Bedragare får anställda i Öst att köpa presentkort och mejla koderna

Polisen i region Öst uppger att man under de senaste två veckorna fått in omkring 20 anmälningar om en bedrägerimetod som gör presentkort till en snabb och svåråterkallelig betalningskanal. Enligt Dagens Nyheter kontaktas offren via e-post som ser ut att komma från en chef, kollega eller föreningsledare. De uppmanas att köpa flera presentkort och skicka tillbaka koderna i ett svarsmail – och får uttryckligen order om att inte ringa.

Metoden fungerar eftersom presentkort hamnar i en gråzon mellan reglering och handel: de säljs som ofarliga butiksköp, men fungerar som digitala kontanter så fort koden avslöjas. Offrets bank ser ett vanligt kortköp i en livsmedelsbutik eller hemelektronikkedja; butiken ser en legitim försäljning; och utgivaren ser en inlösen av kod som kan göras omedelbart och ofta från utlandet. Den kedjan av ”inte mitt problem”-beslut är, som polisen konstaterar i sin varning, det som gör brottet svårt att utreda. Även när offret förstår snabbt finns i regel ingen återföringsmekanism som vid kortbedrägerier, eftersom köpet varit godkänt och värdet redan har omvandlats.

Det som gör upplägget skalbart är att det inte kräver skadliga program eller övertagande av konton. Angriparna behöver bara trovärdig tillgång till e-postidentiteter – ibland genom förfalskade avsändare, ibland genom att ta sig in i en inkorg, ibland genom att samla adresser från öppna webbplatser och tidigare dataläckor. Instruktionen att hålla allt i e-post tar bort den billigaste äkthetskontroll de flesta organisationer fortfarande har: ett telefonsamtal till ett nummer man redan känner till. I praktiken utnyttjar bedrägeriet hierarkier på arbetsplatsen och den sociala kostnaden i att säga nej till en ”brådskande” begäran.

Även säljarnas drivkrafter är enkla. Presentkort är produkter med god förtjänst, de minskar returer och flyttar ”svinnet” av outnyttjade saldon till vinst. Kassapersonal är inte tränad att förhöra en kund som köper flera kort, och även när man försöker kan kunden hävda att det är till gåvor eller en insamling. Bedrägeriet blir därmed en förutsägbar bieffekt av ett betalningsmedel som utformats för att vara friktionsfritt för hederliga konsumenter.

Polisens råd är lika lågmält som effektivt: kontrollera begäran självständigt genom att ringa den påstådda avsändaren på ett nummer du själv tar reda på, inte ett som står i e-postmeddelandet. Att avståndet är så stort mellan betalningssystemens tekniska förfining och motåtgärdens enkelhet är i sig talande.

I de fall polisen beskriver är den avgörande punkten inte själva köpet utan att koderna skickas. När siffrorna lämnar offrets inkorg blir ”presenten” en överföring – utan banköverföringens spärrar, kvitton eller möjlighet att ångra.