I dagarna släppte FBI (IC3) sin årliga rapport över hur internetrelaterade brott som anmälts till dem sett ut.
Deras rapporter som jag följt under många år är väldigt intressant ur flera aspekter, trots att den inte specifikt behandlar Sverige eller svenska kriminella eller brottsoffer.
För min utgångspunkt är att den ganska bra speglar trender och ger en generell bild över hur det ser ut därute.
Och i mina ögon bör vägas som komplement till vår egen brottsstatistik (Polisen/BRÅ), som måhända är specifik för Sverige, men i alltför många fall helt uppåt väggarna med ihopklumpanden av många olika typer av brott, samtidigt som man snuttifierar lågfrekventa bedrägerier i flertalet olika ”nyanser”.
Det har lett till att svensk polis som tar emot en anmälan för ett internetrelaterat bedrägeri, sedan ett par år tillbaka behöver kategorisera brottet bland 54 olika brottskoder!
Bland annat är det olika kategorier om ett investeringsbedrägeri har ett brottsoffer som är äldre/funktionsnedsatt eller inte eller om brottet anses ha skett i Sverige eller utanför Sveriges gränser (ifall det senare så läggs anmälan ner utan åtgärd, då svensk polis by default inte utreder någonting som pekar på utlandet).
Så därför anser jag att FBI (IC3)-rapporten ger mycket intressant information, så vad berättar den då?
Ja, jag tänker faktiskt börja med att visa vad förra års rapport berättade, för den gav mig då insikten om att häften av kriminellas brottsvinster kom från e-postrelaterade bedrägerier – alltså i motsats till webbsiderelaterade bedrägerier.
Vad jag menar med det är alltså att e-postadressen i sig är brottsverktyget (alltså en falsk, spoofad eller felstavad domän är anledningen till att brottsoffret förleds)
När det handlar om webbsiderelaterade bedrägerier så handlar det dels om att att URL:en innehåller felstavad domän eller att adressen är manipulerad, eller att webbsideinnehållet är hackat, skadligt eller falskt och förledande.
Min poäng är att den mesta brottsbekämpning och eller brottsofferprevention som sker är inriktad mot gamla sanningar, som idag ofta hunnit bli rena och skära björntjänster med exempel som att ”konsumenter kan känna sig trygga om en sida använder https://” när verkligheten är att phishingsidor under Q4 2020 i 84% av fallen också använde https://
Ref: https://docs.apwg.org/reports/apwg_trends_report_q4_2020.pdf (sid. 11)
Ett annat exempel är att ”konsumenter kan känna sig trygga med att använda betalningssidor som anger 3D Secure” (vilket innebär att dessa sidor kräver 2-faktorsautensifiering av någon typ, vanligen så behöver du godkänna köpet genom BankID)
Det finns dock ett uppenbart och gigantiskt problem med detta påstående:
Det finns inte något sätt för konsumenten att veta om bilden eller texten bara är en ”lånad bild” eller om betalningsformuläret där du skrivit in dina och kortets alla uppgifter verkligen är anslutet till 3D Secure eller överhuvudtaget till en betalningstjänst.
Vad jag säger är att det inte på förhand går att vara säker på ifall det handlar om ett vanligt e-postformulär som skickar alla dina personliga och kortuppgifter till bedragare, kanske samtidigt som du får ett felmeddelande på sidan.
Detta ”VET” du först efter att du tryckt på ”skicka-knappen”, för det är först då som du märker om den förväntade 3D Secure-funktionen ska sätta igång.
Nu till 2019 års statistik över vilka brott som dragit in mest pengar
Fördelning av brottsvinster mellan olika typer av brott 2019
BEC/EAC står för Business Email Compromise/Email Account Compromise och översätts i dagligt tal i Sverige till VD-bedrägerier.
Spoofing kan endera handla om förvanskade E-post- Telefonsamtal- eller SMS-avsändare som förleder brottsoffret.
Detta är dock lite lynnigt, då mycket snarlika kontakter kan ha skett inom kategorin som FBI kallar Phishing/Vishing/Smishing/Pharming.
Det intressanta efter att jag under årens lopp fått god insikt i en lång rad av ”Förtroende- och Romansbedrägerier” dvs kategorin Confidence Fraud/Romance är att dessa i allra flesta fall använder förfalskade e-postavsändare som en bedrägeriförstärkare, dessutom brukar dessa utge sig för att vara myndighetsperson, vilket skulle kunna falla under Government Impersonation och kanske även under Identity Theft och eller eller när meddelanden använder myndighetssigill mm kunna hamna som IPR/Copyright/Counterfeit
Man behöver alltså vara medveten om att ovan siffror och kategorier kan vara felplacerad beroende på anmälningsmottagarens kunskaper, men det gäller såväl för IC3 som andra poliser eller brottsbekämpare.
Men oavsett så står här e-postrelaterade bedrägerier för hälften av brottsvinsten 2019.
Så hur förändrades den fördelningen under 2020 då?
Ja, ganska lite är jag rädd.
BEC ökar med 100 miljoner dollar, Romansbedrägerier upp 125 miljoner och Spoofing går ner med ca 85 miljoner dollar och Phishing går ner med 3 miljoner. Dvs brottsvinsterna ökar och fördelas lite olika mot 2019, men sett till e-post (och URL-manipulation) så är fördelningen nära på lika som året innan.
