Nyheter Viralgranskaren

Nordeabluffen skickades från ett sjukhus i Kazakstan

Viralgranskaren bestämde sig för att spåra ett bedragarmail. Det ledde oss in på en resa till Kazakstan, via Tyskland.

Sjukhusets webbsida.

Den falska Nordeawebbsidan.

Webbsidan till det tyska gummiföretaget.

Under onsdagen dyker det upp ett mail i Viralgranskarens mailkorg. Det är i sig ingenting speciellt, bara ett av många phishingmail med syfte att lura av oskyldiga personer bankuppgifter genom att locka in dem på mer eller mindre proffsiga kopior av de kända banksajterna. Där skriver offret in sina kontouppgifter i tron att de har besökt den riktiga bankwebbsidan.

I det här fallet är mailet, som Polisens nationella bedrägerienhet varnade om för ett par veckor sedan, extra otrovärdigt. Avsändaren påstår sig vara Nordea, men har mailadressen [email protected] och mailet är skickat från Schweiz. Förutom en länk innehåller mailet inte mer än följande text: ”Kära Kund, Du har fått ett nytt meddelande från vår säkerhetsavdelning. Öppna ditt konto”.

Den internationella sammanslutningen Anti Phishing Working Group (APWG), som samordnar olika företag som på olika sätt påverkas av så kallat nätfiske, rapporterade i sin sista kvartalsrapport 2014 att de upptäckte 255 000 olika typer av hot varje dag. Och problemet med nätfiske ökar varje år; i genomsnitt får APWG in fem gånger så många unika rapporter om phishing varje månad 2014 som tio år tidigare.

Bara i Sverige känns det som att vi journalister rapporterar om försök till nätfiske varje vecka. Så jag bestämmer mig för att göra något nytt – jag försöker spåra bedragaren.

► LÄS MER: Nej, Swefilmer-gripen riskerar inte längre straff än Hagamannen

Klickar du på länken i mailen hamnar du för en sekund på en tysk webbsida utan innehåll, vars enda syfte är att slussa dig vidare till den falska bankwebbsidan som verkar vara placerad i Kazakstan. Det här verkar inte vara ett helt ovanligt förfarande. I ett annat phishing-mail kan Viralgranskaren se att användaren slussas till en amerikansk webbplats via en engelsk sådan.

Den tomma tyska webbsidan tillhör ett holländskt företag och säljer gummi och har filialer i bland annat Tyskland. Länken i mailet leder in på den tyska filialens webbsida, som i vanliga fall skickar besökaren till den holländska sajten och annars bara verkar användas för e-post.

Viralgranskaren ringer upp den tyska filialen och för ett förvirrat samtal med en kvinna som inte alls känner till det som hänt. När Viralgranskaren meddelar att företaget förmodligen blivit hackat och att deras domännamn används för att slussa vidare offer för nätfiske får hon panik i rösten.

– Vad kan jag göra?

Servern som den falska Nordeasidan ligger på verkar ligga i Kazakstan och tillhör ett akutsjukhus i den kazakiska staden Aktobe. Den falska Nordeasidan ligger på en undersida, men grundsidan ser ut som vilken sjukhuswebbsida som helst, om än på ryska.

► LÄS MER: Vad 19-kronorsskorna som sprids i Facebookgrupper egentligen kostar

”Vårt syfte är att stärka medborgarnas hälsa genom att införa ett effektivt system för förebyggande, behandling och rehabilitering av sjukdomar för att förbättra konkurrenskraften i organisationen.”, står det bland annat på webbsidan.

Jag ringer numret som sjukhuset uppger, och lyckas efter vissa svårigheter förklara vad det är jag egentligen undrar om.

– Det låter dåligt, Säger en kvinna i receptionen och hämtar vem jag antar är någon sorts chef.

– Vad är det? Säger en man med hård röst och jag förklarar återigen att jag undrar varför en nätfiskesajt ligger på sjukhusets webbsida.

Mannen svarar först att det inte är någonting han känner till, ingen på sjukhuset har ens en liten koppling till Sverige. Men efter en stund drar han sig någonting till minnes.

– Det är bara en svensk som behandlats på det här sjukhuset, det var någon gång förra året. Det var en ung man. Han skulle flyga till Taiwan men drabbades av en stroke, så vi tog god hand om honom och sedan reste han vidare. Han hette Karlsson.

Jag frågar om mannen vet vad denne Karlsson hette i förnamn, men det har han ingen aning om. Han säger att de har många besökare på sjukhuset och att det här var för över ett år sedan, så jag tackar för mig och lägger på.

Där tar spåren slut. Det jag vet är att en person på något sätt tagit sig in på ett kazakiskt sjukhus webbsida och skapat en Nordea-kopia. Hen har också fått tag på webbsidan till ett tyskt gummiföretag.

► LÄS MER: Därför berättar bilderna på slöjfria kvinnor inte alltid hela historien

Nästa artikel inom Metro Music:
Zara Larsson kan få musikexportpriset
Mer om Brott