av Daniel Olsson
Blåsningen
Här laddar du ner hela reportaget som pdf med grafik.
Jesper Öhnstedt visste att hans kompanjon aldrig skulle
stänga av sin mobiltelefon. Det stred mot Mattias Erikssons natur.
Mattias var den där typen som inte protesterade om så
kunderna väckte honom klockan tre på morgonen, för att fem minuter senare
slänga sig in i en taxi och be att få bli körd till någon nattklubb som behövde
få igång kassan inför sista beställningen.
Men med tanke på vad som hänt de senaste dagarna visste
Jesper inte längre vad han skulle tro om sin affärspartner.
Bankernas privatutredare från England hade varit uppe på
kontoret dagen innan och lämnat dem med ett ultimatum. Fram till dess hade han
pratat om allmänna säkerhetsbrister i det betalsystem som Jesper och Mattias
utvecklat i sitt kassaföretag Alphacash. Nu var tonen betydligt skarpare. Utredaren
anklagade dem för brott, för att tillsammans med en dömd kortbedragare ha
iscensatt den största kontokortshärvan i svensk historia.
– Vi vet ju att det är någon av er, gräv fram det nu,
pressade engelsmannen.
Jesper och Mattias fick ett dygn på sig att ta fram den
skyldige, annars skulle polisen kopplas in.
Jesper hade utredarens ord i huvudet när han gjorde
ytterligare ett försök att nå Mattias. Men inte ens telefonsvararen gick igång.
Telefonen var avstängd. Det var då han förstod att hans kompanjon och den
drivande kraften bakom Alphacash hade flytt landet.
Jesper ringde till polisen.
Det hela började ganska precis två månader tidigare. Det var
den stora lönedagen efter jul- och nyårshelgerna och ett tunt lager nyfallen
snö gnistrade på trottoaren utanför den nyligen nedlagda Tempobutiken på Djurö.
Stora pappkassar satt upptejpade på insidan av skyltfönstren, men
förbipasserande kunde ändå ana skenet från tända lysrör genom den tunna pappen.
Klockan hade hunnit bli kvart över åtta på kvällen när en
man slog sig ned vid en av kassorna och började knappa in sifferkoder i betalkortsläsaren.
Först sexton siffror för kortnumret, därefter fyra för sista giltighetsdatum
och slutligen köpesumman efter eget huvud.
En sista knapptryckning och kortterminalen sände iväg en
köporder över telefonlinjen. Proceduren upprepades om och om igen. Fingrarna
rörde sig över knappsatsen.
Innan bankernas säkerhetssystem hann reagera hade mannen i
kassan styrt över 1,2 miljoner kronor från 107 bankkonton till butikens
postgiro.
Det tog exakt 59 minuter.
Några dagar senare loggade konsulten Mattias Öman in på sin
internetbank via datorn hemma på Lidingö. Nästan sextusen kronor saknades på
lönekontot. Hans ögon sökte sig över kontoutdraget och fann att någon, samma
dag som februarilönen kom in, hade gjort tre köp med allt större summor.
Alla köp var gjorda i en liten Tempobutik ute på Djurö.
»Tempo, finns den kedjan kvar?« var Mattias Ömans första
tanke.
Även om det bara var knappt trettio minuters bilväg till det
idylliska skärgårdssamhället nordost om Stockholm, var han säker på att han
inte varit där under någon av de senaste dagarna.
Mystiken tätnade när Mattias Öman kom till jobbet dagen
därpå och fick veta att tre av hans arbetskamrater på samma firma inom
telekombranschen hade drabbats av samma sak. En av arbetskamraterna ringde upp
Tempobutiken för att reda ut vad som hänt.
Kvinnan som svarade berättade att hon blivit kontaktad av
fler drabbade, men att butiken var stängd sedan flera veckor och att det måste
röra sig om någon form av bedrägeri.
Hon kunde också berätta att hennes arbetskamrater inte fått sina löner
utbetalda och att butikens ägare var spårlöst försvunnen.
Butiken låg inrymd i botten av en trevåningsfastighet från
60-talet med många äldre hyresgäster som hade hoppats att den nya ägaren skulle
bringa ordning och reda på deras närbutik.
Den nya ägaren presenterade sig för de anställda som Jean
Naaoum. Han var en välklädd ung man som talade engelska med amerikansk accent.
Han fick betala en krona för butiken mot att han också tog över den gamla
ägarens obetalda skatter och leverantörsskulder. I gengäld var alla
butiksinventarier och ett betalkortsavtal hans.
Någon större ordning hann det inte bli på närbutiken. De
äldre hyresgästerna på våningarna ovanför kunde istället storögt titta ut genom
köksfönstren på eftermiddagarna och se den nya butiksföreståndaren komma till
jobbet i limousin, för att andra dagar parkera en exklusiv mörkblå Jaguar
framför butiken.
