När Bertil Berggren upptäckte okända uttag på transaktionslistan från banken gjorde han allt rätt. Trots det hände ingenting.
– Jag gick igenom mina transaktioner och upptäckte inköp hos SJ och Webbhallen, som jag inte kände till. Jag lämnade in en blankett hos banken för att bestrida köpen och gjorde samtidigt en polisanmälan.
I bankens uppgifter fanns de båda köpen noterade med exakt klockslag. Bertil Berggren ringde till Webbhallen och förklarade vad som hänt.
Bodde i annan stad
I Webbhallens lista över köp i företagets webbutik fanns en transaktion som tidsmässigt passade perfekt med bankens notering. Webbhallen hade även adress och namn på den person som använt Bertils kortuppgifter.
– Webbhallen berättade att den här killen var känd sedan tidigare för liknande saker, men de ville inte lämna hans personuppgifter till mig.
Polisen fick däremot all information de behövde för ett ingripande från Webbhallen. Men den misstänkte visade sig bo i en annan stad än Bertil Berggren och ärendet skulle därför överföras till polisen på orten.
Spaningsuppslag saknades
När Bertil Berggren ringde den ansvarige kommissarien för att höra hur fallet fortskred, möttes han av totalt ointresse.
– Hon tyckte att det var för besvärligt och sa att de inte kan hålla på med alla sådana här fall. De hade inte resurser, sa hon. Att personen var känd med namn och adress hjälpte inte alls.
För en månad sedan fick Bertil Berggren besked att utredningen lagts ned eftersom "spaningsuppslag saknades".
Att en stulna kortuppgifter används för att köpa saker på nätet förvånar inte Joakim von Braun, säkerhetsexpert på Symantec.
– Det byts mycket sådan här information på webben. För root-access till en server kan du få tio kortnummer och så vidare.
Eftersom betalkortets cvv-kod (den tresiffriga på baksidan av korten) använts vid köpen hos SJ, är Bertil Berggren säker på att förövaren kommit över kortuppgifterna via den amerikanska betaltjänsten Bidpay. Det är bara där han lämnat ut sin cvv-kod. Bidpay är Bidpay känt för att vara lätthackat.
Företagen drabbas
Varken Bertil Berggren eller hans bank behövde betala några pengar. De drabbade företagen, SJ och Webbhallen, får ta kostnaderna för bedrägeriet. Under processens gång har Bertil Berggren fått reda på att just SJ är ett populärt mål för hackarna.
– De köper biljetter via webben med stulna kortuppgifter och löser sedan in dem i biljettkassan mot kontanter, säger han.
Enligt SJ ska det inte kunna ske.
– Vårt regelverk säger att kortbetalda köp bara ska betalas tillbaka till samma kortkonto, säger Peter Sandstig som är ansvarig för säljsystem på SJ.
Men om kunden glömt kortet hemma, går det inte att få ut pengar i stället?
– Jag kan ju inte svara för att reglerna alltid följs, men enligt regelverket är det inte tillåtet. Relaterat till våra volymer är det inte särskilt vanligt att vi drabbas av kortbedrägerier.
Computer Sweden har förgäves sökt den ansvariga kriminalinspektören för en kommentar.
– Jag gick igenom mina transaktioner och upptäckte inköp hos SJ och Webbhallen, som jag inte kände till. Jag lämnade in en blankett hos banken för att bestrida köpen och gjorde samtidigt en polisanmälan.
I bankens uppgifter fanns de båda köpen noterade med exakt klockslag. Bertil Berggren ringde till Webbhallen och förklarade vad som hänt.
Bodde i annan stad
I Webbhallens lista över köp i företagets webbutik fanns en transaktion som tidsmässigt passade perfekt med bankens notering. Webbhallen hade även adress och namn på den person som använt Bertils kortuppgifter.
– Webbhallen berättade att den här killen var känd sedan tidigare för liknande saker, men de ville inte lämna hans personuppgifter till mig.
Polisen fick däremot all information de behövde för ett ingripande från Webbhallen. Men den misstänkte visade sig bo i en annan stad än Bertil Berggren och ärendet skulle därför överföras till polisen på orten.
Spaningsuppslag saknades
När Bertil Berggren ringde den ansvarige kommissarien för att höra hur fallet fortskred, möttes han av totalt ointresse.
– Hon tyckte att det var för besvärligt och sa att de inte kan hålla på med alla sådana här fall. De hade inte resurser, sa hon. Att personen var känd med namn och adress hjälpte inte alls.
För en månad sedan fick Bertil Berggren besked att utredningen lagts ned eftersom "spaningsuppslag saknades".
Att en stulna kortuppgifter används för att köpa saker på nätet förvånar inte Joakim von Braun, säkerhetsexpert på Symantec.
– Det byts mycket sådan här information på webben. För root-access till en server kan du få tio kortnummer och så vidare.
Eftersom betalkortets cvv-kod (den tresiffriga på baksidan av korten) använts vid köpen hos SJ, är Bertil Berggren säker på att förövaren kommit över kortuppgifterna via den amerikanska betaltjänsten Bidpay. Det är bara där han lämnat ut sin cvv-kod. Bidpay är Bidpay känt för att vara lätthackat.
Företagen drabbas
Varken Bertil Berggren eller hans bank behövde betala några pengar. De drabbade företagen, SJ och Webbhallen, får ta kostnaderna för bedrägeriet. Under processens gång har Bertil Berggren fått reda på att just SJ är ett populärt mål för hackarna.
– De köper biljetter via webben med stulna kortuppgifter och löser sedan in dem i biljettkassan mot kontanter, säger han.
Enligt SJ ska det inte kunna ske.
– Vårt regelverk säger att kortbetalda köp bara ska betalas tillbaka till samma kortkonto, säger Peter Sandstig som är ansvarig för säljsystem på SJ.
Men om kunden glömt kortet hemma, går det inte att få ut pengar i stället?
– Jag kan ju inte svara för att reglerna alltid följs, men enligt regelverket är det inte tillåtet. Relaterat till våra volymer är det inte särskilt vanligt att vi drabbas av kortbedrägerier.
Computer Sweden har förgäves sökt den ansvariga kriminalinspektören för en kommentar.
