Blogginlägg

Identitetsstöld - förebyggande åtgärder bästa skyddet

http://kallberg.blogs.com/jan_kallberg/2010/03/identitetsst%C3%B6ld.html

Identitetsstöld

Genom att nyttja en identitet, ett namn eller kontoidentitet, kan förövaren beställa varor, utnyttja service och på annat sätt få fördelar av att utnyttja en annans möjlighet till kredit. Det finns tekniska hinder men mycket av skyddet för en identitet handlar om metodfrågor. Hur man gör och vad som ingår i ett flöde av händelser när en transaktion sker.

SÅ GÅR DET TILL

Förövaren letar upp ett lämpligt företag som prövas. Man uppger en falsk identitet och beställer varor som antingen skickas till en adress eller t o m hämtas vid lager. Om första försöket lyckas har man fler identiteter ”i lager”, och om angrepp är välorganiserat, finns fler telefonröster, medhjälpare, som kan ringa in beställningar. Man lägger även till tilläggsorder vid senare tillfällen när nya ordermottagare svarar eller dagen efter. Syftet är att få ut så mycket som möjligt innan någon reagerar. Förövaren fortsätter sin odyssé genom att försöka få ut varor av liknande leverantörer genom att nyttja de identiteter som tidigare fungerat. För att iscensätta det hela har förövaren samlat ihop information om företaget eller personen, sammanställt flera identiteter som färdiga att försöka på och sedan kör detta snabbt för att hinna få det man vill ha och sedan röja undan spåren.

INFORMATIONSINHÄMTNING

Informationen till detta har hämtats från offentliga register, stulen post, anställda och fd anställda som antingen medverkar eller som av oaktsamhet berättar detaljer, informationer man hittar i dokument och press. När den informationen är kompletterad finns givetvis ”risken” att de inte har allt de behöver men ofta är den samlade informationen tillräcklig för at de skall vara trovärdiga. ”Insiders” behöver inte finnas i ert företag, det räcker med att ha informationen. I USA har t e x man upptäckt anställda vid sjukförsäkringsföretag försett förövare med uppgifter eftersom de hade ett överflöd med uppgifter som alla personliga data och detaljer som vilka försäkringstagare som var på längre utomlandstjänstgöring och därmed antagligen inte skulle kunna skydda sig.

INFORMATIONSBEGRÄNSNING

Genom att aktivt begränsa informationsflödet kan förövarens möjligheter att ”bygga” falska identiteter försvåras. En så enkel sak som att se på en följesedel, som följer byggmaterial ut till en byggplats, i värsta fall kan den innehålla nästa all information om ett konto. Organisationsnummer på kunden, beställare, adress, rekvisitionsnummer, orderidentitet och framförallt lite information om vart man skall vända sig för att beställa mer. Exakt vad en förövare behöver. Och det ligger helt öppet på en byggarbetsplats i en liten plastficka på en kartong som skall slängas. Ett annat exempel är universiteten som hänger ut lista med personnummer och namn i korridoren med dem som antagits till utbytesstudier i våra grannländer med startdag och allt. Fem meter längre bort finns klasslistor med adresser utan personnummer. Tillsammans har förövaren bra mycket av vad denne behöver inom dessa få metrar. Att ständigt fundera över vad som behövs och vad som är informationsöverflöd är ett bra skydd.  Det ställer även krav på IT avdelningar tillsammans med säkerhetsansvariga vid konfigurering av utgående datautskrivna bekräftelser, datamenyernas innehåll för olika handläggare i organsationen och på de sammanställningar och listor som finns i organisationen. Om man inte konfigurerar är ofta allt med.

HUR KAN JAG VARA UPPMÄRKSAM?

Som vanlig konsument eller företagare finns det vissa saker man kan göra för att skydda sig och minska risken.

1)      För det första bör man säkerställa att alla konton är avslutade när man inte längre nyttjar dem. Antag att du har ett kreditkort hos en detaljhandelskedja men aldrig nyttjar det, problemet är att den kredit kan vara aktiv i tio år fast den inte utnyttjas. Se till att få skriftlig bekräftelse på när konton avslutas och spar dessa.
Mycket stölder av identiteter sker i vanlig handel på konton som inte är aktiva. Det är lätt för ett biträde i ett lager att se att ett företag som inte längre finns på orten har ett konto. Om adressuppgifterna inte är korrekta kan det ta månader innan någon reagerar.

