Tusindvis af danskere har tilsammen mistet millioner af kroner til svindlere, der med et tilsyneladende legitimt telefonnummer ringer og udgiver sig for at være fra politiet, banken, Nets eller noget helt fjerde.

En sådan type bedrageri, hvor svindlere lukrerer på andres troværdighed, kaldes spoofing.

Den påståede troværdighed er dog bare en lille del af en nøje tilrettelagt proces, hvor svindlerne langsomt, men sikkert lænser intetanende danskeres konti med store fortjenester til følge.

Men hvordan lykkes det egentlig konkret svindlerne at overbevise danske borgere om, at de skal overføre tusindvis af kroner til en konto, de ikke kender? Hvordan skaber svindlerne en så overbevisende fortælling, at nogle ofre udleverer deres betalingskort og pinkode til en person, de lige har mødt?

De spørgsmål kan TjekDet nu i detaljer svare på.

I månedsvis har vi haft adgang til timevis af lydoptagelser og hundredvis af skærmbilleder fra computere, som tilhører et netværk af spoofing-svindlere. 

Ved hjælp af det omfattende materiale kan vi trin for trin vise svindlernes systematiserede fremgangsmåde, fra de forbereder opkaldet til deres ofre, til det stjålne beløb lander i deres lommer. Og det indblik er helt unikt, siger Sune Gabelgaard, der er svindelekspert og har arbejdet med økonomisk kriminalitet hos både politiet og i private virksomheder.

“Jeg har arbejdet med bekæmpelse af kriminalitet i 26 år, og jeg har aldrig set noget lignende. Jeg havde en fornemmelse af, at det her var kæmpestort, men det er måske endda større og mere professionelt, end jeg havde antaget,” siger han.

“Pakker” med information

Allerede inden svindlerne ringer op, har de gjort et betydeligt forarbejde ved at indsamle oplysninger om det potentielle offer, som de udnytter under samtalen til at styrke deres troværdighed. 

Grundlæggende indsamler de oplysningerne på tre måder.  

I den mest simple metode laver svindlerne en søgning på eksempelvis krak.dk på navne, der typisk tilhører ældre personer, såsom Kaj, Aase, Inge og Svend. Dermed har de fulde navn, telefonnummer og adresse på et potentielt offer. 

Svindlerne har dog i mange tilfælde indsamlet markant flere informationer om deres ofre.

I nogle tilfælde gør de det ved at lave en falsk hjemmeside, som efterligner en legitim hjemmeside. Det kan eksempelvis være borger.dk eller skat.dk. 

 

Svindlerne kopierer legitime hjemmesider for at franarre ofre personlige oplysninger, der kan bruges i svindlen. Her det Skats hjemmeside, der er ved at blive kopieret. Foto: Skærmoptagelse.

---

De falske hjemmesider distribueres ud til tusindvis af danskere gennem SMS’er eller mails med besked om, at den pågældende borger har modtaget post fra en offentlig myndighed. Også her kan svindlerne få det til at ligne, at SMS’en eller mailen rent faktisk stammer fra en offentlig myndighed, eksempelvis Danmarks Domstole. 

Når borgerne klikker på det medfølgende link for at læse deres “post”, kommer de videre til en MitID-loginside. Den fører videre til en formular, hvor borgerne bliver bedt om at indtaste personlige oplysninger som navn, adresse og telefonnummer, men også hvilken bank de har samt deres MitID-brugernavn, CPR-nummer og betalingskortoplysninger.

Med de falske kopier af legitime hjemmesider får svindlerne ofre til at afgive deres personlige oplysninger - oplysninger, der senere indgår i svindlen og medvirker til at gøre svindlerne overbevisende. Brug pilene for at se, hvordan ofrene skridt for skridt bedes angive oplysninger på de falske hjemmesider. Fotos: Skærmbilleder.

