08-07-2021

Er du bange for at overføre penge til en forkert konto i netbank?

Netbank er muligvis den mest udbredte slags hjemmeside, som danskerne overhovedet benytter. 

I 2019 benyttede hele 88 procent af den danske befolkning mellem 16 og 89 år sig af netbank på pc eller Mac, eller mobilbank på smartphones og tablets.

Det er en frivillig sag, om man vil benytte netbank eller ej. Der kan være forskellige grunde til at afstå fra at have netbank:

• Nogle stoler ikke på sikkerheden og mener, at hackere kan trænge ind i netbanken og stjæle deres opsparing – og måske endda optage lån i deres navn.
  
  
• Andre vil ikke have deres køb registreret via banken og foretrækker derfor kontantbetaling.
  
  
• I 2020/21, hvor vi havde langvarige coronanedlukninger, måtte borgere, der ellers ikke havde noget ønske om at købe ind online overgive sig, for visse varer kunne simpelthen ikke købes i fysiske butikker pga. coronalukningen. Borgerne begyndte derfor at bestille varer online.
  
  
• Fra 1. januar 2021 blev kravet til beskyttelse ved onlinehandel skærpet, så onlinebetaling nu foregår ved en betydelig mere sikker metode – totrinsbekræftelse. Denne metode kræver for nogle bankers vedkommende, at du har netbank – dog ikke Nordea. Læs mere om den her.
  
  
• Hvor hyppigt sker netbankstyveri egentligt?
  Der skete knap 1.500 netbanksindbrud i 2019 til en samlet værdi af ca. 52 millioner kr.
  
  Til sammenligning var der 82.525 anmeldte indbrud i boliger samt tyverier i Danmark til en samlet værdi af ca. 917 millioner kr. – i 2020 ifølge forsikringsselskaberne.

• Hvis der er posteringer på kontoudtoget fra banken i netbanken, som du ikke kan genkende, kan du som privatkunde gøre indsigelse over for banken og få erstattet dine penge. Det gør bankerne bl.a. for at sikre tilliden til betalingskort.
  
  
• Onlinebutikker kan derimod ikke få erstatning af bankerne, hvis de modtager betaling med forfalskede betalingskort. De må selv betale for en forsikring. Den ny totrinsbekræftelse fra 1. januar 2021 gør det betydeligt billigere for de erhvervsdrivende at sikre sig. Det betyder også billigere varer købt online, fordi du ikke skal betale overpris for dine varer pga. de op til 5 procent, som butikken kunne blive nødt til at lægge oven i prisen, som følge af mistede indtægter ved salg af varer betalt med falske kreditkort, hvor kortejeren gør indsigelse og får refunderet sine penge fra butikken.

Som IT-supporter har jeg selv mødt flere personer, der ikke vil have netbank. En grund kan være, at de simpelthen er bange for, at hackere stjæler deres penge. Som det fremgår ovenfor, er privatkunder godt sikrede alligevel. Som man også kan se herover, udgør netbanksindbrud knap 2 procent af alle indbrud og tyverier og udgør i værdi 5,7 procent af den samlede anmeldte tyverisum i Danmark.

Hvordan foregår netbankstyverier i praksis i 2021?

I de seneste år har de IT-kriminelle ændret praksis. De har fundet en smart fidus. De bilder godtroende danskere ind, at de er fra banken, Nets, Microsoft, politiet, Datatilsynet eller lignende og forklarer, at borgeren er ved at blive bestjålet i netbank, og at de kan hjælpe. Men i stedet for hjælp tømmer de selv ofrenes konti.

Og det sker i stadigt flere tilfælde og med stadigt større tab til følge.

”Det er meget beklageligt, at de kriminelle har held til at begå denne slags kriminalitet. Det kan kun lade sig gøre, fordi der stadig er danskere, der oplyser deres personlige koder til andre. Derfor er det vigtigt for mig at gentage det enkle budskab: Hvis du bliver bedt om at oplyse personlige koder som koder fra dit NemID nøglekort, så er det svindel. Det er kun kriminelle, der beder om den slags”, siger digitaliseringsdirektør i Finans Danmark Michael Busk-Jepsen.

Et eksempel på at få penge fra min netbank

Jeg har selv oplevet at blive ringet op fra Storbritannien af en kvinde fra et callcenter, der fortalte mig, at jeg havde flere tusinde britiske pund til gode hos et britisk firma. De ville gerne udbetale dem til mig, men kun i form af bitcoin.

Kvinden guidede mig så via fjernsupport i løbet af en time gennem en procedure for at få oprettet forskellige brugerkonti hos flere tjenester på nettet, som jeg aldrig havde hørt om før. Hun var utålmodig og ville ikke give mig tid til at undersøge sagerne nærmere og meget fåmælt med forklaringer om, hvad der egentligt skete undervejs og til hvilket formål de skete.

