Månedens Fokus: Identitetstyveri

De siste ukene har det norske personnummersystemet vært mye i fokus. Det har lenge vært kjent at det er relativt lett å finne ut personnummeret til folk om man kjenner til fødselsdato og navn eller kjønn, men nå har det også blitt satt i sammenheng med det faktum at Internett gjør det lettere å få tak i ytterligere informasjon. I tillegg gjør Internett det enkelt å utnytte personnummeret til å utføre et Identitetstyveri.

Hva er identitetstyveri?

Litt forskjellige definisjoner for identitetstyveri (ID-tyveri) finnes. I Norge er det trolig Datatilsynets definisjon som er den mest brukte og mest omtale.

Alle situasjoner hvor en person, uten samtykke fra rette vedkommende, enten:

• Helt eller delvis er i stand til å utføre en eller annen form for uønsket transaksjon i annen persons navn, eller
• Skaffer seg tilgang til ressurser tilhørende andre, eller
• Urettmessig tilegner seg rettigheter som tilhører andre

vil være identitetstyveri.

Datatilsynet

Hvorfor skjer identitetstyveri?

Det er for det meste økonomisk vinning som er motivet bak identitetstyveri. Ved å kunne stjele en persons identitet kan man skaffe bankopplysninger, bestille kredittkort, ta opp lån, endre adresser og mye mer. Man kan for eksempel skaffe seg et kredittkort eller ta opp et lite lån i noen andres navn, og man vil stå igjen med pengene mens den andre personen står igjen med gjelda.

Nå som man kan gjøre det meste via Internett, med å kun bruke navn og personnummer som indikator, er det mye enklere for svindlere å utnytte ditt personummer til egen vinning. Man kan på mange måter si at identitetstyverier skjer i stor grad fordi det er lett.

Utenom økonomisk vinning er det også noen identitetstyverier som skjer i større grad for å påføre noen skade eller andre ubehageligheter. Typiske eksempler på dette er slike identitetstyverier man kan se i filmer, hvor man utnytter identiteten til andre for å ta hevn, eller for å beskytte seg selv samtidig som man henger ut den andre personen.

Nye utfordringer

Som tidligere nevnt er det større sjanse for at man blir utsatt for et identitetstyveri nå, enn det var for noen år tilbake. Etter hvert som de fleste tjenester er tilgjengelig på Internett, er det lettere for folk å kunne utnytte andres identietet for egen økonomisk vinning. Det er også lettere å utføre handlinger som gjør den andre personen skadelidende.

Eksempler på tjenester man kan utføre på Internett og som kan misbrukes er mange. Det er faktisk nå mulig å ta opp lån, få et kredittkort og utføre mange andre banktjenester på nett. Et kredittkortselskap vil kanskje ikke be om annet enn personnummeret ditt, eller de ber om å få personnummer i sammenheng med navn. Navnet kan man helt sikkert klare å hente ut fra andre nettsteder. Enkelte lånetjenester trenger heller ikke mer enn personnummer. Ellers så kan man skifte adresse eller omdirigere post til å komme til deg i stedet for den rette eier. Man kan også bestille telefonabonnement i andres navn.

I løpet av den siste perioden har det blitt kjent at en 16 år gammel gutt har laget et lite program som kan generere personnummer utifra fødselsdato [1]. Programmet hentet også ut mer informasjon om personalia via Tele2s nettsider. Dette programmet er lagt ut på Internett, og gjør det enda enklere å utføre identitetstyveri. Slike programmer vil bli hentet ned av kriminelle, som enten bruker de for egen vinning eller bruker de til å selge personnummeret til andre kriminelle [2]. I etterkant har Tele2 fikset feilen på sine nettsider som gjorde det mulig å hente ut personalia [3], men dette programmet gjorde det altså mulig å hente ut bortimot all informasjon om en som var født på en bestemt dato.

Phisihingforsøk mot nettbanker er ikke et uvanlig fenomen i dag, og hvis man har tilgang på personnummer har man også tilgang på store deler av påloggingsinformasjonen til nettbanken. Bruk av programmer eller trojanere for å da stjele koder er også tilgjengelige for kriminelle, da flere kriminelle selger slike programkoder til andre. Dette kan altså gjøre det mulig å logge på en nettbank. Alt man egentlig trenger å vite er hvilken bank eieren av personnummeret er kunde av, slik at man kan tilpasse programkoden til å lese av påloggingsinformasjon.

