Hoppa till innehållet

OMXSPI-0,43%

S&P 500+0,02%

FTSE 100+0,62%

DAX-0,32%

NIKKEI-2,16%

Den stora blåsningen

I åratal har banker och myndigheter litat på att Telias e-legitimationer är säkra. Hösten 2014, vid postdisken i en ICA-butik i Saltsjöbaden, raserades det förtroendet. Det här är berättelsen om hur ett falskt id-kort räckte för att lura Sveriges finanselit på miljoner.

Daniel Goldberg

Text

Foto: Joey Abrait

Södertälje, juni 2014

Den blekgråa betongbyggnaden på Turingegatan ligger bara ett stenkast från Södertälje centrum. Den här sommardagen hade den som kikat in på första våningen sett en man i tjugoårsåldern som satt hukad framför sin dator. Polisen skulle senare anmärka på att det var stökigt i lägenheten: På skrivbordet låg ett limstift, en rakbladskniv och ark med fotografier på en äldre man, inte helt olik finansmannen Christer Gardell.

På skärmen fanns ett webbläsarfönster öppet. Det visade sajten ratsit.se, ett sökbart register över personer i det svenska näringslivet. I bokmärkesfältet fanns ytterligare ett par adresser sparade: Länkar till tidningen Veckans Affärers lista över Sveriges 136 miljardärer och en Aftonbladet-artikel med rubriken Sveriges 200 rikaste, samt till en beställningsblankett för Telia e-legitimation.

Mannen knappade omsorgsfullt in namn efter namn i sajtens sökruta. Listan han arbetade sig igenom innehöll flera av det svenska näringslivets absoluta toppnamn. Bland dem Investors tidigare vd Börje Ekholm samt Swedbank-ordföranden och den tidigare näringsministern Anders Sundström.

Vi återkommer till den listan.

Utanför fönstret flöt trafiken förbi, västerut mot Mälarbron över Södertälje kanal. Mannen fortsatte mata in namn i databasen, som svarade lydigt med inkomstuppgifter och bolagsengagemang.

I åratal har banker och myndigheter litat på Telias e-legitimationer. Hösten 2014, på en ICA-butik i Saltsjöbaden, raserades det förtroendet.

Om det finns en grundbult i den digitala ekonomin så stavas den identitetshantering. Myndigheter, banker och e-handlare är alla helt beroende av möjligheten att koppla fysiska personer till digitala alter egon. Att slå fast att du är du och jag är jag, även i en helt digital kontext.

Idag konkurrerar i huvudsak två system med varandra på den svenska marknaden för e-legitimationer: Dominanten BankID, som backas upp av de fyra storbankerna och används i populära tjänster som Swish, samt Telias e-legitimation, som på senare år fört en tynande tillvaro i skuggan av bankvärldens egen lösning. Rent tekniskt är systemen snarlika: Båda bygger på idén om tvåfaktorsautentisering – att användaren först legitimerar sig med någonting hon vet (en kod eller ett lösenord), sen med någonting hon har (till exempel en bankdosa som genererar ytterligare ett lösenord).

Systemet anses så säkert att det i praktiken blivit standardlösningen i Sverige. Alla stora banker och myndigheter, från Försäkringskassan till Skatteverket, förlitar sig på BankID och Telias e-legitimation för att bekräfta användarnas identitet och låta dem göra sina ärenden över nätet.

Läs även: Bedragaren kartlade den svenska finanseliten

Läs även: Experter: "Telia kände till luckan"

För den som kontrollerar våra digitala identiteter hägrar både stora pengar och en central plats i ekosystemet runt den snabbväxande digitala ekonomin. Och det är rejäla summor som står på spel. Affärsmodellen bygger något förenklat på att kunden, till exempel en bank eller en myndighet, betalar en fast summa varje gång någon loggar in eller signerar en transaktion med sin e-legitimation. Den summan låg – en bråkdel av en krona – men volymerna som hanteras är enorma. År 2015 räknar företaget Finansiell Id-Teknik, som står bakom BankID, med att 6,5 miljoner svenskar kommer att logga in med systemet mer än en miljard gånger. Det motsvarar intäkter på flera hundra miljoner kronor om året.

