*21*-svindelen sprer seg: Taster du denne koden, eier bedragerne mobilnummeret ditt

Amerikansk politi advarer om en ny variant av telefonsvindel der bedragere ringer ofre og lurer dem til å taste inn en kort kode på telefonen. Koden aktiverer viderekobling, og fra det øyeblikket havner innkommende samtaler og tekstmeldinger hos svindleren i stedet for hos eieren av nummeret.

Sheriff-kontoret i McCracken County i Kentucky opplyser at metoden gir bedragere direkte tilgang til engangskoder og tofaktorkoder som brukes til å sikre nettbanker og andre kontoer. Når svindleren har fanget opp en slik kode, kan vedkommende nullstille passord og logge seg inn som om personen var deg.

Slik fungerer angrepet

Telefonen ringer, og stemmen i andre enden hevder å være fra banken, mobilselskapet eller et annet selskap du kjenner igjen. Det skapes en følelse av hast: en mistenkelig transaksjon, en pakke som ikke kom fram, en konto som må «sikres». Som ledd i hjelpen blir du bedt om å taste en bestemt tallkombinasjon på telefonen.

Kombinasjonen er en såkalt USSD-kode, altså en kort kommando som mobilnettverket leser direkte. Den indiske cyberkrimenheten I4C, som ligger under landets innenriksdepartement, advarer mot å taste USSD-koder som starter med 21, 61 eller 67 dersom noen ber deg om det over telefon. Koder som starter med 21 aktiverer fullstendig viderekobling av alle samtaler. På norske mobilnettverk fungerer dette på samme måte som ellers i verden, ettersom USSD er en standardisert tjeneste hos alle operatører.

Resultatet er at engangskoder fra nettbanken, varsler fra BankID-appen og bekreftelses-SMS til tjenester som e-post og sosiale medier sendes direkte til svindleren. Du ser ingenting på din egen telefon.

Én regel du aldri bryter

Nasjonal kommunikasjonsmyndighet (Nkom) kaller denne typen telefonsvindel for vishing, en sammensetning av «voice» og «phishing». Etaten understreker at bank, politi, Økokrim eller myndigheter aldri vil be deg oppgi sensitive opplysninger eller koder over telefon. Den samme regelen gjelder taster på mobilen: en ekte bank eller mobiloperatør vil aldri instruere deg i å taste en kode mens du sitter med telefonen mot øret.

Nkom anbefaler en tredelt huskeregel når noe uventet skjer: stopp, tenk og sjekk. Legg på, ring tilbake til selskapet på et nummer du finner selv på den offisielle nettsiden, og bekreft hva henvendelsen egentlig gjelder.

Hvis du allerede har tastet koden

Mistanken kommer ofte først når man ikke får forventede oppringinger eller tekstmeldinger. Da kan viderekobling deaktiveres ved å taste ##002# og trykke ring. Kommandoen slår av alle aktive viderekoblinger på telefonen, uavhengig av hvilken kode som ble brukt til å skru dem på.

Deretter bør du straks kontakte mobiloperatøren din og banken. Sheriff-kontoret i McCracken County oppfordrer ofre til å varsle både mobilleverandør og finansielle institusjoner umiddelbart når svindel mistenkes. Bytt passord på tjenester du har brukt fra telefonen, og aktiver tofaktorautentisering med app i stedet for SMS der det er mulig.

Nkom råder også til å sperre BankID og bankkort dersom du har tastet eller delt koder, og deretter melde forholdet til politiet på 02800.