Jean Naaoum själv pratade gärna om sina båtaffärer i
utlandet och några av dem han mötte skulle senare dra sig till minnes det
ologiska i att den propert klädde mannen sade sig bo på Hotell Hilton i
centrala Stockholm, samtidigt som de själva tyckte sig ana att han tillbringade
de flesta nätterna på soffan inne i den mögeldrabbade livsmedelsbutikens
kontor.
Dagen efter lönedagen var ägaren borta. Med sig tog han
kassaterminalen och hårddisken till butikens dator.
På bedrägerirotelns våning högt upp i polishuset på
Kungsholmen i Stockholm var Jean Naaoum ett välbekant namn. Två polisinspektörer
hade jagat honom i ett halvår, men hela tiden varit steget efter.
De hade lyssnat till förtvivlade ungdomar som lagt sina
sparade pengar på förskottshyror för en ledig etta med kokvrå på Södermalm som
aldrig fanns. De hade besökt ekande tomma företagslokaler som tagits över av
något av Jean Naaoums bolag med postbox på Strandvägen, för att sedan plundras
på inventarier för miljontals kronor.
En gammal flickvän kände honom under det
Gudfadern-inspirerade namnet Ramone Carleone, medan medierna hade döpt honom
till »Stureplansbedragaren« på grund av hans extravaganta utsvävningar i
Stockholms krogcentrum. Under namnet Elias Malki var han dömd för kontokortsbedrägerier,
sedan han under ett par intensiva veckor 2003 levt som en kung på Norrköpings
innekrogar; bjudit generöst på champagne och gjort stora kontantuttag med
egentillverkade kontokort med falsk information inpräntad i magnetremsan.
Den man som verkligen hette Jean Naaoum, upptäckte
polisutredarna snart, var en österrikisk medborgare som avlidit flera år
tidigare.
Efter några veckor ringde Swedbanks säkerhetsavdelning till
Bedrägeriroteln och berättade att man spårat samtliga kortnummer som knappats
in i kassan på Djurö till en lunchrestaurang i Hallonbergen, Beirut By Night.
Många av restaurangens lunchgäster arbetade inom telekomindustrin i det
närliggande Kistaområdet och korten de betalade sina notor med var ofta
kopplade till företagskonton med hög eller ingen övre uttagsgräns.
För ägaren till Beirut By Night var det hela ett mysterium.
Han litade på sina anställda, och hade dessutom lagt mycket pengar på ett helt
nytt kassasystem från ett relativt nystartat kassaföretag i Norrköping.
Hur kunde hans kunders kortnummer hamna hos en ökänd
bedragare?
Kassaföretaget Alphacash kontor låg inhyst i en liten men
vacker trerumslägenhet högst upp på tredje våningen i en sliten tegelfastighet
på Trädgårdsgatan i centrala Norrköping. Det hade högt i tak, med stuckaturer
och stora fönster mot gatan där de öststatsliknande spårvagnarna då och då
slamrade förbi.
Hade det inte varit för alla gamla lunchkartonger, urdruckna
pet-flaskor och svarta soppåsar hade det kunnat röra sig om vilket litet
innerstadskontor som helst. Nu påminde det mer om en ungkarlslya.
Här satt Jesper Öhnstedt och den tredje delägaren Jonas
Petersson vid var sin PC-dator och utvecklade Alphacash programvara, medan
Mattias Eriksson åkte runt till kunder i firmans Volvo. De var alla i
trettioårsåldern.
Mattias var den naturliga företrädaren för företaget. Det
var också han som stod som kontaktperson när registreringshandlingarna
skickades in till bolagsverket i maj 2005. Då hade han flera bolag inom
databranschen bakom sig. Några år tidigare hade han drivit en liten datorbutik
i Norrköping tillsammans med en barndomsvän från Krokek. Men när han insåg att
han tjänade mer pengar på att installera nätverk och utföra andra sysslor på
konsultbasis lade han ned butiken.
– Alla säljer datorer i dag i alla fall, resonerade han.
På en restaurangägares inrådan fick han upp ögonen för
kassaterminalbranschen. Tidpunkten var precis rätt. Där fanns mycket pengar att
hämta.
Med allt hårdare redovisningskrav från skattemyndigheten
och med kortbetalningarnas verkliga genombrott behövde gamla kassaregister
ersättas av moderna terminaler. Och flera kassaterminaler på marknaden bestod
av vanliga PC-system som Mattias Eriksson redan var van att arbeta med.
Han började serva kassasystem i Norrköpings krogvärld och
blev snart känd som en både effektiv och kompromissvillig datatekniker.
