I et av de neste møtene i Comunita skal vi snakke om svindel – spesifikt telefonsvindel – og hvordan teknologien for å stoppe dem utvikler seg, sett fra et forretningssynspunkt. Her er et lite bakgrunnsnotat som sier noe om hvordan slik svindel fungerer.

Det er ikke så ofte man lærer seg et nytt ord for noe som er en del av hverdagen, men det har jeg nettopp gjort: Wangiri. Dette er japansk for “et ring og kutt” og er bransjebetegnelsen for de derre slitsomme telefonene man får fra Albania eller Østerrike eller Sudan, som ringer en gang og så legger på. Forretningsmodellen for denne svindelen er enkel: Hvis du ringer tilbake, kommer du til et nummer som koster skjorta.

Hva skal man så gjøre med det?

Vel, for deg som kunde er det enkelt – ikke ring tilbake til utenlandske nummer du ikke kjenner. For telefonselskapene er det litt vanskeligere, siden de har et ansvar for å holde denslags unna kundene sine.

Svindelsamtaler

Så blir det vanskeligere: De fleste har vel fått en oppringning – gjerne fra et norsk nummer – der det er en liten pause etter at du har tatt samtalen før det kommer på en person som påstår at de er fra Microsoft eller en annen IT-leverandør og ber deg gjøre et eller annet. Slike samtaler kommer gjerne når man minst trenger dem, men siden jeg får telefoner fra mange mennesker jeg ikke tidligere har snakket med, så tenderer jeg til å ta dem. Og blir like irritert hver gang.

Til å begynne med var jeg høflig, sa at jeg ikke var interessert. Nå pleier jeg bare å si “Please get yourself a real job.” og legge på.

Problemer er bare at disse menneskene har “real jobs”. Dette er big business, folk sitter i kontorlandskaper, stempler inn, har lunsjpauser og forholder seg til en personalavdeling og kvalitetsmål. Her er et bilde fra en Youtube-video som forklarer hvordan disse organisasjonene opererer:

Videoen en er laget av Jim Browning, som har en Youtube-kanal der han narrer nettsvindlere til å hacke PCen sin, slik at han kan bruke denne forbindelsen til å komme seg inn i deres systemer – og få tilgang til deres informasjon. Han har til og med klart å få tak i video av dem som ringer – også i sanntid – og i et tilfelle til og med lyd- og videoinformasjon fra administrerende direktørs kontor.

Forretningsmodeller for svindlere

De fleste av oss lar seg ikke lure av slike svindelforsøk, men alt som har med Internett-svindel å gjøre, handler – omtrent som dagligvarehandel – om å få opp volumet slik at mange bekker små blir svært solide overskudd. Fenomenet kalles spamming og er nesten like gammelt som Internet: Den første masseutsendelsen av epost skjedde i 1978, gikk til 393 irriterte brukere av Arpanet, men genererte et par salg for DEC. Selv husker jeg godt da advokatekteparet Canter & Siegel spammet ned mer enn 1000 diskusjonsgrupper på Usenet i 1994, en hendelse som skapte den første anti-spam-teknologien, laget av den norske programmereren Arnt Gulbrandsen. (En digresjon: Selve begrepet har navn etter et ikke særlig velsmakende kjøttprodukt og kommer fra en nokså slitsom Monty Python-sketch der Spam fortrenger alt annet.)

Forretningsmodellen har vært den samme siden: Send ut masse henvendelser til ingen eller lav pris, og tjen på den forsvinnende lille andelen som biter på. Oppringningene er automatiske, koster nesten ingenting: Det er derfor det er en liten pause etter at du har tatt telefonen, for det er først da et menneske blir koblet på.

Selv om man må ansette mange mennesker – noen call centere kan ha mer enn 200 ansatte, og drive et legitimt selskap som en front – kan det bli nokså store overskudd. Og det kan bli store tap for de som faller for dette. I ettertid kan man jo lure på hvordan folk kan være så dumme, men det er mer enn nok av folk der ute som ikke aner hvordan teknologien fungerer og er mer enn villige til å overlate alt til den hyggelige og autorative svindlere i den andre enden.