Hun krævede, at pengene skulle overføres til min netbankskonto via min Nordea-konto. For at bevise hvem jeg var, skulle jeg fremvise helt nye breve fra utilities (regninger for vand, varme, el, husleje m.m.), hvor mit navn og adresse stod på. De måtte ikke være end et par dage gammel. Det kunne jeg selvfølgelig ikke, for mine breve var flere uger gamle, og desuden alle sammen digital post, hvilket ikke blev accepteret. Hvem har helt nye regninger midt på måneden på papir?

Jeg meddelte, at det kunne jeg ikke klare, idet jeg havde kun de nyeste breve i min netbank. Det betød, at kvinden bad mig logge på min netbank, hvor de nyeste tal og også min nuværende saldo kunne ses. Jeg loggede på, så hun kunne se dem. Derefter skete der meget hurtigt det, at hun selv flyttede flere tusinde kroner fra en af mine konto til min NemKonto, så der stod et større beløb der end før.

Nu ville hun have et fotografi taget med min smartphone, hvor både jeg selv og mit VISA/Dankort var helt tydelige, og billeder af begge sider af kortet skulle uploades til hende – også den 3-cifrede kode på bagsiden. Hun ville også have et foto af mit pas’ billedside. Hun sagde at det var nødvendigt af legitimationsgrunde for, at hun kunne oprette en brugerkonto hos en betalingstjeneste for mig, så pengene kunne overføres til mig.

Her var jeg blevet så nervøs, at jeg ikke ville være med mere. Alle alarmklokker i mig bimlede og bamlede. Det var alt sammen et så lysende klart tilfælde på svindel, hvor stort set alle mine indestående penge i banken åbenbart skulle overføres til udlandet. Her afbrød jeg så forbindelsen.

Som det fremgår herover, sker indbrud i netbanken ikke uden din inddragelse – det er rigtigt svært for nogen hacker eller IT-kriminel at gøre. Det sker ved, at du selv overtales til at udlevere dine oplysninger såsom NemID-login-oplysninger og nøglekort eller selv giver adgang til netbanken. På engelsk kaldes fænomenet social engineering – eller på mere mundret dansk: bondefangeri eller tricktyveri.

Personen fra callcentret vil ofte præsentere sig selv og det firma, hun ringer fra, meget hurtigt, så du ikke kan få fat på alle ordene. Bliv ved med at spørge hende, indtil du har fået helt fat på det. Du kan bede hende om at stave sit navn og firmanavn for dig, hvis det er uforståeligt for dig, og skriv det så ned.

I stedet for at blive ført gennem en lang proces, hvor du afkræves at tage stilling til tilbuddet meget hurtigt, så bed om at få tilsendt materiale om det hele per e-mail, så du i ro og mag kan undersøge og tage stilling til tilbuddet. Det vil ethvert ordentligt firma gøre. Hvis de ikke vil eller kan gøre det, så vær meget forsigtig med at gå ind på hendes ønsker.

Hvis du modtager noget skriftligt materiale per e-mail fra hende, så tal med en anden person om det – også selv der bliver sagt, at dette tilbud er fortroligt, og at du ikke må tale med nogen om det. Personen i callcentret vil presse dig, så du ikke har tid til at undersøge tingene, der bliver sagt.

Hvis hun ikke går med på dette, vil hun måske spørge dig om din e-mailadresse, og om hun må give den videre. Gør det ikke, for hun vil blot give den videre til et andet firma, der vil tilbyde dig noget tilsvarende på en lidt anden måde.

Er du bange for at skrive kontonummeret forkert ved en bankoverførsel?

Jeg har flere gange hørt som begrundelse for ikke at have netbank, at personen er bange for at skrive kontonummeret for en anden person forkert, når der skal overføres penge – for så vil pengene jo gå ind på en helt forkert persons konto – og kan man overhovedet få disse penge tilbage?

Der gør sig noget tilsvarende gældende ved betaling af indbetalingskort (girokort), hvor der også skal indtastes et par længere tal.

Jeg kan her meddele frygtsomme bankkunder, at banken faktisk gør det meget svært at overføre penge til en forkert konto. Det er dog ikke sådan, at netbanken viser navnet på den privatperson, du vil overføre penge til, hvilket ville være en bekræftelse af, at det er den rigtige person.

Det er dog normen ved overførsler med MobilePay-appen. Ved bankoverførsler derimod benyttes derimod en anden metode, som du måske aldrig har hørt om før – eller måske har du: de indtastede tal skal opfylde en såkaldt modulo 11-test (også kaldet modulus 11-test) for at være gyldige. Det kan lyde kryptisk, men modulo 11-testen sikrer nogle ting:

• Hvis du skriver et eller flere cifre forkert, vil du få det at vide.
  