2)      Sprid inte ditt personnummer/organisationsnummer och kompletta adressuppgifter utan att veta vad det skall användas till. Det minskar risken att just du drabbas.

3)      Var uppmärksam på om du inte får en månadsräkning. Kontrollera med företaget. Förövaren kan ha ändrat din adress för att du inte skall se i tid vad som sker.

4)      Fråga de företag du har en relation med om de har en funktion i sitt beställningssystem där man skall kontrollringa vid ett visst belopp, många har det men få efterfrågar det. Vissa offentliga myndigheter kräver att man kontrollerar per telefon rekvisitioner över ett visst belopp, t e x 5,000 kr., så funktionen finns ofta i säljsystemen. Aktivera den funktionen så att den passar ditt skyddsbehov. Tala direkt med kundtjänst. Om du viker några timmar till att aktivera den funktionen hos de relationer du har ökar ditt skydd betydligt.

5)      När du får saldobesked från leverantörer, gå igenom uppgifterna och se till att de har epostadress och mobiltelefonnummer till dig, så att det går att nå dig om de är oroliga över vad som sker på ditt konto.

6)      Svara aldrig på begäran om uppgifter via epost, dvs om du får ett ebrev som begär att du skall uppdatera kreditkortsinformation, meddela log in eller på annat sätt lämna ifrån dig information som skall hållas skyddad. Om du är osäker på riktigheten så eposta tillbaks och be om en skriftlig begäran.

7)      Släng inte kreditkortskvitton hur som helst. Många kassaapparater skriver fortfarande ut både fullt kortnummer, kontoinnehavare och giltighetsdag. Det är detsamma som om du tappat kortet om identitetsstölden sker över internet. Det är tillräckligt för att börja shoppa i många e-handelssajter.

8)      När du reser bort en längre tid så eftersänd posten eller om du är utomlands så be någon du litar på att gå igenom posten. Ange vad räkningarna brukar vara på mellan tummen och pekfingret, t e x mobiltelefon 1,500 kr – 3,000 kr, osv. Skriv ner om du beställt något eller om det finns några räkningar du räknar med. Be personen kontakta dig per epost, om det går, om det är något som avviker.

9)      Kontrollera din post. Låt aldrig din post ligga i trapphus och i öppna brevlådor.
Skaffa låsbar postlåda.

HUR KAN MITT FÖRETAG VARA UPPMÄRKSAMT?

Det som sagts ovan om hur man som privatperson eller företagare kan skydda sig är just metoder men metoder kan byggas in vid konfiguering av CRM, säljhantering och logistiklösningar. Det är även en avvägningsfråga eftersom man måste väga risk mot besvär, dock är identitetsstölder ofta dyra för företaget eftersom man får svårt att kräva offret och det blir lätt en fråga som känns som ”goodwill” förlust. Företaget kan av kundvårdande skäl bli tvungna att bära en betydande del av bördan.

Ett företag kan bli bättre skyddat genom att,

1)      Kontrollera beställningar av kompletta produkter med skiljda fakturerings och leveransadresser, särskilt om dessa är i vitt skiljda delar av landet eller t o m utomlands. Det vanliga är att saker beställs under ett namn och skickas till en adress där det hämtas upp. Dit beställs saker från många olika håll under kort tid. Det är ett förekommande förlopp. Att ett större antal identiteter stjäls och att man sedan beställer med samma leveransadress så att godset kan hämtas.

2)      Fakturera snabbt. Fakturor som inte kommer iväg ger förövaren ett tidsförsprång.

3)      Om du levererar utomlands så blockera de länder du ser som mest riskfyllda. Det bygger lite på från bransch till bransch. Att stänga av leveransautomatiken till högriskländer och lägga in en manuell rutin ökar säkerheten betydligt. Riskerna ökar med större volymer. De flesta amerikanska e-handelsföretag har lagt in spärrar mot länder som exempelvis Rumänien, Ukraina och Nigeria. Även om kortet som används klarar säkerhetskontrollen så expedieras inte ordern om leveransadressen är i högriskområde.

4)      Försök bygg in en funktion som skickar ett epost till kunden vid varje transaktion samt förändring av kontot och den epostadressen skall endast kunna ändras efter skriftlig begäran eller på annat sätt säkras så att förövaren inte kan ändra den i samband med identitetsstölden. Upplys om att bekräftelse sker med epost. Är det ett bedrägeriförsök så försöker de ändra epostadressen eller så avbryts försöket. Därför är det viktigt att de inte kan ändra epostadressen via telefon eller på annat sätt som gör det enkelt att lura offret och företaget. Epost har en klar fördel eftersom det distribueras snabbt och nås av människor även under resa och på andra platser. En skriftlig orderbekräftelse kanske noteras efter fem – sex dagar medan ett epost normalt läses inom fem – sex timmar.