---

De fleste vil sandsynligvis stoppe, når de bliver bedt om at udfylde deres kortoplysninger, men inden kan de allerede have oplyst telefonnummer, MitID-brugernavn, bank og CPR-nummer, og så har svindlerne en hel del værdifuld information, når de ringer.

Svindlerne kan også skaffe den samme slags information gennem netværk med andre svindlere. 

Svindlere sælger nemlig “pakker” med potentielle ofres informationer til andre svindlere på beskedtjenesten Telegram. Sådanne pakker kaldes i svindler-jargon for fullz, og informationerne deri kan blandt andet stamme fra kontaktformularer på falske hjemmesider eller datalæk fra internetsider.

Øver sig på hinanden

Med de informationer foran sig er svindlerne mere eller mindre klar til at ringe ud til potentielle ofre. De gør sig dog lige et par ekstra anstrengelser for at styrke deres troværdighed yderligere. 

Det måske vigtigste troværdighedskneb, svindlerne gør brug af, er at manipulere deres telefonnummer til at være identisk med den myndighed eller virksomhed, de påstår at ringe fra. Og det er - set fra svindlernes perspektiv - et godt træk.

“Det får det til at virke, som om henvendelsen er legitim, og at svindlerne er til at stole på. Det kan potentielt give dem stor fordel i forhold til at få offeret til at følge deres anvisninger og udlevere de informationer, som de er interesseret i at få fat i,” siger Lau Lilleholt Harpviken, der er adjunkt ved Institut for Psykologi på Københavns Universitet.

Svindlerne bruger en såkaldt SIP-tjeneste (Session Initiation Protocol), som er et digitalt opkaldssystem, der kan manipulere deres opkaldsnummer, som de ønsker.    

TjekDet har hørt flere eksempler på, at svindlerne tester, om SIP-tjenesten virker efter hensigten. Svindlerne har desuden deciderede manuskripter, de følger i løbet af opkaldet, ligesom de på forhånd øver sig på hinanden i interne opkald.

Det sidste kan du høre et eksempel på her:

I et konkret eksempel fra det materiale, TjekDet er i besiddelse af, deler en svindler en fullz med en anden svindler på beskedtjenesten Telegram. Her fremgår det potentielle offers navn, adresse, bank og kortoplysninger. 

Svindleren googler sig derefter frem til en navngiven bankrådgiver i offerets bank, som han kan udgive sig for at være, når han ringer op - vel at mærke fra et telefonnummer, der er identisk med den pågældende banks telefonnummer.

På billedet herunder kan du se, hvordan en svindler først bruger en fullz til at slå fast, hvilken bank et potentielt offer bruger, og dernæst googler sig frem til en navngiven bankrådgiver i en filial tæt på offerets adresse.

Efter at have skaffet personlige oplysninger på et potentielt offer - herunder blandt andet CPR-nummer, adresse og kortoplysninger, finder svindlerne en navngiven rådgiver i en bank nær offerets bopæl. Nu kan de udgive sig for at være den pågældende bankrådgiver. Her deles oplysningerne på Telegram. Foto: Skærmbillede.

---

Udover personlige oplysninger indeholder fullz eller de informationer svindlerne fremskaffer gennem deres falske hjemmesider også tit information om, hvilken telefon og browser offeret har brugt til at udfylde sine informationer på en falsk hjemmeside.  

På den måde kan svindlerne med overbevisning opdigte en fortælling om, at offerets MitID er blevet tilgået på en telefon, der ikke er offerets.

Det kan du høre et eksempel på her: 

Svindlerne bruger desuden troværdige ventetoner, når de sætter offeret på hold. De viderestiller også til “kolleger” i andre afdelinger, som angiveligt kan hjælpe med lige præcis det, offeret - i hvert fald ifølge svindleren - har brug for hjælp til.

Der er også eksempler på, at svindlerne beder ofre ringe til numre, som svindlerne påstår tilhører en offentlig myndighed, men som i virkeligheden bare er tilknyttet et af svindlernes taletidskort. Når man ringer op til nummeret, bliver man mødt af en automatisk velkomst og omstilling, hvor man har forskellige muligheder at vælge imellem - præcis som man ville have det i en legitim virksomhed med en rigtig kundeservice.