Genom ett konsultuppdrag för det göteborgsbaserade
företaget POS One kom han i kontakt med företagaren Håkan Tegelberg, en verklig
veteran inom kassabranschen.
Håkan hade sålt kassaregister i trettio år och började
tröttna på alla klagomål från kunder med krånglande terminaler. I Mattias
Eriksson såg han en driven person som delade hans planer att utveckla enklare
programvara, med mindre krångel.
Håkan Tegelberg anställde Mattias Eriksson och hans två
programmeringskunniga vänner Jonas Petersson och Jesper Öhnstedt. Håkan
Tegelberg såg sig som pappa för projektet, och stod för finansieringen mot att
han någon gång i framtiden vid en eventuell försäljning skulle få en stor del
av pengarna.
Framtiden såg ljus ut.
För att få koppla kassaterminalerna till kortsystemet slöts
ett avtal med Strålfors, ett av de servicebolag som agerar länk mellan banker,
butiker och kortföretag. Därmed var Alphacash godkända som en i raden av
leverantörer av kassaterminaler till restauranger och butiker – och officiellt
insläppta bakom murarna till det digitala betalningssystemet.
I Alphacash utvecklades Mattias Eriksson till en verklig
säljmaskin. Han levde för jobbet och beskrivs som en naturbegåvning, en säljare
av den gamla skolan där det räckte med ett handslag, sedan var allt okej.
Hans arbete kretsade kring restauranger och krogar. Sålde
han inte kassaterminaler för Alphacash, kunde han ställa upp som entrévärd
eller diskjockey. Därmed kom han också i kontakt med de mer ljusskygga sidorna
av krogvärlden, som finns också i en mellanstor stad som Norrköping.
En dag nämnde han för Jonas att han hjälpt den lokala
MC-klubben Top Hat MC att installera ett krypteringsprogram på klubbens
datorer.
– Var det så väldans smart? frågade Jonas, väl medveten om
att klubben aspirerade på att bli Hells Angels nästa avdelning i Norrköping.
Mattias Eriksson ryckte på axlarna, och menade att han bara
hjälpte några killar han träffat på krogen.
När Jonas träffade en tjej i Thailand och blev allt mindre
intresserad av att dra runt på krogen, gled de båda vännerna ifrån varandra.
Mattias sökte sig till nytt umgänge på de mer utpräglade inneställena i
Norrköping, där han beskrivs som en person som sprang runt med tjocka
sedelbuntar i fickan och som kunde spendera tusentals kronor under en kväll.
För dem som ville lyssna berättade han om sin dröm att lämna
stressen i Sverige. Han tänkte inte bli som sin pappa, som satt hemma i lägenheten
i Krokek, drabbad av hjärtproblem redan innan han fyllde fyrtio. Det var inte
värt det. Istället skulle Mattias Eriksson packa väskorna en dag, och flytta
till Brasilien.
I november 2006 köpte han en tomt i området Maxaranguape,
ett fiskesamhälle med tiotusen invånare, drygt två mil norr om den stora
turistmetropolen Natal och inte långt ifrån fotbollsstjärnan David Beckhams och
den inhemske formel ett-stjärnan Ruben Barrichellos gemensamma lyxresort Cabo
São Roque.
Hela kustremsan var fylld av stora spekulationsprojekt. Med
norska oljepengar och under den norska »self made« finansmannen Svein-Erik
Bakkes ledning skulle det idylliska fiskesamhället inom tio år vara förvandlat
till världens största semesterby med 5 000 lägenheter, åtta hotell och tre
golfbanor.
En fantastisk dröm och slutmålet för ett hårt arbetsliv
enligt vissa. Ett vansinnesprojekt enligt andra.
Det fanns ju inte ens en asfalterad väg från Natal till
Maxaranguape.
Tre veckor efter att Mattias Eriksson köpt sin tomt begick
Svein-Erik Bakke självmord och hela högriskprojektet sattes i gungning.
Det fick inte Mattias att sluta drömma.
Så gott som dagligen fick vännerna höra om fördelarna med
att lämna Sverige. Mattias Eriksson skulle sticka när det arkitektritade huset
var färdigbyggt, om kanske fem år. Han skulle sälja bolaget, och sedan leva på
avkastningen.
Hur lätt var inte allt därnere!
Medan polisen jagade »Jean Naaoum« för kortbedrägerierna på
Djurö uppmärksammades de svenska bankerna på allt fler obehöriga
transaktioner. I månadsskiftet januari-februari 2007 drabbades en av
Handelsbankens kunder av ett obehörigt uttag på 9 074 kronor. Ännu en gång
kunde det spåras till ett kort som använts på Beirut By Night, men den här
gången gjordes inte uttaget på en butik i Stockholms skärgård, utan på en
ögrupp nästan tusen mil därifrån: Filippinerna.
