Norske pass selges for en hundrings på nett

– Et norsk pass kan koste så lite som 105 kroner, sier Marijus Briedis, teknologidirektør ved NordVPN.

Tenk deg at du legger ut et bilde av boardingkortet ditt på Instagram, akkurat som tusenvis av andre gjør hver eneste dag under hashtagen #boardingpass.

Faktisk ligger det over 146.000 slike bilder ute akkurat nå.

Du har kanskje vært nøye med å dekke til navnet ditt eller flynummeret. Men det mange ikke tenker på er den lille strekkoden. Når den skannes, viser den ofte bookingnummeret ditt.

Og nettopp det bookingnummeret kan være alt en cyberkriminell trenger for å få full tilgang til reisen din, i verste fall også til reisedokumentene dine, som passet.

NordVPN er et litauisk selskap som jobber med datasikkerhet. Sammen med selskapet Saily har de undersøkt hvordan digitale kopier av reisedokumenter globalt blir misbrukt og solgt på det mørke nettet til spottpris. Der fant de mange norske pass til salgs.

Selges i bøtter og spann

Grunnen til at det er så billig, er at det svarte markedet er fullt av data fra store lekkasjer og svak digital sikkerhet verden over.

– At det koster en hundrelapp, betyr ikke at dokumentet er verdiløst. Det handler om at det finnes enormt mange stjålne dokumenter der ute, og at de selges i store mengder, sier Briedis.

Nasjonalt ID-senter og Kripos begynte i fjor å føre statistikk over misbrukte digitale kopier av ID-dokumenter. I 2024 ble åtte saker registrert, og hittil i år har de fått inn sju nye.

Sakene meldes ofte inn av utenlandske privatpersoner til norske ambassader, som sender dem videre til norske myndigheter. Et eksempel kan være en tysk statsborger som kontakter ambassaden fordi vedkommende tror de er blitt lurt av en nordmann.

Selv om det er få saker som rapporteres, tror Nasjonalt ID-senter at problemet er langt større enn tallene viser.

– Vi vet at det er mørketall, sier Emilie Sveen, flerkildeanalytiker i Nasjonalt ID-senter.

Grunnen til at så få melder fra, er at de fleste ofrene ikke vet at de er rammet. Det er nemlig ikke det fysiske passet som blir borte. Det er en digital kopi.

– Selv om det fysiske passet ligger trygt hjemme, lever kopien sitt eget liv på nett, sier Sveen.

KI gjør det enklere

Den digitale kopien kriminelle får tak i, bruker de enten til å svindle deg direkte eller til å svindle andre i ditt navn.

– De lager falske identiteter, åpner bankkontoer, får tilgang til finansielle tjenester, søker om lån eller trygdeytelser, leier bolig eller bestiller reiser i andres navn, sier Briedis.

Slike ID-svindler har eksistert i mange år. Det nye er hvordan kunstig intelligens (KI) gjør angrepene mer avanserte og overbevisende.

– Med KI kan svindlere lage deepfakes og bruke dem som om de er deg. Det gjør også phishing-angrep enklere, hvor de utgir seg for å være deg og lurer venner, arbeidsgivere eller tjenesteleverandører, sier Briedis.

Et av målene kan være hoteller og bookingsystemer – som for eksempel Booking.com. Ifølge Datatilsynet har nettopp denne plattformen vært et attraktivt mål for svindlere.

– Vi har sett at det har vært veldig mye svindel på booking.com, hvor svindlere får tilgang til hotellenes booking.com-kontoer, sier Tobias Judin, seksjonssjef i datatilsynet.

I ett tilfelle ble en hotellansatt i 2023 lurt av en e-post med en lenke til det som så ut som en glemt-passord-side, ifølge Sky News. I stedet installerte lenken skadevaren Vidar, som stjal innloggingsinformasjonen til hotellets Booking.com-konto. Uten tofaktorbeskyttelse kunne svindlerne ta over kontoen og hente ut store mengder persondata om hotellets gjester.

Disse opplysningene som navn, kontaktinfo og i noen tilfeller passdetaljer, blir solgt videre på det mørke nettet. En pakke med stjålne Booking.com-data selges i dag for rundt 2500 kroner, og kan inneholde informasjon om tusenvis av reisende.

– Heldigvis har booking.com blitt oppmerksom på problemet og setter stadig i gang nye tiltak for å motvirke det, sier Judin.