Mottiltak

Det er lite å gjøre når svindelen først har skjedd, i hvert fall for enkeltpersoner. Man kan melde til politiet, men de har ikke sjanse til å få gjort noe med det, siden svindlerne sitter i andre land og gjemmer seg bak mange forbindelser. Kryptovaluta gjør at pengene blir vanskelige å spore.

De som kan gjøre noe, er de store og digitale selskapene, som Microsoft, Google, Amazon, Facebook, banker, kredittkortselskaper og, naturligvis, telefonselskapene. For telekom og andre teknologiselskaper er svindlere parasitter – på verdensbasis er tapene for telekomselskapene anslått til 2,2% av omsetningen, eller (i 2021) nesten 40 milliarder dollar. Disse selskapene er store nok til å kunne bruke mye penger for å holde svindlere unna, og har nok data til å kunne bruke avansert teknologi til automatisk å kjenne igjen svindelforsøk. Og det virker: En av grunnene til at jeg (og de fleste andre) bruker Gmail eller Exchange, for eksempel, er at de er flinke til å holde svindlere unna – og de samarbeider gjennom å dele informasjon og teknologi.

Men teknologien, både for svindlerne og for de som forsøker å stoppe dem, utvikler seg hele tiden. Også svindlerne samarbeider, og utveksler informasjon – kredittkortnumre, telefonnumre og teknologi – på markedsplasser på Dark Web, den skjulte delen av Internet.

Å skille klinten fra hveten

Problemet med å stoppe svindlere er at de ser ikke ut som svindlere. Nesten all teknologien som brukes, fra automatiserte oppringere til kryptering og den anonyme nettverket Tor, er utviklet med helt legitim bruk som den viktigste driveren. Svindlerne kamuflerer seg i mengden, og den eneste måten å finne dem på er rask informasjonsdeling og avanserte maskinlæringsmodeller som klarer å skille mellom legitim bruk og svindel.

Et annet problem er at forsvarstiltakene må settes inn av mange aktører med komplekse forbindelser og ulike motivasjoner. Telekombransjen er ikke lenger enkel, men et svært komplekst nettverk av selskaper som samarbeider på tvers (interconnect og roaming, slik at du kan ringe mellom selskaper og bruke mobilen din i utlandet) og vertikalt (med tjenester bygget på tjenester, der noen selskaper har det fysiske nettverket og andre selskaper er virtuelle, i den forstand at de benytter kapasitet fra de andre). Ikke alle har de samme interessene, særlig ikke internasjonalt, og svindlerne beveger seg ofte raskere enn de som må samarbeide for å ta dem.

For å ta et noe forenklet eksempel: Forretningsmodellen et tradisjonelt telekomselskap (med et fysisk nettverk) er trafikkbasert: Mer trafikk, mer penger, uansett type trafikk (også svindel). Virtuelle telekomselskaper betaler for trafikken (på grossistnivå) og selger tjenester til kundene basert på ulike prismodeller. Dermed har telekomoperatørene ikke samme incentiv til å redusere svindeltrafikken som for eksempel de som taper direkte – som banker og kredittkortselskaper, og selvfølgelig den som direkte blir utsatt for svindel.

I praksis vil en del av tap også tilfalle telekomoperatørene, da bankene ofte sender krav til dem. Dessuten utgjør telefonisvindel en trussel mot telekomselskapenes merkevare – akkurat som den gjør det vanskelig for Indias IT-bransje, siden indisk (eller annen utenlandsk) aksent etterhvert møtes med mistro. På lang sikt er det ingen som tjener på svindel (bortsett fra svindleren, da.)

Alle komplekse systemer, ser det ut til, vil utvikle parasittiske virksomheter som livnærer seg ved å utnytte smutthull. Resultatet ligner spillet Whac-a-Mole: Så fort man har slått ned en muldvarp, popper den opp igjen i et annet hull. Parasitter (som kakerlakker på hotellrom) kan nok forgiftes, men de kommer tilbake, og ingen ønsker den totale forgiftningen som skal til for å virkelig bli kvitt dem.

Keith Richards skal visstnok ha sagt at det er tre ting som vil overleve alt: Kakerlakker, skorpioner og ham selv.

Mon tro om ikke telefonsvindlere bør inkluderes i den listen?