SVINDELFORSØK: DNB har hatt tre tilfeller hvor det er blitt forsøkt overført penger fra Vipps- profiler opprettet på bakgrunn av ID-tyveri Foto: NANNA JOHANNESSEN,

Tre svindel-forsøk med Vipps

Opprettet profiler etter ID-tyveri

Så langt har det vært tre forsøk på å bruke Vipps, vennebetaling på mobil, til svindel.

ARTIKKELEN ER OVER FIRE ÅR GAMMEL

Det opplyser DnB, som står bak tjenesten. 250.000 brukere har tatt i bruk appen siden den ble lansert 30. mai i år.

Vipps er en betalingsapplikasjon som lar brukerne overføre penger direkte, uten å måtte gå via nettbanken.

– Vi har hatt tre tilfeller hvor det har blitt forsøkt å overføre penger fra profiler som er opprettet på bakgrunn av ID-tyveri. Alle har blitt oppdaget av DNBs systemer, og det er ingen brukere av tjenesten som har blitt svindlet. ID-tyveri og bankkortsvindel er et generelt problem, og å bruke Vipps til å svindle er som å legge igjen navn og telefonnummer når du gjør innbrudd i et hus, fordi alle transaksjoner i Vipps er lett sporbare, skriver informasjonsdirektør Even Westerveld i DNB i en e-post til VG.

Har du fått med deg: Dette er de nye snapchat-endringene

– Avkrefter sikkerhetsglipp

Når du oppretter en brukerprofil i Vipps må du oppgi personnummer og navn, og disse opplysningene sjekkes automatisk opp mot Folkeregisteret.

I tillegg må du legge inn mobilnummeret ditt. Deretter legger du inn kontonummer du vil motta penger på, og kortinformasjonen til kortet du vil overføre penger fra. Vipps sender så verifiseringskode til nummeret du registrerer, som du må gjøre om til en personlig, firesifret kode.

Men banken sjekker ikke at mobilnummeret står i samme navn til den som angivelig oppretter Vipps-kontoen – det er dermed mulig å gjøre dette i en annen persons navn såfremt du har denne personens personnummer og bankkonto.

– Dette virker som en sikkerhetsglipp, hvorfor verifiserer dere ikke at navnet i folkeregisteret stemmer overens med mobilinnehaveren?

– Jeg kan avkrefte at dette er en sikkerhetsglipp. Per i dag finnes det ikke et godt nok register som kobler navn og mobilnummer, men det jobbes med bedre løsninger for dette. Skulle man være så uheldig å miste sine kortopplysninger, må man som alltid ta kontakt med banken og få kortet sperret så fort som mulig. Dersom kortet blir misbrukt, er det vanlig at banken dekker tapet, sier Westerveld til VG.

Ny Facebook-oppdatering: Facebook kopierer Snapchat

Finanstilsynet: Krevende med register

– Svindel og misbruk er i utgangspunktet mulig for alle tilgjengelige betalingstjenester. Det er alltid noen som vil prøve seg, skriver seksjonssjef i Finanstilsynet, Olav Johannessen, i en e-post til VG.

De har rutinemessige gjennomganger av sikkerheten når nye betalingstjenester som Vipps lanseres.

Finanstilsynet skrev blant annet at «Det er nødvendig at tilbyder benytter kjente skadebegrensningsteknikker, som blant annet beløpsgrenser, omsetningsgrenser og gradert sikkerhet» i rapporten «Risiko- og sårbarhetsanalyse 2014», hvor de har vurdert mobilbaserte betalingsløsninger.

– Etter vår oppfatning er det etablert en god oppfølging av den totale sikkerheten rundt tjenesten, selv om det kan være vanskelig å få det hundre prosent vanntett, sier seksjonssjef Olav Johannessen.

Han tror det vil være krevende å lage et register som kan sikre at alle opplysninger som oppgis stemmer.

Kunde fikk opprettet konto uten å vite det

VG har vært i kontakt med en person som, etter å ha gitt fra seg kontonummeret sitt på internett, skal ha fått opprettet en Vipps-konto i sitt navn – uten å selv ha registrert seg.

– Jeg fikk så overført penger fra en tredjeperson som jeg ikke ante hvem var og heller ikke hadde vært i kontakt med, sier vedkommende til VG.

Han mener den nye tjenesten Vipps ikke virker sikker nok.

– Det eneste jeg ga fra meg var kontonummeret. Si du skal selge noe, da er det jo ikke unormalt å gi fra seg kontonummeret. Via en mobil, enten stjålet eller sin egen, kan man deretter lage en Vipps konto på selger, sier mannen som ønsker å være anonym.

Han har ikke selv blitt tappet for penger, men frykter at Vipps kontoen noen skal ha opprettet i hans navn, er blitt brukt i forbindelse med hvitvasking.

DnB opplyser til VG at de ikke kommenterer saker som er under utredning.

– Begrens informasjonen

Helge Veum i Datatilsynet forteller til VG at Datatilsynet ikke har sett på tjenesten i detalj, og at han uttaler seg på generelt grunnlag.

– Det er en del tjenester som gjør at vi kan være sårbare, og det er ikke all verden vi kan gjøre selv for å forebygge det. Her oppfatter jeg at man kan opprette konto i en annens navn, og dermed gi seg ut for å være en annen. Det virker som en svakhet, sier Veum.

Han mener det er viktig å begrense informasjonen du gir ut om deg selv.

– Fragmenter med opplysninger om oss selv er i omløp i det daglige. Ved å være varsom med hvordan man deler denne informasjonen kan man begrense risikoen. At tjenestene vi bruker er sikre er også viktig, sier Veum.

Kommersielt samarbeid: Rabattkoder