ICA Supermarket Saltsjöbaden

Foto: Joey Abrait

Saltsjöbaden Centrum, 23 september 2014

De pampiga villorna i Saltsjöbaden har kommit att stå som själva symbolen för Stockholmsk lyx och övre medelklass. Kanske just därför är finansmannen Christer Gardell, född och uppvuxen i området, något av en lokalkändis på orten. Så även på ICA-butiken i Saltsjöbaden Centrum, ett par kilometer bort från de exklusiva bostadsområdena längs kusten. I butiken hade vissa i personalen noterat att mannen bakom Cevian Capital brukade synas i kassakön.

Men just den här eftermiddagen i september 2014 var det ingen som lade märke till att Christer Gardell släntrade upp till postutlämningen för att hämta ut ett brev. Det var egentligen inte så konstigt – mannen som nu legitimerade sig som Christer Gardell var ju i själva verket någon helt annan. Men för kassabiträdet var det gott nog att bilden på id-kortet stämde överens med mannen som stod framför honom. Det måste gå fort i snabbköpskön. Det är ju liksom hela idén.

Mannen som nu legitimerade sig som finansmannen Christer Gardell var i själva verket någon helt annan.

Mannen med det falska id-kortet betalade postförskottet om 976 kronor kontant, med en tusenkronorssedel. Han fick en näve växelpengar, ett kvitto och ett paket tillbaka. Paketet innehöll en kortläsare med USB-anslutning samt ett stycke Telia e-legitimation, utfärdat i den verklige Christer Gardells namn. Mannen tackade för sig, vände på klacken och promenerade ut ur butiken.

Knappt två veckor senare lämnades två till synes orelaterade men misstänkt snarlika polisanmälningar in, med bara ett par timmars mellanrum. Den ena kom från Christer Gardell. Den andra från miljardären Mats Arnhög, styrelseordförande i bland annat Active Biotech och Sturehof AB. Från ett av Christer Gardells bankkonton hos Avanza hade okända gärningsmän plockat ut 160 000 kronor. Mats Arnhög hade blivit av med mångdubbelt mer: över 5 miljoner kronor hade stulits från hans skattekonto hos Skatteverket.

I båda fallen var tillvägagångssättet det samma. Bedragarna hade slussat pengarna via konton i SBAB bank, öppnade i Mats Arnhögs och Christer Gardells namn, med hjälp av stulna e-legitimationer utfärdade av Telia.

Det dröjde bara några dagar innan nyheten nådde medierna. Miljonerna var borta, så mycket var klart. Men hur hade kuppen gått till? Och vem låg bakom? Ingen visste.

id-kapning

Grafik: Eric Bergh

Säkerhetsexperter gillar att prata om svaga punkter. För att hitta sårbarheterna i ett system, lyder resonemanget, gäller det att betrakta hela händelseförloppet runt det som ska skyddas. Den som stirrar sig blind på detaljer riskerar annars att missa uppenbara luckor. Kort sagt: Att gömma sina skatter bakom tjocka pansardörrar gör lite nytta om fönstret till samma rum står vidöppet.

På samma vis var det egentligen inte säkerhetsbrister i Telias e-legitimation som lät tjuvarna att komma åt miljonerna på Christer Gardells och Mats Arnhögs bankkonton. Den svaga punkten fanns inte i Teliasoneras komplicerade väv av servrar och säkerhetsmekanismer utan i den fysiska världen. Närmare bestämt i snabbköpskassan i Saltsjöbaden.

Processen för att skaffa sig en Telia e-legitimation förlitade sig, fram tills nyligen, på Postens tjänst för rekommenderade brev. Användaren laddade ned en blankett från webben, fyllde i sina – eller någon annans – personuppgifter och lade sedan brevet på lådan. Några dagar senare skickades en avi till beställarens folkbokföringsadress. Själva legitimationshandlingen räcktes över mot betalning på närmaste postutlämningsställe.

I hela kedjan ovan kontrolleras bara användarens identitet en enda gång. Inte av en bankanställd eller en myndighetsperson, inte ens av någon som arbetar för Posten. Utan av personalen på ett postutlämningsställe, i fallet Christer Gardell ett stressat kassabiträde på den lokala ICA-butiken. Det kassabiträdet var den enda som stod mellan bedragarna och full tillgång till Cevian Capital-ordförandens bankkonton.