OLIKA INKÖPARE PÅ SAMMA FÖRETAG

Ett offer för identitetsstölder är inte bara enskilda utan stora företag. Jag såg just på TV att någon tagit ut datorer för 300,000 kronor i Skanskas namn. Det är inget unikt. För dig som säljare till stora organisationer kan fundera över hur man skall identifiera enskilda inköpare och beställningar. Internet finns idag i varje kontor. En lösning som är en hybridlösning att integrera webb och telefon genom att skapa en bekräftelse som går i den andra kanalen åter. En telefonorder bekräftas genom att logga in och bekräfta via webbinterface och en webborder bekräftas via fax. Omedelbarhet är ordet. Skriftliga bekräftelser är bra men de tar minst en vecka att komma rätt i organisationen.

Att varje inköpare i en kundorganisation har en egen identitet i ditt säljsystem är att föredra, om det går att administrera effektivt,  därför att det försvårar att göra köp med en icke auktoriserad identitet.   Att konfigurera in skydd mot identitetsstölder är en konkurrensfördel och till gagn för kunden. Det är lätt att se det som ett försvårande moment men motivationen är enkel, du vill helt enkel skydda dem från oauktoriserade köp i deras namn. Det liggeri alla stora organisationers intresse. Om de blir utsatta för identitetsstöld och ditt skydd förhindrar att dina produkter släpps iväg till förövaren, då är det en konkurrensfördel utan att du behöver nämna det. Du har säkrat kundens intressen och det är den relation man som inköpare vill ha.

ATT TA KREDITKORT

När förövaren iscensätta nyttjandet av kreditkorten har de vad de behöver iform av information. En kontroll av räkningsadressens postnummer i samband med köp är ett hinder och minskar antalet kortnummer de kan försöka med men det är inget skydd.  Eftersom de antagligen har tillgång till ett stort antal identiteter kan de välja dem de har alla informationer på. Det enda funktionella skyddet är givetvis att kunden spärrar ett förlorat kort, men eftersom detta sker när kortet finns kvar i kortinnehavarens ägo, så är det som leverantör som tar kort online mycket svårt att skydda sig.

Att bekräfta genom epost eller på annat sätt, t e x SMS, omedelbart varsko kunden och tacka för ordern är ett effektivt motmedlen. Har man inte köpt något ringer man direkt. Det handlar om minuter. Detta i kombination med en rutin att snabbt få hejd på en order och larma den egna säljorganisationen samt kreditkortsföretag.  Kreditkortsföretagen har idag mycket kunskap om hur man skall förebygga stölder av identiteter. Det gör att den som har ett e-handelsprojekt eller på annat sätt vill dra fördel av kreditkort av att ta betalt med kreditkort kan få stöd i de riktlinjer som erhålls från de kreditkortsprocessande företaget, i Sverige ofta banker, och kreditkortsföretagen själva.

 

Kreditkort har en komponent som vi ofta glömmer, det processande företaget, eftersom det i Sverige är en bank oftast. Men i Sverige har bankerna släpat efter och därför har viss ehandel sökt sig till utländska betalningslösningar. Man har fått snabbare tillgång till att hantera kreditkort mot en högre kostnad att dra transaktionen men fördelarna har övervägt nackdelarna.

Priset på clearingteknik har sjunkit kraftigt och det gör att det idag utomlands inte behöver vara en bank längre.  Vi säger ofta att ehandelsplatsen processar kreditkort men det blir lite fel. Kreditkortclearing är den process där det reds ut vad din bank skall ha betalt och vad kundens bank skall betala. Därför vill jag höja ett varningens finger för sk ”offshore” lösningar där kreditkort hanteras över företag som sköter processandet av kreditkortsinformationen i ”offshore” länder, vilket inte behöver vara öar i Karibien utan kan vara Östeuropa. Kreditkortsprocessande som sker utanför Sverige, om det skall ske utanför Sverige, bör läggas i länder som har strikta regelsystem för kreditkortshantering som UK och USA. De som idag annonserar på internet om betalningslösningar kan vara baserade i Europa och USA men kan lika ofta vara enbart agenter och ombud för ”offshore” kreditkortsclearing. All ”offshore” är inte högrisk men det finns tillräckligt mycket av det för att avråda. Risken får dina kunder ta och de vet inte om det eftersom de litar på din lösning.

