Så er den gal igen. En ny runde svindel har ramt Danmark, og denne gang er det Udbetaling Danmark og ATP, der udnyttes som påskud til at stjæle dine penge og personlige oplysninger.

TjekDet har identificeret tre unikke, men tæt forbundne phishingsider, der alle indeholder overbevisende og identiske kopier af ATP’s hjemmeside.  

På hjemmesiderne afgiver du dine personlige oplysninger én efter én, så svindlere står tilbage med en fuld pakke af information om dig og dine kort- og bankforhold.

Oplysningerne bruges typisk til at fuldende svindlen efterfølgende, hvor du ringes op af en person, der udgiver sig for at være eksempelvis banken, politiet eller en myndighed. Her skal du overbevises om, at vedkommende i røret hjælper dig med at stoppe netop svindel.

TjekDets research peger på, at svindleren bag har i sinde at gøre det samme i dette tilfælde. Vi har fundet frem til, hvor de stjålne oplysninger sendes hen og til hvem, og der tegner sig et billede af en dansk seriesvindler, der længe er gået målrettet og næsten udelukkende efter danskernes penge.

Udover at være dybt involveret i den nuværende svindel, er der tale om en svindler, der er særdeles aktiv i en bred palette af svindelgrupper på den krypterede beskedtjeneste Telegram.  

TjekDet har været i kontakt med svindleren, der svarer på dansk. Da vi giver os til kende som journalister, stopper korrespondancen. 

Afsløring: Hør hvordan danske kriminelle ringer til over 9.000 danskere og svindler dem for millioner

Sendes direkte til svindleren

I øjeblikket bliver der udsendt såkaldte smishing-beskeder og phishing-emails til danskerne, hvor svindlere får det til at se ud som om, at ATP er afsender. Beskederne indeholder links, der fører til hjemmesider, der både i navn og udseende ligner ATP eller ydelser og ordninger, som ATP administrerer - eksempelvis pension og Udbetaling Danmark.

TjekDet har undersøgt flere ATP-phishingsider og fundet frem til tre overbevisende og nylige eksempler, der alle er registreret i april. Vi har identificeret dem ved at sammenholde forskellige elementer, der går igen på tværs af siderne.  

De falske hjemmesider, som er beregnet til at stjæle dine oplysninger, finder vi på domænerne udbetalingdanmarkinfo.com, udbetalingdanmarknyt.com og pensionistnyt.com, og indholdet er fuldstændig identisk. Her bliver du taget gennem et forløb, hvor du gradvist afgiver personlige oplysninger og kort- og kontooplysninger.

Se forløbet i galleriet herunder.

Oplysningerne danner en samlet pakke, der i svindlerjargon kaldes for “fullz”. Det er de omfattende informationer, der baner vejen for svindel. Svindlere kan vælge at sælge oplysningerne videre til andre kriminelle, eller de kan bruge dem til at svindle selv.

Når svindlerne sidder med så mange personlige oplysninger, kan de fremstå mere troværdige og overbevisende, når de - som det typisk er tilfældet - efterfølgende ringer offeret op for at fuldende svindlen. Det er her, svindlerne ofte udgiver sig for at være en myndighed, bank eller institution, som offeret har tiltro til.  

TjekDet har undersøgt de førnævnte phishingsider nærmere, og i kildekoden gemmer sig noget interessant. Kildekoden er de underliggende koder, som en hjemmeside er bygget op af. Her kan vi se, at de tre phishingsider alle sender ofres indtastede oplysninger til samme sted: en såkaldt bot på beskedtjenesten Telegram. 

Her kan vi se, hvilke oplysninger der stjæles gennem de tre phishingsider, og hvordan det er struktureret. Læg mærke til, at flere af kategorierne er formuleret på dansk. Billede: Skærmbillede af kildekode fra phishingsider.  

Når botten på Telegram modtager ofrenes oplysninger, bliver de sendt videre igen. Denne gang til en specifik bruger, der begår sig i svindelmiljøet på Telegram, viser TjekDets research.   

Her er svindleren bag

Svindleren, der modtager danske ofres oplysninger, bærer Telegram-brugernavnet Simonsaysnow1. Ved at dykke ned i brugerens historik på Telegram kan vi se, at her er tale om en person, der længe har været ganske aktiv i en lang række svindelgrupper på beskedtjenesten.