Enligt Johan Eriksson, vd på Finansiell ID-Teknik, skiljer sig utlämningen för BankID på en väsentlig punkt. Den som vill skaffa ett nytt BankID måste besöka ett bankkontor, där bankens personal gör en extra kontroll av användarens identitet.

Ett stressat kassabiträde på den lokala ICA-butiken var det enda som stod mellan bedragarna och full tillgång till finansmannens bankkonton.

Det skulle dröja nästan sex månader innan Stockholmspolisens bedrägerirotel fick klarhet i vad som hänt med pengarna som stulits. Mödosamt spårades pengarnas väg från miljonärernas bankkonton till de misstänktas fickor. När åklagare Jonas Svanfeldt väckte åtal hade utredningen vuxit så till den grad att den fick redovisas i form av ett spindelvävsliknande diagram. Pilar och röda streck pekade kors och tvärs över dokumentet, mellan personnamn, bankkonton och pengasummor. Den bild som framträdde gav intrycket av ett bedrägeri som planerats i detalj under flera månader.

I ena hörnet av diagrammet fanns Mats Arnhög och Christer Gardell. I mitten två skalbolag som tycktes ha förvärvats enbart för att stå som mellanhänder i kuppen. De stulna pengarna hade flyttats från SBAB till skalbolagens konton hos SEB och Danske Bank. Sedan hade mindre summor – ett par hundra tusen åt gången – stegvis skickats vidare till ett femtontal olika personer, många av dem i 25-årsåldern och hemmahörande i Södertäljeområdet.

Kort efter kuppen köpte en av de inblandade i härvan en silverlackerad Bentley Continental GT, årsmodell 2008, för 750 000 kronor. En annan växlade in 174 000 kronor till spelmarker på Casino Cosmopol i Stockholm. Poliskällor uppger att flera miljoner kronor misstänks ha flyttats ut ur landet, till bankkonton i Luxemburg. Än idag har bara en bråkdel av pengarna spårats upp och återlämnats.

Längst ned på åklagarens diagram fanns namnet på den man som suttit hemma framför datorn den där sommardagen i Södertälje, den misstänkta hjärnan bakom kuppen. Hans namn var inringat i rött.

Det var först vid husrannsakan i hans lägenhet på Turingegatan i Södertälje som de sista pusselbitarna föll på plats. I skrivbordsdatorn hittades spåren efter kartläggningen av de svenska miljonärerna. I en hjärtformad låda instucken under lägenhetens tv-bänk fanns ett av de avgörande bevisen: Ett kvitto från ICA Supermarket i Saltsjöbaden för uthämtningen av en Telia e-legitimation i Christer Gardells namn.

Identitetsstölder för miljarder

  • Omfattningen, valet av måltavlor och efterspelet gör kuppen mot Telia e-legitimation unik i sitt slag. Men brottsformen är på kraftig uppgång. 
  • Enligt Brottsförebyggande rådet utgör identitetsstölder idag den största kategorin bedrägeribrott i Stockholm.
  • År 2014 genomfördes totalt 60 000 bedrägerier med hjälp av stulna identiteter.
  • Det totala värdet på stölderna, enligt polisen, uppgick till 2,7 miljarder kronor.

Så fort tillvägagångssättet i bedrägeriet blev känt så bröt SBAB och Avanza sitt samarbete med Telia. Möjligheten att logga in med bolagets e-legitimation kopplades bort. Ingen av bankerna har idag några planer på att återuppta samarbetet med teleoperatören.

"Förtroendet är helt centralt för sådana här system. Sjunker allmänhetens förtroende för digitala identiteter så vore det enormt olyckligt. Det är en av de viktiga saker som driver digitaliseringen av hela bank- och betalningssektorn", säger Martin Tivéus, vd på Avanza.

Samtidigt stoppade Telia utfärdandet av nya e-legitimationer till privatpersoner och återkallade samtliga som skickats ut under 2014. Idag kan inte privatpersoner längre beställa en e-legitimation direkt från Telia.

"Sjunker allmänhetens förtroende för digitala identiteter så vore det enormt olyckligt."

Det kanske mest iögonfallande med miljonstölderna från SBAB och Avanza var hur enkla de tycks ha varit att genomföra. Så frågan är om det hade gått att förhindra dem? Svaret man får beror på vem man frågar. Hans G Larsson, informationsansvarig på Teliasonera, säger sig inte minnas att det framförts kritik mot Telias utlämningsrutiner för e-legitimationer tidigare. En av de målsägande i fallet är av en annan uppfattning. Fredrik Ohlsson, säkerhets- och operativ riskchef på SBAB, menar att svagheterna i systemet påtalats och diskuterats långt innan bedrägeriet mot Mats Arnhög och Christer Gardell blev känt.

