ID-tyvens førstevalg

Elleve siffer. Du får dem utdelt når du blir født, enten du vil eller ikke. Hvis du ikke klarer å passe på dem kan det lage trøbbel for deg livet ut.

Disse elleve sifrene er alt en ID-tyv trenger.

De siste to årene har 150.000 personer i Norge blitt offer for ID-tyveri. Og tyvenes førstevalg er fødselsnummeret.

Det blir ofte brukt når man skal handle på nett, eller når du skal vise at du er du.

For det første er det lett for andre å få tak i det, for det andre kan det ikke endres. Det følger deg livet ut. Man kan bli svindlet i lang tid.

Det har kollega og medforfatter Erlend Lånke Solbu fått oppleve. Han er ikke bare en erfaren vitenskapsjournalist. Han er også et evig rotehue.

Erlend forteller

Da jeg ringte banken min og sperra kortet den onsdagen i juli var det ren rutine. Jeg har ikke tall på hvor ofte jeg har mista bankkort i løpet av livet mitt, men rekorden er i hvert fall seks ganger i løpet av ni måneder – da måtte jeg bytte bank siden systemet deres ikke kunne lage mer enn seks kort til samme person i løpet av et kalenderår.

Som oftest tar jeg ikke umiddelbart kontakt med banken for å sperre kortet, jeg venter i noen dager for å se om det dukker opp – i kjøleskapet, i vaskemaskinen eller på fortauet utenfor leiligheten min.    

ID-tyvens drømmeoffer

Denne gangen må kortet ha falt ut av den særdeles utrygge hettejakkelomma et eller annet sted mellom hjemmet og nærbutikken, det var i hvert fall borte da jeg skulle betale.

Ikke lå det noe synlig sted langs den 500 meter lange strekninga jeg hadde gått heller. Jeg gikk ut fra at noen hadde tatt det, ringte banken og sperra, og regna med saken var ute av verden – som vanlig.

Noen dager senere fikk jeg to brev – et fra Telenor og et fra Telia. «Tusen takk for at du velger Telenor», «velkommen som MyCall-kunde». Noen hadde oppretta telefonnummer i mitt navn.

Jeg ringte Telenor og Telia, og forklarte at jeg hadde mista bankkortet og at jeg ikke hadde oppretta disse abonnementene. Den hyggelige kundeservicemannen i Telenor sperra nummeret, og ymta frempå om at jeg burde anmelde dette.  

ID-tyveri starter ofte analogt 

Erlend går rett inn i statistikken om ID-tyveri. Menn, personer under 30 år og folk med høy utdannelse er mest utsatt.

Skurkene finner opplysninger om deg ved å stjele bankkort, førerkort, medlemskort og post. Det er helt enkelt godt nettvett å ha lås på den analoge postkassa. Det kan hindre at personopplysninger kommer på avveie, og reduserer sannsynligheten for ID-tyveri.

Blir du likevel utsatt, bør du anmelde. En anmeldelse er det eneste juridiske dokument du kan bruke til å avvise krav om betaling fra deg.

Likevel unnlot 62 prosent i en undersøkelse å anmelde ID-tyveri. Det er det bare tyvene som tjent med.

På nettvett.no finner du gode tips til hva du bør gjøre dersom ulykken først er ute.

Anmeld

Terskelen min for å anmelde er nok i utgangspunktet relativt høy, noe som kommer av at jeg tenker politiet har viktigere ting å drive med, at jeg liker å ordne opp i ting selv, og at jeg synes det er kjedelig å stå i kø på offentlige kontor.

Men jeg dro ned på politikammeret, sto i kø, og fylte ut anmeldelsesskjema for «identitetskrenkelse/bedrageri». Nok en gang regna jeg, sikkert noe naivt, med at jeg var ferdig med hele opplegget.

Uka etter fikk jeg flere brev, sju-åtte stykker. Alle brevene var gjenpartsbrev, beskjeder om at noen hadde foretatt en kredittvurdering av meg.

I brevene sto det hvem kredittvurderinga var gjort på vegne av, og jeg starta ringerunden med å kontakte Ellos – et svensk postordrefirma jeg ikke hadde hørt om siden tidlig på nittitallet, da mamma brukte å kjøpe matchende joggedresser til søsknene mine og meg derfra.

De fortalte at noen hadde bestilt klær på kreditt for 7000 kroner i mitt navn, til min adresse. Vedkommende hadde lagd en e-post-adresse basert på navnet mitt, planen var tydeligvis å motta digital hentelapp, for så å plukke opp pakken på min lokale post-i-butikk med mitt bankkort som legitimasjon.  

Fødselsnummeret ditt 

80 prosent av all cyberkrim starter med et ID-tyveri. Og fødselsnummeret, som ofte står på bankkortet, er den viktigste enkeltopplysningen for en skurk.

Alle kan få bankkort uten ID, noe Erlend kanskje burde vurdere, men da må man ofte ha et annet ID-kort tilgjengelig, et førerkort eller et pass.

Fødselsnummeret er unikt for hver og en av oss. Uten dette er det som om vi ikke eksisterer. Det identifiserer oss hos arbeidsgivere, skolevesen, skatteetat, trygdeetat og helsevesen. Det er et helt sentralt element i Norges ID-forvaltning og fungerer godt som brukernavn.

Men enkelte banker, nettbutikker og teleselskap ber kun om fødselsnummer for å få bekreftet at du er den ut påstår du er. Enkelt og brukervennlig kanskje, men ikke sikkert.

Det vet tyvene å utnytte.

