To personer er i Aust-Agder tingrett tiltalt for å ha stjålet fra postkasser i flere boligområder i Grimstad, der de i noen av postkassene fant VISA- og Mastercards. I tiltalebeslutningen går det frem at de hadde klart å aktivere de stjålne nye kortene i egne Vipps-apper, og overført penger til en tredjepart.
– Da sakene ble anmeldt hadde flere av kortene blitt brukt med Vipps. Vi stusset over at dette var mulig, sier Ernst Ragnar Pfaff.
Stilte seg undrende
Pfaff kan fortelle at politiet i Agder forsøkte selv for å se om det var et hull der, og gjorde samme oppdagelsen.
– Vi prøvde å sende én krone til hverandre fra et Mastercard, og så gav vi beskjed til DNB i Arendal, som stilte seg undrende til hullet, fortsetter han.
Sakene kommer opp på tirsdag, og det faller dom i sakene i mars. Selve avsløringen ble gjort i januar 2017.
– Hvis man aktiverer et Mastercard i Vipps, legger man igjen mange spor. Du kan overføre en del penger dersom du bare vippser i en time, alt etter hva slags grense du har, sier Pfaff.
Betalte varer for nesten 30.000
En 24 år gammel mann står tiltalt for å ha stjålet fra 10 ulike postkasser. Han skal også ha tatt ut til sammen 10.200 kroner fra et VISA-kort, samt betalt varer for til sammen 29.705 kroner.
En 45 år gammel mann er tiltalt for å ha forsøkt å overføre til sammen 152.382 kroner fra ei kvinnes konto til seg selv. Mannen skal også ha ved flere anledninger overført penger fra samme konto for å betale regninger. I tillegg skal mannen svindlet to personer til å betale for varer for til sammen 3720 kroner.
Rettet opp feilen
Vipps sier til NRK at årsaken ikke ligger i deres app «Vipps», men skyldes dårlig sikring av bankkortene.
– Dette er et eksempel på kortsvindel og ikke grunnet et sikkerhetshull i appen. Det har sannsynligvis skjedd fordi kortene ikke var 3-D Secure-verifisert på tidspunktet svindelen ble gjennomført, sier kommunikasjonssjef i Vipps, Hanne Kjærnes.
Hun forklarer også at Vipps har innført 3-D Secure når man lager seg en profil i Vipps, og slike hendelser er nå minimert. Ifølge DIBS sine nettsider minimerer 3-D Secure risikoen for kortmisbruk gjennom handel i nettbutikker.
– Den ekstra sikkerheten består i en ytterligere sikkerhetssjekk etter at kunden har tastet inn sine kortopplysninger, der de får opp et nytt vindu der man skal bekrefte sin identitet. Den vanligste måten å gjøre dette på er via Bank ID, enten via kodebrikke og passord, eller Bank ID på mobil.