Den fremgangsmåde er væsentlig i svindlernes forsøg på at overbevise ofrene, siger Thomas Alrik Sørensen, der er lektor ved Institut for Kommunikation og Psykologi på Aalborg Universitet. 

“Jo mere en svindler kan fastholde en illusion, des nemmere er det at fastholde offeret. Og jo mere man kan få ofrene til selv at handle, jo mere har de en følelse af autonomi, hvorved de er mindre tilbøjelige til at stille sig kritisk overfor svindleren,” siger han. 

Herunder kan du høre svindlerne teste omstillingsfunktionen, før de begynder at ringe til potentielle ofre:

Tidspres er afgørende

Når svindlerne ringer op, er det et gennemgående træk, at de starter med at lægge et tidspres ned over offeret. De påstår blandt andet, at offerets betalingskort eller bankkonti er blevet misbrugt, og derfor skal det gå hurtigt, hvis pengene skal skaffes tilbage og yderligere misbrug skal forhindres.

“Tidspresset gør, at man fratager folk muligheden for at tænke sig grundigt om eller tale med en ven. Det er et klassisk greb, og det er helt sikkert et bevidst greb, for svindlerne er ikke interesserede i, at folk skal få tid til at tale med andre. De holder gryden i kog, og det fungerer super godt,” siger Sune Gabelgaard. 

Herunder kan du høre en svindler, der udgiver sig for at være fra politiet, understrege over for et offer, at der er tale om en hastesag:

Når formålet med opkaldet er slået fast, bruger svindlerne forskellige metoder til i sidste ende at franarre ofrene deres penge.

Én metode går ud på, at svindleren udgiver sig for at være fra Nets eller banken og får offeret til at godkende betalinger via MitID, som svindleren foretager med offerets betalingskort, mens samtalen står på.

Svindleren har ved hjælp af fullz eller en falsk hjemmeside anskaffet sig både offerets kortoplysninger og MitID-brugernavn, og derfor mangler svindleren kun at få offeret til at swipe - altså godkende de betalinger, der tikker ind på MitID-appen. 

De ofre, der undrer sig over at skulle godkende betalinger via deres MitID, får forklaret, at beløbene, de godkender, er de beløb, der er blevet stjålet af svindlere. Svindlerne forsikrer altså offeret om, at han eller hun blot godkender i MitID, at de stjålne beløb føres tilbage til offerets konti.

I virkeligheden godkender offeret betalinger med sit kort, som svindlerne har foretaget. 

Ofte køber svindlerne dyr elektronik, ure eller guld for ofrenes penge, som de tilsyneladende får sendt til adresser, hvor de kan afhente varerne.

“Sikkerhedsdepot” og “sikkerhedsprofil” 

Ved en anden metode udgiver svindleren sig for at være fra eksempelvis Nets eller MitID og fortæller offeret, at der i samarbejde med offerets bank er blevet oprettet et såkaldt “sikkerhedsdepot”. 

Offeret skal så - ifølge svindleren - sikre sine resterende penge ved at rykke dem over på sikkerhedsdepotet og dermed undgå yderligere tab. Men sikkerhedsdepotet er i virkeligheden en konto, som svindleren har adgang til.

Herunder kan du høre en svindler, der udgiver sig for at være fra MitID, forsøge at overbevise et offer om at overføre til sikkerhedsdepotet:

En tredje metode går ud på at få offeret til at kopiere sit MitID og på den måde få adgang til stort set alt - herunder offerets netbank og godkendelser af betalinger foretaget med offerets betalingskort. 

Konkret foregår kopiering af MitID sådan, at svindleren vejleder offeret i at starte processen via den indbyggede kopieringsfunktion i MitID-appen. Den er oprindeligt lavet for blandt andet at give brugere mulighed for at “flytte” deres MitID fra en gammel telefon til en ny.