  
• Hvis du ombytter to cifre, vil du få at vide, at du har skrevet forkert.
  
  
• Det er meget svært ved en fejl at skrive et andet bankkontonummer, som opfylder modulo 11-testen – tallet skal være så forskellig fra det, du prøver at indtaste, at du selv kan få øje på. Husk at tjekke nummeret en ekstra gang.
  
  
• Skulle du endeligt skrive en helt forkert bankkonto, som alligevel opfylder modulo 11-testen, vil du højst sandsynligt få en fejlmelding om, at pengene ikke kan overføres, fordi der ikke findes en bankkonto med det nummer.
  
  
• Det er kun, hvis du kommer til at indtaste en anden persons bankkontonummer – et der tilhører en anden af dig kendt person – at det kan lykkes at overføre pengene. Og her kan du ofte få pengene tilbage fra denne.

Modulo 11-testen benyttes også ved indtastning af de lange numre til giroindbetalingskort. Du får altså at vide, om de er rigtige eller ej. I tilfældet med indbetalingskort får du ofte også at vide, hvilken virksomhed du overfører penge til.

Modulo 11-testen benyttes også ved indtastning af CPR-numre. Det er således rigtigt svært at skrive et urigtigt CPR-nr. I 1999 frygtede myndighederne, at der ikke ville være CPR-numre nok til de såkaldte milleniumbørn, som håbefulde vordende forældre planlagde skulle fødes den 1. januar 2000. Der kan højst udstedes ca. 540 nye CPR-numre om dagen. Der blev dog i realiteten ikke født flere børn den dag, end der var ledige CPR-numre, da der blot er registreret 330 fødsler denne dato. Men her skal man være opmærksom på, at myndighederne registrerer udlændinge i Danmark med ukendt fødselsdato som født den 1. januar. Til sammenligning blev der født 148 børn dagen før.

Hvordan virker modulo 11-testen i grunden?

Modulo 11-testen kan lyde som noget meget krævende at forstå. I gymnasiet lærer eleverne om modulo-operatoren, men for selv at foretage testen behøves kun almindelige, enkle regnefærdigheder fra folkeskolen.

Opbygning og udregning af personnumre

Personnummeret består af den 6-cifrede fødselsdag og et 4-cifret løbenummer til sidst. Både det første og det sidste ciffer i løbenummeret er kontrolcifre. Det første kontrolciffer fortæller århundredet efter et sindrigt system – se tabellen længere nede på siden.

Hvis det er under fire, er det helt sikkert fra dette århundrede. Mellem fem og otte er det enten fra forrige eller fra næste århundrede - men ikke fra årene 37-57. Tallene fire og ni er fra nu- eller fremtid, med bedst plads til nutiden. Det tiende ciffer beregnes ud fra de ni andre.

Beregning af CPR-kontrolcifre

Personnumrene beregnes som tidligere nævnt efter et princip, der hedder modulo 11. Det særlige kontroltal 432765432 bruges sammen med 11-tallet til at beregne det sidste ciffer i løbenummeret med. Det sikrer, at en enkelt skrivefejl i et nummer, eller et hurtigt opdigtet nummer, bliver afvist. Hvert enkelt ciffer af personnummerets ni første cifre ganges med hvert af cifrene i 432765432, deles med 11 – og derpå trækkes 11 fra menten.

Som eksempel kan benyttes en ældre dame, der er født den 11. november 1911. Personnummeret starter derfor med 111111. De første tre cifre i det fiktive løbenummer kunne være 111 – og det sidste kontrolciffer skal så beregnes ud fra fødselsdatoen og de tre første cifre af løbenummeret. De første ni cifre fører til det tiende:

De lodrette gangestykker starter med 1 x 4 = 4 og så videre. Det sammenlagte resultat fra de ni gangestykker er 36, der så forsøges delt med konstanten 11. 36 viser sig at kunne deles med 11 tre gange med 3 som rest. Kun denne rest på 3 er interessant og trækkes nu fra konstanten 11. Resultatet er 8, som er dette CPR-nummers kontrolciffer, der anbringes til sidst i CPR-nummeret. Det fulde personnummer bliver derfor 111111-1118.

Hvis "resten" var blevet 1 kan nummeret ikke beregnes, så et af de sidste tre cifre i løbenummeret skulle ændres for at danne et gyldigt nummer. Et 0 som rest giver også 0 som kontrolciffer.