Den viktiga skillnaden som dessvärre drabbar det svenska rättsväsendet.
Jag konstaterar:
Svensk polis utreder (ibland) de brott som anmäls till dem!
Jag har sedan 2012 föreläst och försökt få myndigheter att förstå att antalet anmälningar till Polisen ABSOLUT INTE speglar brottsligheten som sker, eller för vilka brott de kriminella får in sina brottsvinster. Och det är samma sak här hos IC3.
Om du tittar igen på den förra bilden och där i den vänstra kolumnen längst ner, så hittar du kategorin Phishing/Vishing/Smishing/Pharming på 18:e plats.
Du kan alltså här jämföra de 54 miljonerna dollar för phishing, med de 1,8 miljarder dollar för BEC – right!?
Men vad är det som anmälts under 2020?
Jo, det som mer än fördubblats mot året innan är just Phishing/Vishing/Smishing/Pharming som alltså är den brottskategori som helt utan konkurrens anmälts mest under 2020, men jag upprepar – alltså endast kommer på plats 18 när det kommer till brottsvinster/förluster för de som drabbats av brotten.
Så för de 5 kategorier som ANMÄLTS mest till IC3, så hamnar Phishing alltså på 18:e plats när det kommer till förlust/brottsvinst, och samtidigt har den kategorin också mer än dubbelt så många anmälningar som nästa kategori ”Non-Payment” som hamnar på plats 4 i listan ovan (förlust), Extortion (utpressning) anmäldes som nummer 3, men hamnar på plats 15 i brottsförluster, Personal Data Breach 4 nedan och plats 8 (förlust) ovan och slutligen Identity theft 5:e plats nedan och även plats 5 ovan.
Fruktansvärda konsekvenser
Om vi tittar på antalet anmälningar som IC3 tagit emot och helt skamligt skulle tänka tanken att det kanske på ett ungefär skulle motsvara anmälningsfördelningen för vad svensk polis tar emot.
Så har jag sorterat anmälningarna i fallande ordning och även färglagt med rosa där bedragare vanligtvis hittas utanför Sveriges gränser (eller där svenskar riggat hemsidor och bolag i utlandet), resultatet blir detsamma – ärendena läggs ner utan åtgärd, De gula markeringarna är däremot brottstyper där förövarna vanligtvis hittas i Sverige (eller i stor utsträckning).
Jag gissar även att kategorin Misrepresentation motsvarar det som vi i Sverige kallar för ”Kreditbedrägerier” som innebär att bedragare utger sig för att representera ett legitimt företag och handlar på kredit/faktura i bolagets namn från annat bolag.
Bedragaren får produkterna och det ”kapade” bolaget får fakturan.
Detta är i Sverige ett GIGANTISKT problem, men som allra allra flesta fall aldrig kommer till Polismyndighetens eller BRÅs kännedom och alltså inte syns i någon statistik (mer än just en skärva av sanningen), då det inte anmäls utan ”göms och glöms” av det drabbade företaget.
Så vid sidan av den enorma momsbedrägerierna mot staten som uppdagats (och som jag har mycket god insikt i) så har vi företagens absolut största problem med Kreditbedrägerier som mycket sällan anmäls till Polisen.
Företagen som enligt Brittiska officiella studier står för 74% av brottsförlusterna (2019)
Polisen å andra sidan kan inte utreda de allra flesta brott som anmäls, då de skett utomlands..där svensk polis inte befogenhet att verka (utan rättshjälpsbegäran).
Jag inser att jag i denna postning kan uppfattas som sarkastisk och kanske till och med kritisk mot svensk polis och andra myndigheter.
Jag är kan tillstå en smula sarkasm efter att jag i 10-15 års tid föreläst för och samverkat med nämnda myndigheter och inte skönjer förbättringar, men jag är däremot inte kritisk mot poliser eller andra myndighetsanställda, som bara sköter sitt uppdrag efter de förutsättningar de har att tillgå.
Vad jag däremot uppfattar som ett kritiskt problem är att politiker och beslutsfattare sällan får en neutral pragmatisk bild av hur det verkligen ser ut därute, som att 60% av alla handlagda bedrägerier (av de som väl anmäls) direktavskrivs (läggs ner utan åtgärd) och endast 6% personuppklaras och att anledningen till den siffran inte alls eller iaf inte enbart kan ledas till resursbrister.
Ska det verkligen behöva gå så långt som att bedrägerier av allmänheten ska uppfattas som avkriminaliserat.
Jag vet inte, men det känns som att det börjar blåsa upp åt det hållet..
Jag som skriver på internetsweden.se, gör det ideellt och för att upplysa dig om verksamheter som JAG anser att det finns skäl att ifrågasätta och/eller varna för..
Innehållet kan även vara mer generellt om olika tillvägagångssätt, som bedragare använder och det händer även att jag tipsar om utbildning/kunskap som finns att få.
Det är möjligt att anlita mig för konsultuppdrag genom Fidi.se
Peter Forsman – Mottagare av ”Stora Kreditpriset 2018”
Läs mer om:
https://www.internetsweden.se/las-mer-om-internet-sweden/