Til syvende og sist viser det seg at ved hjelp av et personnummer, som i tillegg er enkelt å generere ut fra kjønn og fødselsdato, kan man få gjort utrolig mye ugang. Dette gir nye krav til både brukere og fremtidens systemer.

Verifisering av Internettsider

Når man får en link på mail, eller surfer rundt på Internett, kan det være vanskelig å se om sidene man besøker er lagd av seriøse aktører. I forbindelse med vern av personlig informasjon på Internett, er det ønskelig å verifisere at siden er ekte før man gir fra seg informasjon.

Det finnes flere metoder for å verifisere at siden man er på er av lagd av seriøse aktører, eller i hvert fall ikke er ondsinnet. En av metodene som finnes, men som ikke har slått helt igjennom enda, er Extended Validation (EV) SSL sertifikater [4]. Ideen bak dette er en strengere kontroll av sertifikater, samt at når man kommer inn på en side som er bundet opp til et EV SSL sertifikat vil adresselinjen bli grønn og sertifikatutstederens navn vil vises. Dette for å tydelig vise at man er på en sertifisert side. Problemet er at eierne av siden må faktisk kjøpe disse sertifikatene, noe som kan være for dyrt for små bedrifter.

En annen måte å verifisere nettsider er å bruke tjenesten McAfee SiteAdvisor [5]. MCAfee SiteAdvisor bygger på at McAfee ansatte besøker og tester sidene, og kategoriserer de deretter som grønne, gule eller rød. Grønne sider er seriøse sider, gule sider kan ha nedlastinger som inneholder spionprogrammer, eller mail-skjema som fører til spam. Røde sider er direkte ”ondsinnede” sider. Kategorisering kan også bli påvirket av tilbakemeldinger fra brukere. McAfee SiteAdvisor kan enten lastes ned som en plug-in til din nettleser (fungerer i hvert fall i FireFox og IE), eller man kan besøke deres hjemmeside og skrive inn adressen der for full rapport.

Hvordan verne seg mot identitetstyveri?

Diskusjonen rundt fremtidens systemer er pågående i media i Norge om dagen, hvor veldig mange mener at personnummeret bør være vanskeligere å generere, eller at man bør gjøre det vanskeligere å finne sammenheng mellom personnummer og annen personalia. Nye måter å verifisere nettsider er også i stadig omtale.

På et personlig plan kan man si at identitetstyveri er et resultat av dårlig personvern. Det gjelder altså å ikke gi fra seg mer informasjon enn nødvendig. Dette er ikke første gang Secode har skrevet om personvern i en eller annen form, men disse siste omtalte sakene om identitetstyveri viser hvor viktig det egentlig er. Vi vil her nok en gang gjenta noen av rådene som er gitt i tidligere rapporter, og hente frem noen nye generelle råd. I tillegg vil vi også si noe om oppdagelse og bekjemping. Alle rådene bygger på listen over råd som ligger ute på Datatilsynets sider [6].

Personvernråd:

1. Ikke oppgi personlig informasjon til ukjente på telefon eller gjennom e-post.
   Husk også at mange e-poster kan utgi seg for å være fra et firma eller en bank selv om det er andre personer som står bak, og du bør derfor generellt ikke gi fra deg personlig informasjon på e-post. Dette gjelder spesielt e-post fra bank. Ingen norske banker vil be om personlige opplysninger over e-post. Kommer det en e-post fra en norsk bank, som ber om personlige opplysninger, slett den. Eventuelt kan du ta kontakt med kundeservice for din bank per telefon og forklar at en mistenkelig e-post er mottatt. Banken vil da fort kunne sende ut advarsel til sine kunder.
   
   
2. Ikke gi fra deg personlig informasjon på Internett, om dette ikke er sider du selv har initisert trafikken til.
   Vær også forsiktig med hvilken informasjon du legger ut, også om du selv har initiert trafikken. Er dette en side som ber om e-post for en eller annen tjeneste, bruk gjerne en ”anonym” eller lite brukt e-post adresse. Dette for å unngå at du blir utsatt for phishing angrep gjennom e-post eller annen spam.
   
   
3. Ikke gi fra deg personlig informasjon til firmaer du ikke vet nok om, eller er usikker på hvilket formål de vil ha informasjonen til.
   
   
4. Alle passord og PIN-koder er personlige.
   Sørg for at du ikke oppbevarer passord eller PIN-koder på et sted andre kan finne de, og i hvert fall ikke i nærheten av kort eller lignende. Oppbevaring i lommebok i sammen med kredittkortet bør i hvert fall ikke forekomme. Det beste er å enten lære seg kodene eller oppbevare de på et passordbeskyttet område på mobil eller PC.
   