I funktionen er indbygget et sikkerhedstiltag, så det tager en time, før kopieringen er mulig. 

Når timen er gået, kommer en QR-kode frem på offerets telefon, som svindleren skal scanne med sin telefon for at fuldføre kopieringen. Svindleren overtaler derfor offeret til eksempelvis at sende et skærmbillede med QR-koden i en chat på Telegram.

For overhovedet at nå dertil har svindlerne - ofte under dække af at være fra MitID eller offerets bank - bildt ofrene ind, at de skal lave en “sikkerhedsprofil” på MitID. Årsagen er ifølge svindleren, at påståede svindlere har skaffet sig adgang til offerets MitID. 

Den påståede MitID-medarbejder eller bankrådgiver lover derfor at oprette sikkerhedsprofilen, hvis blot offeret følger hans anvisninger. På den måde kan svindleren med sin dækhistorie få kontrol over offerets MitID.

Herunder kan du høre et eksempel på en svindler, der forsøger at forklare, hvad en sikkerhedsprofil er:

Den 11. december 2024 lancerede Digitaliseringsstyrelsen en opdatering til MitID-appen designet til at forhindre lige præcis den type svindel med MitID. Nu kan appen nemlig kun kopieres til en anden telefon eller tablet, hvis begge enheder befinder sig fysisk ved siden af hinanden. 

Falsk politibetjent dukker op

Ved den fjerde og sidste metode afhenter svindlerne offerets betalingskort på vedkommendes hjemmeadresse.

Inden da har de ringet offeret op og udgivet sig for at være fra politiet med en dækhistorie om, at en svindler ved navn Erik Skovby eller Erik Jensen har misbrugt adskillige menneskers MitID - herunder offerets - og optaget lån i deres navn.  

Det kan du høre et eksempel på her:

“Svindlerne bruger særligt to strategier her, som virker overbevisende. Først og fremmest prøver de at gøre offeret bange eller nervøs ved at nævne antallet af gange, offerets MitID er blevet misbrugt, samt at det er blevet misbrugt til at optage lån,” siger Lau Lilleholt Harpviken og fortsætter:

“Dernæst får svindlerne det til at virke som om, de kan slå op i en database for at se, hvor offeret bor, samt hvor offerets MitID er blevet misbrugt. Det får det til at virke som om, svindlerne har adgang til systemer, som kun organisationen, de ringer fra, har adgang til, selvom de flestes adresser naturligvis er offentligt tilgængelige.” 

Den påståede politibetjent fortæller derefter, at de har pågrebet Erik Skovby eller Erik Jensen, men at de skal bruge offerets betalingskort til at føre en retssag mod ham. Det kan nemlig bruges som bevis, fordi der i kortets chip sidder en slags hukommelse, som kan afsløre, hvem der uretmæssigt har aflæst kortet - sådan lyder forklaringen i hvert fald. 

Undervejs henviser den påståede politibetjent til konkrete - naturligvis opdigtede - sagsnumre og tjenestenumre og tilbyder endda offeret at vidne i retten. Den slags detaljer kan måske virke lidt ligegyldige, men det er effektive greb, siger Henrik Høgh-Olsen, der er professor ved Psykologisk Institut på Aarhus Universitet. 

“Jo flere af den slags detaljer, vi får, jo mere kan vi overbevises om, at vi har med den ægte vare at gøre. Det er jo noget af det tryllestøv, som en svindler skal kunne drysse over situationen, så man mister overblikket lidt og samtidig får et indtryk af, at det her er autentisk og korrekt,” siger han.

Svindlerne er også gode til at snige sig uden om spørgsmål, der potentielt kan udstille deres egentlige ærinde. Når offeret stiller opklarende spørgsmål til sagens omstændigheder, lyder forklaringen som regel, at de ikke kan sige så meget, fordi det er en igangværende efterforskning.

