Polisens tips mot bedrägerier: E-leg, phishingmejl och MFA
Jan Olsson, kriminalkommissarie och verksamhetsutvecklare på polisens sektion nationellt it-brottscentrum.
Cyberbedrägerier kostar Sverige i runda slängar 265 miljarder kronor per år. För att minska bedrägerierna vill Jan Olsson på Polisen se att alla myndigheter inför krav på e-legitimation samt att företag börjar med multifuktorautentisering och interna phishingmejl.
Under e-legitimationsdagarna 2022 talade Jan Olsson, kriminalkommissarie och verksamhetsutvecklare på polisens sektion nationellt it-brottscentrum. På agendan var cybersäkerhet och cyberbedrägerier.
Globalt kostar all sammantagen cyberbrottslighet mer pengar för samhällen än vad droghandeln gör, ungefär 6 biljoner dollar per år jämfört med 4 biljoner dollar. Av allt detta står cyberbedrägerier för en beskärd del.
– I England räknar man på kostnader för cyberbedrägerier vilket man inte gör i Sverige. Där blev kostnaden för bedrägerierna på nätet 137 miljarder pund brutto över ett års tid. De är ju mycket fler personer där än i Sverige men om man dividerar det per person skulle motsvarande siffra i Sverige vara 25 miljarder pund (265 miljarder kronor), säger Jan Olsson från scenen på Folkets Hus i Stockholm.
– Det är en summa nästan lika hög som budgeten som Sveriges alla regioner tilldelas varje år, och som motsvarar 5,5 procent av vår totala BNP.
PSD2 för säkrare kortbetalningar
För att minska antalet bedrägerier instiftades 2019 betaltjänstdirektivet PSD2 inom EU – vilket har som mål att göra kortbetalningar säkrare. När en betalande person är europé och ska handla något i Europa måste hen identifieras med två av följande: Något man känner till (exempelvis ett lösenord), något man äger (exempelvis en smartphone) eller något man är (till exempel sitt fingeravtryck).
– Efter att PSD2 instiftades försvann 50 procent av kortbedrägerierna vilket i Sverige resulterade i 60-70 000 färre utsatta personer per år. Dock är det så att ungefär 1,5 miljoner kronor försvinner via vishing, det vill säga telefonbedrägerier, från våra äldres bankkonton varje dag.
MFA ett ljus i mörkret
Nya lösningar för en säkrare digital tillvaro, exempelvis PSD2 och BankID, leder dock till att bedragarna hittar på nya tillvägagångssätt för att komma åt din information.
– Det är ju ingen nyhet men vi är fortfarande dåliga på lösenord. Svaga lösen används, återanvänds, hackas och läggs upp på darknet. Är biometri säkert? Nja, det har skett dataintrång där databaser med miljoner fingeravtryck har hackats, och samma sak gäller för databaser med miljoner ansikten.
– När vi använder oss av multifaktorautentisering (MFA) är det dock en annan sak. Består skyddet av något vi äger, tillsammans med något vi är samt något bara vi känner till blir det ytterst mycket svårare att komma åt oss.
Ökade krav på myndigheter
Jan Olsson menar även att myndighetssverige måste gå i främsta ledet när det gäller personlig säkerhet digitalt. E-legitimation ska vara ett krav oavsett vad som ska göras, vilket inte är fallet idag.
– Det finns bedragare som agerar deklarationsombud och kommer åt skattekonton hos Skatteverket, där de hittar offrens bankkonto. Därefter vänder de sig till Bankgirot och startar autogireringar på en miljon kronor om dagen, sju dagar i veckan, som behörigt deklarationsombud från det bankkonto som hittades i skattekontot hos Skatteverket. Allt utan att behöva visa identifikation. Detta kan inte vara rätt, vi myndigheter ska ställa hårdast krav.
Det finns dock vissa motargument mot detta, menar Jan Olsson.
– Om vi myndigheter ställer krav på e-legitimation skapas en utanförskapsgrupp bestående av personer som av olika skäl inte får eller vill ha det. Då är det samhällets uppgift att de som inte har e-legitimation får fullständig access till alla berörda delar av samhället som kräver e-legitimation. Jag struntar i hur detta görs, men jag struntar inte i att så länge vi har systemet lika öppet som nu skapar vi i onödan väldigt många brottsoffer.
Har du något tips till företag och privatpersoner för att förbättra sin säkerhet?
– Fokusera på brottsförebyggande åtgärder. Det är enskilda personer i företag som släpper in angripare i serverhallen. Ett exempel är att testa din personal med förfalskade mejl och se hur många som klickar på osäkra länkar. Sätt därefter igång en utbildning om hur de borde gjort istället.
Läs mer om ämnet: