Slik stjal vi Linns identitet
I disse dager kan personopplysninger fra 500 000 nordmenn være på avveie i forbindelse med hackingen av PlayStation Network.
Les mer: Er du sikret mot Sony-tyvene?
Dette er et eksempel på hvordan identitetstyver kan arbeide.
Artikkelen ble første gang publisert 20. november 2010.
Mange av oss lever i en falsk trygghet om at sensitive opplysninger om oss er godt passet på. Faktum er at personopplysningene våre er lettere å få tak i enn noen gang. Nye tjenester på nett gjør det lekende lett å kartlegge livet til intetanende nordmenn.
Hvor mye går det egentlig an å grave opp om en helt vanlig norsk person? Vi bestemte oss for å sette oss i svindlerens sko.
Vi har valgt Linn, en tilfeldig person i vår omgangskrets som vi ikke kjente fra før. Hun har fått vite at vi skal kartlegge henne så godt det går på nettet med offentlige søkeverktøy, og brette det ut i denne reportasjen, et eksperiment hun har sagt seg villig til å være med på.
Og erfaringene våre er skremmende. Undertegnede kan verken hacke eller programmere, men etter bare noen timers arbeid fra Teknofils redaksjonslokaler, vet vi ikke bare mer om Linn enn vi gjør om våre egne venner – vi har også alt vi trenger for å misbruke identiteten hennes.
Slik startet vi
Det eneste vi vet om Linn i utgangspunktet er fornavnet og hvor hun jobber. Først må vi finne det fulle navnet hennes, noe som tar oss sekunder. Et raskt søk på Google.no med fornavnet hennes og arbeidsgiveren gir et treff der vi får opp etternavnet.
Når vi søker med det fulle navnet på Google får vi flere hundre treff på nettsider som omtaler Linn eller er skrevet av henne. Et av de første treffene er for eksempel twitter-siden hennes. Her ser vi at hun er innbitt motstander av pels og dyremishandling, at hun liker sjokolademelk og at hun var i New York i mai. Dette er informasjon Linn neppe har noe imot å dele.
Men det vi ser er at Linn ikke har lyst å oppgi noe sted, i likhet med mange andre, er bursdagen og alderen sin. Det er ingen hindring for oss. Bursdagen til Linn finner vi raskt på den nye tjenesten Birthday.no, som bare krever fornavn og etternavn for å fungere. Hun er i slutten av 20-årene, født i mai og er i stjernetegnet Tyren.
Her får vi også telefonnummeret og adressen hennes.
Så mye tjener Linn
Vi har lyst til å vite hvor mye Linn har i inntekt og formue. Det trengs bare fornavn og etternavn for å få denne informasjonen på Skattelister.no. Vi ser at Linn har vært student de siste årene. I fjor studerte hun i Argentina, og det året hadde hun kun en liten biinntekt på 45 000 kroner i 2009. De to årene før står hun registrert uten inntekt, mens hun i 2006 tjente 30 kroner.
Hun tjener dermed langt fra så godt som den best betalte personen i kommunen på samme alder: Eivind. Han har en inntekt på 1,32 millioner kroner og en solid formue, og han bor heller ikke langt unna Linns gamle barndomshjem, ser vi på kartet.
For de fleste er det umulig å komme seg unna skattelistene, men det finnes faktisk smutthull:
Slik skjuler du deg fra skattelistene
Her bor Linn
Hvordan bor Linn? Vi vet allerede adressen hennes og da kan vi besøke Google Maps for å kikke oss rundt. Takket være den nye gatevisningen kan vi vandre i nabolaget og studere huset hennes fra alle vinkler, diskret og usynlig fra vår egen pc.
Zoom-funksjonen gjør det mulig å gå helt inn til huset og se inn vinduet hennes. Her ser vi at det henger en hvit skjorte til tørk, og står en vase i vinduskarmen. Bildene oppdateres jevnlig av gatebilen til Google som kjører rundt i de største norske byene, og dagens bilder er tatt i 2010.
Vi har også lyst til å vite hvem hun bor med. Ved å taste inn adressen på Gulesider.no får vi opp navnet på de 14 naboene og romkameratene. Ut fra dette kan vi søke opp kontaktinfo og bilder av hver enkelt.
(Egentlig har vi gått litt tungvint frem når vi har funnet Linns bosted, adresse og inntekt. Mye av denne informasjonen kan vi søke opp samtidig med tjenester som pipl.com og iam.no.)
Dette er familien til Linn
Nå vil vi vite mer om hvordan Linns privatliv er. Neste stoppested blir da Facebook. I likhet med 2,4 millioner andre nordmenn har Linn en profil på nettsamfunnet.
Siden hun bruker standardinnstillingene og ikke har gjort noen endringer, får vi se alle profilbildene hennes i full størrelse. Vi får blant annet se henne hjemme og på fest. På flere bilder er hun sammen med andre. Vi kan se hvordan søstrene hennes ser ut, og hva de heter. Vi får også se private bilder fra sydenturer med venninnene.
Facebook gir oss også full oversikt over alle personene Linn kjenner. Vi ser blant annet at hun er kjent med Willochs barnebarn og redaktøren for en av de store norske nettavisene. Hvem hun er i familie med kan vi resonnere oss frem til ved å søke i vennelisten etter etternavnet.
Les også: Slik beskytter du Facebook-profilen din
Linns personnummer
Du synes kanskje vi har funnet mye ut til nå? Virkelig skremmende ble det når vi bestemte oss for å finne personnummeret til Linn. Metoden er kjent, og det tok oss ikke mer enn 15 minutter å fastslå og få bekreftet de 11 sifrene i personnummeret hennes.
– Ja, nummeret stemmer, sier en lettere sjokkert Linn.
Nå har vi alt vi trenger for å utnytte Linns kredittverdighet og gjøre livet hennes surt. En rekke private selskaper og offentlige etater nøyer seg nemlig med personnummeret for å gjøre bestillinger og endringer.
Vi har under eksperimentet klart å bestille et mobilabonnement i Linns navn. Vi har også testet at det er fullt mulig å bestille fødselsattesten hennes med bare personnummeret og navnet hennes. Denne sendes i en urekommandert konvolutt til den folkeregistrerte adressen hennes, og kan plukkes opp fra en ulåst postkasse.
Vi kan også gjøre mye større skade enn dette om vi ønsker.
Tidligere var det mulig å skifte adresse og overføre penger fra banken kun ved personnummer, men disse hullene begynner nå å bli tettet.
Vi kan imidlertid søke om et kredittkort på hennes navn og personnummer, og snappe det opp når det ankommer postkassen hennes. Siden kan vi bestille varer på dette kortet til postkontoret og få leveringsbekreftelsen på SMS til et telefonnummer vi disponerer. Slik kan vi plukke opp pakker og tømme kortet på hennes regning.
Se hvordan Linn reagerte når vi viste henne hva vi hadde funnet ut om henne:
– Dette er jo helt vilt!
Så lenge vi er påpasselige med å også plukke opp varslingen om at Linn er kredittsjekket vil hun ikke ikke merke noen ting før det er for sent.
Det er heller ikke noe problem å bytte fastlegen hennes eller endre innstillingene for reklame hos Brønnøysundregisteret så lenge vi har personnummeret.
Ingen kjapp løsning
Hva kan så Linn gjøre med dette?
– Det er lite hun kan gjøre. Det er selskapene og det offentlige som i hovedsak må endre rutinene sine, forteller prosjektleder ved Norsk Senter for Informasjonssikring, Peggy Sandbekken Heie, til Teknofil.
Hun jobber sammen med Datatilsynet i et eget prosjekt mot ID-tyveri, som ble startet høsten 2007. Prosjektdeltakerne består av flere store offentlige og private aktører. Dette prosjektet vil sette en stopper for slepphendte aktører, som ikke bare bruker personnummeret til å finne personer i registrene sine (identifisering), men også til å godkjenne dem (autentisering). Det gjør det lett for svindlerne å utnytte kunnskapen sin.
Noen generelle tips har imidlertid Heie.
– Hun bør ha lås på postkassa, og benytte de sikkerhetsinnstillingene som finnes på nettsteder, for eksempel i Facebook. I dagens elektroniske samfunn må man være en bevisst bruker, slik at ansvaret som ligger på deg som privatperson er å holde deg oppdatert med hva som finnes av sikkerhetsinnstillinger.
Om du først blir frastjålet identiteten, er sannsynligheten for at du vil oppdage en slik svindel med det første liten.
– Du kan følge med på om du får gjenpartsbrev fra et kredittopplysningsbyrå i posten. Men dette vil du sannsynligvis bare motta om svindleren er uerfaren og tabber seg ut. Det finnes et profesjonelt miljø som stjeler og selger personopplysninger, og det kan gå flere år fra opplysningene er innsamlet/stjålet til de misbrukes, forteller Heie.
Les også: 5 tegn på at du blir ID-svindlet
Når svindelen først er avdekket, er det dessuten en tung jobb å rydde opp. Om noen bestiller varer med navn og personnummer er det nemlig du selv som må rydde opp og bevise at du ikke har motatt varene.
– Bevisbyrden er i dag omvendt og faller på offeret. Dette jobber vi med å endre, slik at det er selskapet som må bevise at det er du som har hentet pakken, sier Heie.
Alle nordmenn vil oppleve ID-tyveri
Dette er noe vi alle må være forberedt på.
- Det eksisterer ingen konkrete tall på hvor mange nordmenn som rammes av identitetstyveri hvert år. Det vi vet, er at om utviklingen forsetter slik det ser ut i dag, vil hver enkelt nordmann måtte regne med å bli utsatt for denne typen tyveri flere ganger i løpet av livet, sier senioringeniør Atle Årnes i Datatilsynet, ifølge pressemelding.
Selv om du vet at personnummeret ditt er kommet i feil hender, kan du ikke endre det. Personnummert blir tildelt deg ved fødsel, og kan ikke skiftes. Det betyr at nummeret vi nå sitter på kan brukes til å svindle Linn eller misbruke identiteten hennes for all fremtid.
Det eneste hun kan gjøre er å kontakte de tre store kredittvurderingsselskapene og be dem sperre personnummeret hennes for kreditt. Da må hun imidlertid ta kontakt og åpne nummeret igjen hver gang hun skal søke om tjenester som mobilabonnement eller lån.
Vil du ha kontrollen tilbake?
Det finnes mye du kan gjøre for å være tryggere mot ID-tyveri og svindel.
- 5 tegn på at du blir ID-svindlet
- 10 Facebook-tips som gir deg mer kontroll
- Aldri surf på åpne trådløse nett
- Slik skjuler du deg fra skattelistene
- Slik avslører du svindel på nett
Blir det publisert uønskede opplysninger om deg på nett kan du bruke tjenesten Slettmeg.no.
Dette har vi holdt tilbake
Mye av informasjonen vi har avdekket har vi måttet holde tilbake av hensyn til Linns personvern og sikkerhet. Vi har ikke oppgitt det fulle navnet hennes eller hvor hun jobber. Vi kan ikke oppgi de fulle navnene til de hun kjenner, for det ville gjøre det enkelt å finne hennes fulle navn over Facebook. Vi har også strøket ut alle adresser og ansikter fra skjermbildene vi har tatt.