Det kan du høre et eksempel på her:

Svindlerne bruger også hensynet til den igangværende efterforskning til at understrege, at offeret ikke må fortælle noget om sagen til andre, og at offeret skal blive på linjen, mens politiet gør sit arbejde. 

Det kan du høre et eksempel på herunder:

Når svindleren har fået overbevist offeret om nødvendigheden i at afhente kortet, sørger svindleren for, at en af hans “kolleger” kommer og afhenter kortet. Offeret bliver bedt om at pakke sit betalingskort i en kuvert og skrive pinkoden udenpå kuverten.

Ikke længe efter ankommer en mand til offerets adresse og afhenter kuverten, og hele tiden sørger svindleren for at holde samtalen med offeret i gang og desuden bede om at tale med sin “kollega”, når han ankommer. 

Det kan du høre et eksempel på her:

Hvis offeret påpeger det prekære i, at han eller hun har afleveret sit betalingskort med tilhørende pinkode, kan den falske politibetjent forsikre offeret om, at deres “tekniske afdeling” allerede har været i kontakt med banken og fået kortet spærret, men at de skal bruge pinkoden til at foretage den såkaldte “analyse-scanning” af kortets chip.

En sådan forklaring kan du høre her:

Kan skrue bissen på

Generelt er svindlerne meget tålmodige og forstående, når ofrene undrer sig over det, de bliver fortalt, eller hvis de har svært ved at følge de instrukser, de får.

I nogle tilfælde bliver svindlerne dog mere kontante og giver eksempelvis ofrene dårlig samvittighed, hvis de tillader sig at sætte spørgsmålstegn ved processen. Herunder kan du høre en svindler påpege over for en ældre kvinde, at hun risikerer at miste endnu flere penge, hvis ikke hun samarbejder og overfører til den konto, som svindleren påstår er et sikkerhedsdepot.

“Svindlerne prøver her at få det til at virke som om, de kun er der for at hjælpe offeret, samtidig med at de gør det klart for offeret, at der skal handles nu, hvis hun ikke vil miste en masse penge. Det vil formentlig få nogle til at tænke, at svindlerne virkelig vil en det bedste, og at det er bedst at handle, før det er for sent,” siger Lau Lilleholt Harpviken.

Der er også flere eksempler på, at svindlerne skruer bissen på over for særligt besværlige ofre, som eksempelvis ikke forstår, hvorfor de ikke må ringe til deres bank og spærre deres kort.

I et konkret eksempel forsøger et offers søn faktisk at ringe til sin fars bank, mens faderen taler med svindleren. Da svindleren - der udgiver sig for at være fra politiet - får nys om det, må han tale med store bogstaver og bede både far og søn om at lade være med at ringe til banken, fordi det kan forstyrre politiets efterforskning.

Langt størstedelen af danskerne stoler på politiet, og derfor virker det særligt overbevisende, når en påstået politibetjent agerer sådan, vurderer Lau Lilleholt Harpviken.

“Hvis svindlerne lykkes med at overbevise offeret om, at de faktisk er fra politiet og i tillæg irettesætter dem, vil det formentlig kunne få en god håndfuld danskere til at makke ret og gøre, som svindlerne beder dem om,” siger han. 

Herunder kan du høre, hvordan den påståede politibetjent irettesætter både far og søn:

Når man lægger det hele sammen, kan Lau Lilleholt Harpviken godt få øje på, hvorfor svindlerne har succes med deres foretagende. 

“Overordnet set virker svindlen til at være godt planlagt og udført på en måde, som gør det svært at gennemskue, at der faktisk er tale om et svindelnummer. Derudover lader det til, at svindlerne er forholdsvis skruppelløse og villige til at sige hvad som helst for at få ofrene til at følge deres anvisninger,” siger han.

Denne artikel er en del af en serie om spoofing-svindel. Du kan læse alle artikler i serien på tjekdet.dk/spoof, hvor vi også løfter sløret for, hvem der står bag svindlen og i detaljer afdækker deres metoder.