Denne udregning foretages af ethvert stykke software, der modtager CPR-numre. Det er derfor muligt at "liste" et forkert nummer igennem til systemer, der ikke har krav på det ægte CPR-nummer, men alligevel forlanger det. De offentlige registre kan krydstjekke med deres egne optegnelser – men en onlinebutik må nøjes med denne beregning, og de accepterer ethvert korrekt konstrueret nummer uden at brokke sig.

Det første kontrolciffer bestemmes af århundredet:

Kontrolciffer og fødselsår       Århundrede

0-00...               ...0-99               1900 - 1999
1-00...               ...1-99               1900 - 1999
2-00...               ...2-99               1900 - 1999
3-00...               ...3-99               1900 - 1999
4-00...               ...4-36               2000 - 2036
4-37...               ...4-99               1937 - 1999
5-00...               ...5-36               2000 - 2036
5-37...               ...5-57               benyttes ikke
5-58...               ...5-99               1858 - 1899
6-00...               ...6-36               2000 - 2036
6-37...               ...6-57               benyttes ikke
6-58...               ...6-99               1858 - 1899
7-00...               ...7-36               2000 - 2036
7-37...               ...7-57               benyttes ikke
7-58...               ...7-99               1858 - 1899
8-00...               ...8-36               2000 - 2036
8-37...               ...8-57               benyttes ikke
8-58...               ...8-99               1858 - 1899
9-00...               ...9-36               2000 - 2036
9-37...               ...9-99               1937 - 1999

Eksempel: En dame født 11. november 1911 har løbenummeret 1118. Første ciffer i løbenummeret er kontrolciffer her og skal sammen med årstallet ses som 1-11. Hun skal derfor findes inden for rækkefølgen i skemaets 2. linje:

1-00...               ...1-99               1900 - 1999

Og så kan det ses, at nummeret er korrekt placeret ved 1900-tallet.

Se mere om CPR-nummerets opbygning her.

Den gamle dame i Gjern

Det er ikke kun her det nemme CPR-nummer 111111-1118 bliver brugt som eksempel. Nummeret har faktisk eksisteret og tilhørte en ældre dame i Gjern. Hun væltede faktisk Gjern Kommunes budgetter nogle år, fordi andre havde anvendt dette nemme CPR-nummer. En del kommuner havde brugt nummeret, når de ikke lige havde fået fat i CPR-nummeret fra en foredragsholder, og mange andre havde også anvendt det.

Et større valutaspekulationsfirma havde således brugt nummeret til at postere alle udenlandske kunder under, så de kunne passes ind i kartotekerne. Desværre kom firmaet til at indberette det opdigtede CPR-nr. med de store indtægter til Skat.

Skat troede, at den gamle dame fra Gjern var blevet mangemillionær, og Gjern Kommune glædede sig og justerede budgetterne. Ingen spurgte den gamle kone, som faktisk var død og kun blev holdt i live i registrene. Det var rent sjusk og ingen havde gjort noget ulovligt, men skatteyderne i Gjern fik forhøjet trækprocenten i årene efter.

Lignende episoder har udløst retningslinjer for sådanne erstatningspersonnumre, der bevidst skal være opbygget ved en alternativ metode.

Er kontrolcifrene fra CPR-nummeret blevet fjernet?

Med den nuværende opbygning af det 10-cifrede personnummer kan der ud fra hver fødselsdato kun beregnes omkring 540 brugbare personnumre. I 60erne blev der født så mange børn, at der for den 1. januar 1965 kun var fire mulige CPR-numre tilbage. Når der så kommer indvandrere fra de samme godt fyldte årgange til Danmark, kan systemet ikke rumme dem – ikke mindst da disse ofte blot blev proppet ind på årets første dag. For at forberede systemet til større kapacitet, besluttede CPR-kontoret at benytte en anden metode for løbenummer i de tilfælde, hvor alle beregnede numre er brugt op. Det skaber plads til nogle tusind flere for hver eneste dag.

Ændringen var oprindeligt planlagt til først at blive taget i brug op mod år 2036, men allerede fra oktober 2007 blev enkelte numre uden modulo 11-kontrolciffer tildelt. Den nye metode indebærer altså ikke, at systemet med kontrolcifre forsvinder helt, men for visse numre bruges en helt anden. De overtallige numre dannes også ud fra en række beregninger, som er undladt beskrevet her.

Registersamfundet

Staten arbejder mod en fortsat tættere samkøring af de offentlige registre. Det er kun muligt, fordi Danmark har den mest effektive registrering i verden. Til sammenligning har f.eks. England ingen centrale registre.

Med venlig hilsen

Lars Laursen, frivillig i PC-mødestedet i Seniorklubberne i Høje Gladsaxe.
Læs også PC-mødestedets blog om smartphones og tablets.