Effektiv tyv

Klær for 6000 kroner, småelektrisk for 5000 kroner, skjønnhetsprodukter for 7000 kroner – svindleren hadde prøvd seg på samme opplegg hos alle. Noen av nettbutikkene hadde flagga ordren som mistenkelig, og ingen hadde rukket å sende den fra seg.

Jeg ble nesten litt skuffa, hevneren i meg så i et øyeblikk for seg at jeg kunne stått i et hjørne på Bunnpris Buran med bart, løsnese og avis med to hull i, og venta til noen hadde prøvd å hente ut en pakke med navnet mitt på.

Noen måneder senere ble jeg oppringt av en ung, frustrert mann fra Stjørdal. Han hadde kjøpt en ubrukt iPhone X for 8500 kroner fra en fyr gjennom Finn.no, men da han kom hjem og skulle ta telefonen i bruk oppdaga han at den var låst.

Den medfølgende kvitteringa viste at telefonen var registrert på meg, så han tok naturlig nok kontakt. Telefonabonnementet svindleren hadde oppretta var sannsynligvis ikke noe mål i seg selv, det var kun en måte å få en titusenkroners telefon tilnærma gratis på.

Stjørdalingen sendte meg skjermdump av meldingsutvekslinga med svindleren, og den nå sletta annonsen på Finn. Den inneholdt et navn som sannsynligvis var fiktivt og ei adresse som hadde forskjellig gatenummer i annonsen og meldinga.

Selve møtet mellom stjørdalingen og svindleren fant sted på et kjøpesenter, etter sistnevntes ønske. Jeg spurte hvordan han så ut, og fikk til svar «vanlig utseende, var sikkert i 20-30-årsalderen», ikke akkurat noe å basere ei fantomtegning på.

Jeg ringte telefonselskapet, men de sa at det ikke var noe de kunne gjøre. Telefonen var låst, og stjørdalingen hadde tapt pengene sine.

Vi stoler delvis på politiet 

Telefonen var ikke stjålet direkte i telebutikken, men likevel skaffet til veie med ulovlige midler. Den illustrerer godt hvordan kriminalitet har flyttet seg fra det fysiske til det digitale rom, fra gata til nettet. De kriminelle kan være alt fra amatører på gutterommet til statlige aktører.

Vi er ikke helt trygge på at politiet holder tritt med skurkene. I en undersøkelse svarer fire av ti at de er helt eller delvis uenige i påstanden om at «Politiet vil hjelpe meg dersom jeg blir utsatt for datakriminalitet».

Som et svar på utviklingen har politiet nylig opprettet Nasjonalt Cyberkrimsenter, NC3. Et senter som skal bistå hele landet mot nettrelatert krim og som i løpet av tre år skal opp fra 80 til 200 ansatte.

Den som utga seg for å være Erlend er fortsatt på frifot.

Det stopper ikke

Nok en måned gikk, og plutselig dukka det opp et inkassobrev i posten. Inkassoselskapet ville ha drøyt 6000 kroner på vegne av Sportmann, en bedrift som selger klær på nett.

Her hadde svindleren altså lyktes med planen sin, fått hentelapp via e-post, og henta ut pakken på nærbutikken. Jeg slapp å betale, foreløpig er det bare stjørdalingen som har tapt penger på at noen har stjålet identiteten min. Og Sportmann, da.

Sikker ID med biometri

Fingeravtrykk, ansiktsform og fargespillet i regnbuehinnen er enestående for hver og en av oss. Slike biologiske mønstre, biometri, kan måles, lagres digitalt og hentes frem når en identitet må bekreftes.

Fødselsnummeret kan da være et unikt brukernavn. Biometrien et unikt passord ved at et fysisk fingeravtrykk sammenlignes med det som er lagret digitalt.

Og vi er klare. Åtte av ti spurte er positive til å benytte biometri for å bekrefte sin identitet.

Det er også et mål at sikker identifisering skal kunne gjennomføres uten fysisk oppmøte. Flere selskap som Mastecard og DnB jobber med å bruke biometri over nett ved at mobiltelefonen kan lese fingeravtrykk eller andre mønstre.

Nasjonale ID-kort

Siden 2007 har myndighetene i Norge jobbet med å tilby oss alle et nasjonalt ID-kort. Man ser for seg en løsning Sverige har hatt siden 2005 som inneholder foto, innehavers personopplysninger og en chip med biometrisk informasjon.

Håpet er at kortene kan gis ut i 2020 og bli et skritt på veien for å nå vår nasjonale visjon om at det skal være trygt å bruke digitale tjenester i Norge.

Ikke for alle

Man skulle kanskje tro at det å ha opplevd ID-tyveri fører til at man passer bedre på tingene sine, men jeg har mista minst fire bankkort i løpet av det halve året som har gått siden det skjedde.

Når man er en kronisk mister virker bruk av biometri som den eneste realistisk gjennomførbare måten å sikre seg på – jeg kommer aldri til å klare å ta vare på kort eller nøkler over tid, men jeg har fortsatt til gode å miste en eneste fingertupp.

Problemet med et nasjonalt ID-kort er bare at den biometriske informasjonen skal lagres på en chip i et særdeles mistbart kort. Jeg har ingen illusjon om at systemet skal legges opp etter noen som har så lite oppbevaringskompetanse som det jeg har, det ville blitt for mye styr for folk som faktisk er i stand til å passe på ting.

Så lenge det blir litt vanskeligere å utnytte et funnet VISA-kort er jeg fornøyd. Enn så lenge lever jeg greit med å være litt ekstra obs på gjenpartsbrev, jeg har fortsatt samme navn og fødselsnummer.