   
5. Sett gjerne lås på postkassen om denne ikke er låsbar.
   Dette for å unngå at andre snoker igjennom din post. Mye informasjon om deg vil være tilgjengelig i en postkasse.
   
   
6. Riv i stykker dokumenter som inneholder personlig informasjon før du kaster det.
   Det beste er selvfølgelig å makulere dette eller på annen måte destuere dette, men siden ikke alle har makuleringsmaskin eller andre destrusjonsmetoder tilgjengelig er det anbefalt at man i hvert fall river i stykker slike dokumenter.
   
   
7. Beskytt din PC.
   IT-sikkerhet blir et viktigere tema jo mer informasjon som blir utvekslet over Internett eller annet nettverk. For å beskytte din personlige PC i størst mulig grad anbefaler vi at du bruker brannmur, antivirusprogramvare og gjerne også antispionprogramvare. Mange identitetstyverier skjer ved hjelp av små programmer eller trojanere som stjeler informasjon og rapporterer dette til de kriminelle bakmennene. Derfor er det ytterst viktig å beskytte sin PC. Vi anbefaler også å installere nye patcher til operativsystemet og andre programmer, slik at de kriminelle ikke kan bruke kjente svakheter for å komme seg inn på systemet.
   
   
8. Bruk avanserte passord.
   Alle steder du lagrer personlig informasjon på Internett bør være passordbeskyttet. Passordene bør inneholde bokstaver, tall og gjerne spesialtegn, slik at det er vanskelig å gjette seg til passordet. Ikke bruk passord i form av familiemedlems navn og fødselsdato. Det er lett å finne ut hvem du er i familie med via Internett.
   
   
9. Sjekk at det er en beskyttet forbindelse ved utveksling av persondata.
   Sikre Internett forbindelser er markert med en hengelås enten i statuslinja i bunnen av nettleseren, eller i adresselinja.
   
   
10. Vær ekstra påpasselig med tanke på kredittkortbruk i utlandet.
    Det er ofte her nordmenn opplever at andre stjeler identiteten, ved å stjele informasjon om ditt kredittkort.

Oppdage identitetstyveri

Det er mange måter man kan oppdage identitetstyveri. Det viktigste er at man er årvåken og sier i fra om man oppdager noe som en tror er feil. For eksempel hvis det går en transaksjon fra din konto som du ikke kan huske du står bak, kontakt banken og forklar situasjonen. Banken er som oftest behjelpelig til å finne ut hva som egentlig har skjedd.

Under følger en liste over ting som kan tilsi at noen har stjelt din identitet [6]. Listen er hentet fra Datatilsynet. Hvis noe av dette skjer deg bør du ta en ekstra kontroll på hva som har skjedd, for å avdekke om dette er et reelt tyveri.

1. Du mottar regninger for produkter du ikke har bestilt
2. Du oppdager uventendede kredittkorttransaksjoner på din kredittkortregning
3. Du mottar bekreftelse på kreditt eller kredittramme uten å ha spurt om dette
4. Du mottar varsel om at adresseendring er mottatt, uten at du har bedt om adresseendring
5. Du mottar telefon eller brev om kjøp du ikke har gjennomført
6. Du mottar post du ikke forstår grunnlaget for; en faktura, et avtaleforslag eller lignende.
7. Ta gjerne vare på kvitteringer eller på annen måte før kontroll på transaksjonene fra ditt kredittkort og andre konti.

Hvis du blir utsatt for identitetstyveri er det viktig at du kontakter den rette instans så fort som mulig. Er det en banktjeneste som har blitt utsatt, sjekk med banken at ikke mer har skjedd. Følg deretter godt med på om du mottar annen mistenkelig informasjon de neste dagene. Er det en adresseendring som har skjedd, kontakt Posten og be om å endre adressen tilbake, be samtidig om at adresseendring via Internett blir sperret.

Det viktigste er at man begrenser et eventuelt omfang av tyveriet, og får det under kontroll så fort som mulig. Anmeld også forholdet til politiet.

Kilder

[1] Dagbladet – ”Lars” (16) kan tømme Folkeregisteret fra gutterommet
[2] Dagbladet – Personnummeret ditt videreselges av kriminelle
[3] Dagbladet – Systemet åpnet for svindel
[4] VeriSign – EV SSL Certificates
[5] McAfee – SiteAdvisor
[6] Datatilsynet – ID-tyveri