transaksjoner. Vi sender en sms og ber kundene ringe oss, og så ringer vi dem hvis de ikke reagerer, sier Elnæs Moe.
Slik lures ofrene
Hvem er det som er mest utsatt for svindel? Hvilke fremgangsmåter er det som benyttes? Svaret på disse spørsmålene henger tett sammen. Vishing (telefonsvindel) og phishing (falske sms-er og e-poster) benyttes målrettet for å lure ulike grupper.
– Telefonsvindel har vi sett mot personer ned i 30-årene, men de fleste ofrene er enslige fra 65 og oppover. Manipuleringssvindlene av eldre er det som er mest hjerteskjærende, sier Olsen.
Oppskriften er enkel og utspekulert:
Svindlere ringer og presenterer seg som bank- eller politifolk. De stresser opp kundene, sier at «nå skal jeg hjelpe deg for du er utsatt for svindel, overfør alle pengene til denne kontoen så er du trygg».
Det siste halve året har telefonsvindlerne gått over til denne Safe account-svindelen. Det handler ofte om store beløp. Gjerningspersonene får ofrene til selv å flytte pengene sine, og sier at de ikke må snakke med verken banken eller noen andre fordi det er svindlerne som prøver å lure dem.
Hastverk er lastverk
Den andre kategorien er i større grad rettet mot yngre personer. De som går i fella er gjerne litt for kjappe i vendingen når en tekstmelding tikker inn.
Det er fort gjort å klikke på en lenke, for eksempel for å betale en regning til et inkassoselskap, og så går det ut helt andre beløp, til andre kontoer, enn det som var tenkt.
Olsen nevner også CEO-svindel på e-post, eller kombinasjonen av e-post/tekstmelding først, så en telefonoppringing i etterkant.
– Det kan være at svindleren kontakter økonomisjefen i et selskap og ber om å godkjenne en faktura, eller noen på regnskap og ber om å endre kontonummer som det skal overføres til. Selv kolleger i banken har vært på nippen til å falle for dette, advarer hun.
Med stadig nye svindelmetoder er det viktig at bankene og Tietoevry Banking henger med. De utvikler bedre og bedre systemer, og prøver ut nye metoder for å avdekke mistenkelig adferd.
Sparte banken for 750.000 på to dager
Sparebanken Sør iverksatte nylig en ny regel for å fange opp telefonsvindel-sakene mot eldre.
– Vi har i lengre tid hatt nattregler for å stanse betalinger ut fra visse kriterier, forteller Olsen. Reglene har gitt gode resultater, og enkelte av disse ble nylig overført til dagtid. Et par dager etter at de ble iverksatt, unngikk banken et potensielt tap i størrelsesorden 750.000 kroner, sier Olsen med et smil.
Hun understreker at det er nødvendig å gjøre analyser, slik at bankenes beskyttelsesmekanismer treffer de kundene som er mest utsatt.
KI og maskinlæring spiller en viktig rolle i arbeidet med å få overtaket på kriminelle miljøer. Sammen med Tietoevry Banking jobber Sparebanken Sør kontinuerlig med å samle data fra ulike kilder.
– Det gjelder å tilpasse oss de nye scenariene som dukker opp hele tiden.
Verken Sparebanken Sør eller Tietoevry Banking ønsker å gå i detalj om hvordan sikkerhetsløsningene fungerer.
– Vi vil unngå at svindlerne ser oss i kortene. Dette er kriminelle med teknisk kompetanse og innsikt i banksystemene.
Men det er ikke alt som kan løses med skreddersydde sikkerhetstiltak. Olsen mener at opplæringen av bankkundene har vært for dårlig.
– Sparebanken Sør har sendt ut fysisk brev til 10.000 av våre kunder over en viss alder, og jeg har hatt foredrag for nærmere 3000 kunder om hvordan de kan beskytte seg mot svindel. Info er kjempeviktig, samtidig som sikkerhetstiltakene må bli mer målrettede.
Spesielt fremhever hun betydningen av bankenes info til kunden i betalingsøyeblikket.
– Det bør formuleres i klartekst, «vil du gjøre en betaling på 990 kr til...», slik at kundene rekker å tenke over konteksten. Dette gjør dem bedre i stand til selv å reagere på en unormal transaksjon.
Utfordringer på flere nivå
Svindel er ikke bare et problem for den enkelte kunde og bank. Det har blitt et stort samfunnsproblem, som blant annet knyttes til terrorfinansiering og narkotikahandel.
Olsen sitter i Finans Norges fagutvalg Antisvindel. Gruppen utveksler informasjon, analyserer svindelmodus og samarbeider med politiet, Økokrim og telekom om nye svindelreduserende tiltak.
Hun ser svært positivt på BITS' initiativ i arbeidet med å utarbeide en antisvindelhåndbok, som er sendt ut til bankene nå i april.
– Utfordringene ligger på flere nivå: Teknisk, samfunnsmessig og organisatorisk i bankene. Ikke minst bør det justeres på anledningen til å utveksle info bankene i mellom.
– Tietoevry Banking sitter på masse data fra forskjellige banker, og skulle så gjerne sagt ifra at «her tror vi at vi har pengemuldyr, denne kunden har også konti der og der og der». Vi brenner etter å dele denne infoen, men GDPR og personvern gjør dette krevende. Det regulatoriske må jobbes med for å øke den felles innsatsen, nikker Elnæs Moe.
Urolig for straksbetalingsforordningen
Særlig viktig er det å kunne være proaktiv i en verden der transaksjoner skjer stadig raskere. EU har vedtatt en straksbetalingsforordning, der de pålegger bankene å tilby betalinger i Eurosonen som straksbetaling.
– Dette ser vi på med stor uro. Blir forordningen innført, uten justeringer, betyr det at i det øyeblikket du gjør en betaling så er pengene gått ut fra konto, sier Olsen.
I dag har bankene faste overføringstidspunkter på alt som ikke er straksbetalinger. Det gjør at de har tid på seg til å fange opp og stanse overføringer.
En god del av de norske bankene har dessuten sperret straksbetaling eller redusert beløpsgrensen betydelig.
– Dette har spart oss for enorme beløp. Hvis EU bestemmer at vi ikke får lov til dette, må monitoreringstjenestene bli så gode at betalinger kan stoppes før de skjer.
For Olsen og Elnæs Moe er det et kappløp med tiden nå som generativ KI åpner for blant annet deepfake-svindel med lyd og bilde.
– Vi har enda ikke hatt tilfeller av deepfake-svindel. Men dette vil nok komme for fullt med nye KI-verktøy, sier Olsen om fremtidens trusselbilde.