KONFIGURERING

Detta blir en fråga om  IT säkerhet och problemställningarna känns igen från informationssäkerhetsarbetet. Men det gäller inte bara att skydda kundens informationer för stöld utifrån, utan även inifrån den egna organisationen, samt förhindra att oauktoriserade kan lägga beställningar i systemet och dessa beställningar sedan effektueras.

Vid konfiguering av system för transaktioner, säljstöd och handel är det besparande att ta identitetsstölderna till sig och bygga in funktionerna. Dessa behöver inte aktiveras i t e x en ehandelsplats men kan snabbt aktiveras om behov uppstår. Istället för att ta ner sajten och börja bygga in spärrar, så är dessa redan gjorda, men inte påslagna. Vid inhämtade av kontouppgifter när ett konto ( kundidentitet ) öppnas kan man samla in de informationer som behövs för att att bygga in kontrollpunkter. För att slippa för mycket pappersarbete i samband med kontoöppning, om det sker skriftligt, för en webbaserad tjänst, kan kompletterande uppgifter begäras vid första påloggning och aktivering av tjänsten. Det viktiga är att de finns lagrade under den kommande användningen och att man inte med andvändarid och lösenord kan ändra kontrollfrågorna fortlöpande eftersom då blir de värdelösa.

Jag tar ett exempel. En amerikansk bank byggde in kontrollfrågor som man fick välja ett urval av fyra frågor att svara på, ur flera, och dessa fyra frågor kan man svårligen veta om man stulit identiteten. Det var frågor som ”Vad hette din första flick/pojkvän?”, ”Vad hette din första klassföreståndare?”, som användes när man behövde kontrollera identiteten för en viss form av transaktion. Födelseort finns i passet, förädrarnas namn går att få ut genom Länsstyrelsen och tidigare bostadsorter finns i myndigheternas register, så att välja personliga saker man definitivt kommer ihåg som inte finns tillgängliga i register höjer säkerhetsnivån betydligt. Det är ett exempel.

AVSLUTNING

Stöld av identitet är ett växande problem och ett hot inte bara mot lönsamhet utan även kundernas förtroende för företagets tjänsteleverans. Som privatperson är identitetsstöld både kostsamt, tidsödande, och rent ut sagt svårt, att komma tillrätta med eftersom det är många faktorer och aktörer inblandade innan man får rätt.

Företaget kan genom att engagera kunderna i detta arbete och ha databaser som innehåller kontrollfrågor med av kunden inlagda svar, som är personliga, förhöja skyddsnivån. Genom att begränsa informationsöverflödet stryps förövarens möjligheter av. Ett gott skydd av kundidentiteter, och deras köp, är ett värdefullt kundvårdsarbete och en ren konkurrensfördel.

Att tänka på!

  • Begränsa informationen du släpper ut.
  • Avsluta, och begär bekräftelse, på konton du ej använder.
  • Kontakta kunder via en annan kontaktväg än den som ordern kom med.
    En telefonorder bekräftas med epost, en epostorder bekräftas med fax.
  • Motivera dina kunder att vara behjälpliga och du har en fördel.

·        Var uppmärksam mot leveranser till utlandet.

 

Jan Kallberg

contact@railheadpublishing.com

Ämnen

  • Data, Telekom, IT

Kategorier

  • identitetshantering
  • identitetsstöld
  • it-säkerhet
  • e-handel
  • internet
Railhead Publishing Fyll i din epostadress för att följa Railhead Publishing på Mynewsdesk

När du väljer att skapa ett konto och följa ett nyhetsrum kommer dina personuppgifter behandlas av Mynewsdesk och av ägaren av nyhetsrummet för att du ska kunna motta nyheter och uppdateringar enligt dina bevakningsinställningar.

För att läsa mer om detta, var vänlig läs Mynewsdesks Integritetspolicy som berör vår behandling av dina personuppgifter, och Mynewsdesks Integritetspolicy för Contacts som berör behandlingen av dina personuppgifter från ägaren av nyhetsrummet du följer.

Vänligen notera att Mynewsdesks Användarvillkor gäller alla våra tjänster.

Du kan dra tillbaka ditt samtycke när som helst genom att avregistrera dig eller genom att ta bort ditt konto.
Railhead Publishing Kolla din inkorg

Mejl skickat till __email__. Klicka på länken i mejlet för att följa Railhead Publishing.

Okej