"Vi har haft den diskussionen med Telia. Vi för den diskussionen i flera olika forum, främst hos bankföreningen. Det är en diskussion som har funnits länge", säger Fredrik Ohlsson.

Det här fallet kom alltså inte som en blixt från klar himmel?

"Nej, det gjorde det inte. Vi, både bankerna och Telia, var medvetna och är medvetna om den här sårbarheten", fortsätter Fredrik Ohlsson.

Insatta källor som arbetat på Telia med bolagets e-legitimation ger honom stöd i det påståendet. Likaså ställer sig flera av Sveriges främsta säkerhetsexperter frågande till hur Telia inte kan ha känt till sårbarheterna tidigare.

Fredrik Ljunggren är säkerhetskonsult på Kirei och anses vara en av Sveriges främsta experter på området e-legitimation. Bland annat har han arbetat med de säkerhetskrav som svenska myndigheter ställer på e-legitimationer.

"Om jag ska vara försiktig kan man säga att det är osannolikt att Telia skulle vara helt ovetande om de här riskerna. Det är inte första gången det inträffar incidenter i utgivningsprocessen för e-legitimationer som involverar rekommenderat brev. Det är inte så man ska lämna ut legitimationshandlingar", säger Fredrik Ljunggren.

Han får medhåll från Peter Forsman, abuseansvarig på .SE, som arbetat med identitetsstölder under många år.

"Det är väl en väntad kommentar från deras håll. Men de här kryphålen har varit kända under lång tid", säger Peter Forsman.

"Problemet är att försäljning går före säkerhet och juridik. De här företagen vill sälja sina produkter. Då måste man göra det lätt att beställa och hämta ut dem", fortsätter han.

Teliasonera skriver i ett mejl till Di Digital att bolaget har för avsikt att fortsätta tillhandahålla e-legitimationer för privatmarknaden. Hur den nya utlämningsformen ska se ut har företaget inget svar på.  

"Problemet är att försäljning går före säkerhet och juridik."

I april 2015 ställdes elva personer inför rätta i Stockholms tingsrätt för delaktighet i bedrägeriet. Nio av dem dömdes. Påföljden för tjugotreåringen från Södertälje, huvudmannen bakom kuppen, blev fyra år i fängelse för grovt penningtvättsbrott. Samtliga dömda har överklagat domen.

Åklagare Jonas Svanfeldt låter bekymrad när han pratar om fallet.

"All information som behövdes om de här personerna har samlats in från öppna källor på internet. Och med de här e-legitimationerna har man fått fritt tillträde överallt där de accepterats", säger han.  

"Det leder till en större diskussion. Är det rimligt att så mycket information om vilka vi är finns där ute? Idag är det relativt enkelt att kartlägga vilken person som helst", fortsätter Jonas Svanfeldt.

Och så var det den där listan. Den som knappades in i datorn på Turingegatan i Södertälje. Vid husrannsakan i lägenheten beslagtog polisen tre datorer. På två av dem fanns spår efter vad som såg ut som en omfattande kartläggning av personer ur det svenska näringslivets toppskikt. Information om bolagsengagemang, inkomster och bostadsadresser hade samlats in.  

Här är ett urval av namnen som hittades i datorerna:  

  • Börje Ekholm, tidigare vd Investor
  • Matti Kinnunen, tidigare operativ chef. Carnegie
  • Anders Sundström, styrelseordförande Swedbank och tidigare näringsminister
  • Johan Malmqvist, tidigare vd Getinge
  • Pär Boman, styrelseordförande Handelsbanken
  • David Magnusson, styrelseordförande SBAB
  • Per Strömberg, styrelseordförande ICA banken och ICA Sverige
  • Johan Karlström, vd Skanska
  • Gunnar Hjelmstedt, styrelseordförande Schibsted Media, Hitta.se
  • Tom Persson, arvtagare till H&M
  • Christer Gardell, styrelseordförande Cevian Capital
  • Mats Arnhög, styrelseordförande Active Biotech, Sturehof

Vad var syftet med kartläggningen? Planerade mannen i lägenheten fler bedrägerier, efter de lyckade stölderna från Mats Arnhög och Christer Gardell? Om det kan man bara spekulera. Men åklagare Jonas Svanfeldt har sin bild klar.