Simonsaysnow1 har skiftet brugernavn mindst fem gange det seneste år, men har i hele perioden efterspurgt forskellige data og services, der kan bruges til at udføre svindel mod danskere.

TjekDet har gennemgået svindlerens opslag og forespørgsler, og der er nærmest ikke noget, som Simonsaysnow1 ikke vil have fingrene i, og som skal til for at kunne svindle danskere effektivt.

“Databases/leak for Denmark”, “Denmark fresh data CC”, “SMS gateway for Denmark”, “fullz Denmark”, “Need Denmark SIP calling spoof” og “Searching for people who can open & make dialers for +45 Denmark” er bare nogle få eksempler på, hvad Simonsaysnow1 søger gennem forskellige, lyssky svindelgrupper.

Med andre ord efterspørger svindleren de forskellige bestanddele af den infrastruktur, der tilsammen udgør et gennemført svindelnummer, der afsluttes med et opkald - det, der også kaldes kontaktbedrageri.  

Her efterspørger Simonsaysnow1 tilsyneladende danske calling codes (+45-numre), som der tilbydes “store penge” for, og som købes i større mængder. "CC" bruges også om "credit cards". Billede: Skærmbillede fra Telegram.  

Svindelgrupperne, som Simonsaysnow1 er aktive i, bærer tydeligt præg af at være markedspladser for stjålne data og løsninger, der indgår i et svindel-setup. Her annoncerer kriminelle, hvad de kan tilbyde, hvordan det virker, og hvem man skal kontakte, ligesom man kan hyre hackere til at udføre forskellige opgaver.

Det er i grupper som disse, at svindlere kan købe sig til de tekniske løsninger, der skal til for at sende store mængder falske SMS’er og mails, der eksempelvis for nylig var tilfældet med svindel med DAO.

Det er også her, man kan anskaffe sig løsninger til at spoofe danske telefonnumre, så det ligner, at svindleren ringer fra et uskyldigt nummer, eller fra et nummer der tilsyneladende tilhører en myndighed, bank eller politiet.  

TjekDet har kontaktet Simonsaysnow1 på Telegram - uden at give os til kende som journalister - for at få bekræftet, at der er tale om en dansker og for at se, om vi kan få yderligere oplysninger om svindleren. Vi skriver derfor på dansk. Få timer senere får vi et dansk svar tilbage. 

Selvom Simonsaysnow1 er fåmælt, tyder svindlerens svar og Telegram-aktivitet på, at der er tale om en dansk person. Billede: Skærmbillede fra Telegram.  

Da vi efterfølgende giver os til kende som journalister, stopper Simonsaysnow1 med at svare. Brugeren og phishingsiderne er fortsat aktive.

Som nævnt er svindel-siderne, som TjekDet har undersøgt, alle målrettet ATP/Udbetaling Danmark. Vi kan ikke sige, hvor mange danskere, der indtil videre har modtaget mails eller sms´er med det formål at lokke dem ind på siderne.

ATP advarer i øjeblikket selv om svindlen, der finder sted i deres navn. I advarslen giver de en række råd til, hvad du skal passe på, og hvad du skal gøre, hvis skaden er sket.  

Til TjekDet siger ATP’s kommunikationsdirektør, Søren Springborg, at man er bekendt med svindel i ATP’s navn, der er et udbredt problem.

”Når vi bliver opmærksomme på konkrete svindelforsøg, forsøger vi at få dem stoppet – blandt andet ved at samarbejde med relevante aktører. Men det er desværre et vedvarende problem, hvor nye forsøg på at snyde og svindle hele tiden opstår,” siger Søren Springborg til TjekDet.

Er du faldet i fælden og har oplyst dine kreditkortoplysninger til svindlerne, bør du kontakte din bank.

Hvis du kan lide TjekDets artikler og vil være sikker på ikke at gå glip af den nyeste, så følg os på Facebook ved at klikke her.

Du kan også tilmelde dig TjekDets gratis nyhedsbreve, hvor vi tipper dig om vores seneste faktatjek, advarer om digital svindel og deler seneste nyt om mis- og desinformation – direkte i din mailindbakke. Tilmeld dig nyhedsbrevene her.