"Mitt intryck är att man trålat efter personer som det kan vara möjligt att komma åt pengar ifrån", säger han. 

Läs även: Nätbedragaren kartlade den svenska finanseliten

Läs även: Experter: "Telia kände till luckan"

Innehåll från Golden HitsAnnons

Säkra årets julfest på Golden Hits redan nu

Golden Hits presenterar stolt höstens efterlängtade evenemang – POP-TASTIC!, en ny dinnershow skapad av välkända Tess Merkel och Martin Rolinski. Med start den 22 augusti, och christmas-edition från den 13 november till den 21 december, står POP-TASTIC! redo att bli årets höjdpunkt för företagsjulmiddagar.

Mitt i centrala Stockholm på Kungsgatan 29 bjuder Golden Hits in till underhållning utöver det vanliga. Den 22 augusti går den nya föreställningen POP-TASTIC! av stapeln och från mitten av november till 21 december erbjuds den med en juligare twist. För företag som letar efter den perfekta platsen att fira årets framgångar, tacka sina anställda och sätta tonen för ett framgångsrikt nytt år, erbjuder POP-TASTIC! mer än bara en middag; det är en chans att dyka in i en värld av glädje, gemenskap och oförglömliga upplevelser. Stjärnproducenten Tess Merkel, som har skapat showen, kommenterar: 

– Just nu tror jag vi alla är i stort behov av att bara få ta en stund från allt tungt som händer omkring och bara få släppa allt och kliva in i en bubblig, färgglad värld av fest och glädje. Att få dansa och skråla för full hals till låtar vi känner igen för en kväll. På Golden är det okej att gå all in och släppa kontrollen för en stund. ‘We got you it’s gonna be Poptastic’

Martin Rolinski, medproducent, tillägger: 

– Det är så kul att Tess och jag med all den erfarenhet vi har från popmusiken kan sätta ihop den här showen där vi har kunnat ta med så fantastiskt duktiga artister. Jag vet att vi har något bra på gång när man själv verkligen vill se showen som gäst.

Skapa minnen som varar 

Julperioden hos Golden Hits är en magisk tid där POP-TASTIC! transformeras till en extra festlig upplevelse. Med julspecialer som väver in säsongens toner med showens popbangers, garanteras en kväll som medarbetarna kommer att prata om långt in i det nya året. Föreställningen ackompanjeras av en specialdesignad trerättersmeny, tillagad och serverad av Golden Hits egna utvalda ”guldgäng”, vilket lovar en fulländad mat- och musikupplevelse. Efter showens slut öppnas dörrarna till nattklubben där kvällen kan fortsätta, och kanske avslutas med en sjungande triumf i Karaokebaren.

– Vår vision var att skapa en show där varje låt, varje framträdande, förmedlar en känsla av glädje och samhörighet. Julen är en tid för gemenskap, och vi är övertygade om att POP-TASTIC! kommer att uppskattas av många företag, kommenterar Tess.

Boka platser redan nu

Bokningen är redan öppen och efterfrågan är hög berättar Cecilia Dahlbom, platschef på Golden Hits. För att garantera en plats till denna oförglömliga afton uppmanas företag att kontakta Golden Hits snarast, framför allt eftersom det endast är ett begränsat antal föreställningar under julperioden.

– POP-TASTIC! erbjuder en fulländad upplevelse med en måltid som matchar showens dynamik och kreativitet, vilket gör det till det självklara valet för årets företagsjulmiddag. Det är dags att boka in årets mest minnesvärda julmiddag – en kväll där företaget inte bara firar det gångna årets framgångar, utan också välkomnar framtiden med öppna armar och danssteg till popmusikens bästa hits, avslutar Cecilia. 

 

Artikeln är producerad av Brand Studio i samarbete med Golden Hits och ej en artikel av Dagens industri

Mer från Dagens industri

Det verkar som att du använder en annonsblockerare

Om du är prenumerant behöver du logga in för att fortsätta. Vill du bli prenumerant kan du läsa Di Digitalt för 197 kr inkl. moms de första 3 månaderna.

spara
1180kr
Prenumerera