Nu började rapporterna dessutom strömma in om skumma uttag
från kort som aldrig hade varit i närheten av restaurangen i Hallonbergen.
Fem kort som räckts över till personalen på en stor
nattklubb i Borås användes för kortköp för sammanlagt 161 000 kronor. Även den
gången gjordes uttagen på Filippinerna, men också i Thailand.
En man som inte hade lämnat Norrköping på flera månader, men
som dragit sitt kort på en av innekrogarna i stan, upptäckte att pengar togs ut
från hans konto – i USA.
Alla storbanker var drabbade, utan urskiljning.
Någonstans i det digitala betalningssystemet fanns
uppenbarligen en lucka. Det enda bankerna kunde göra innan den hade tätats var
att ersätta kunderna med de förlorade beloppen, och spärra kortnumren i den
takt bedrägerierna uppdagades.
Varje dag görs över tre miljoner transaktioner med svenska
bank- och kreditkort. Det innebär att enorma värden förflyttas inom
kortsystemet, värden som tidigare fanns uppdelade i var mans plånbok i form av
sedlar och mynt.
För banker och handlare finns det mycket att tjäna på den
här övergången – så sent som i början av 90-talet var tjugofem procent av bankernas
kostnader kopplade till hanteringen av kontanter. Betalkorten har inneburit
färre butiksrån, färre kostsamma penningtransporter och ökade skatteintäkter
för staten i och med att det blivit svårare att betala svart för varor och
tjänster. För varje kortköp tjänar dessutom systemets olika aktörer pengar i
form av avgifter.
I takt med övergången till kort har de digitala
säkerhetskraven ökat. Det måste gå att lita på systemet – annars påverkas hela
samhällsekonomin.
Alla svenska banker håller sig därför med egna
säkerhetsavdelningar som dygnet runt, sju dagar i veckan, med hjälp av
sofistikerade system skannar av samtliga korttransaktioner i jakt på händelser
som skiljer sig från det normala. Om någon handlar mjölk på Ica i Tranemo för
att en halvtimme senare dra samma kort hos en taxichaufför i Johannesburg,
finns det system som får ett meddelande att omedelbart dyka upp på
dataskärmarna inne på bankernas säkerhetsavdelningar. Enligt företaget Secana,
som bland annat anlitas av SEB för skanning av kundernas köpbeteenden, upptäcks
86 procent av alla kortbedrägerier genom den typen av automatiserade
kontroller.
Det som nu drabbade de svenska bankerna antydde problem av
mycket större dignitet. Och för åtminstone några av de inblandade experterna
måste det inträffade ha gett en obehaglig känsla av deja vù.
Västsvensken Magnus Jakobsson var 25 år gammal när han 1999
trädde in på den internationella kortbedragarscenen.
Han hade begått en del småbrott tidigare – några inbrott i
skolor och kontorslokaler tillsammans med kompisar, enklare kortbedrägerier,
innehav av nio högexplosiva sprängkapslar »för att tillverka en nyårssmällare«.
I de lokala medierna var han omskriven som »radiomarodören« som byggde om sin
radioutrustning för att gå in och sända på polisens frekvenser.
»Jag ville bara retas lite«, sade den unge mannen under en
rättegång där han även beskrev sitt stora intresse för att plocka isär och
bygga ihop tekniska apparater.
När han sommaren 1999 kom i kontakt med en ryss vid namn
Andrej Golov tog småfifflaren ett stort kliv rakt in i grov organiserad
brottslighet. Golov var säkerhetschef vid den ryska storbanken Alfa Bank/Union
Card, och beskrivs som ett matematiskt geni som fallit för frestelsen att tjäna
stora och snabba pengar.
Genom sitt arbete hade han full tillgång till bankens
datasystem, inklusive krypteringsnycklar och servrar som hanterade elektronisk
trafik för samtliga utländska kort som stacks in i uttagsautomater runt om i
Ryssland. Andrej Golov tog sig in i systemet och stal hundratusentals
kortnummer med tillhörande pinkoder.
Men han behövde någon som kunde föra över kortinformationen
till nya plastkort, och som kunde ta risken att plocka ut pengarna. Gärna långt
bort från Ryssland.
Andrej Golov blev imponerad av Magnus Jakobssons kunskaper
och erbjöd honom kortinformationen i utbyte mot att han själv fick 60 procent
av allt som plockades ut ur automaterna. Magnus Jakobsson godkände villkoren
och fick tjugo- till trettiotusen kortnummer med tillhörande pinkoder skickade
till sig.
Svensken tillverkade vita, hemmagjorda betalkort med den
fyrsiffriga koden inskriven i plasten. Under ett drygt år plockade Magnus
Jakobsson och personer som han anlitade ut minst tio miljoner kronor ur
uttagsautomater över hela Västeuropa. Sverige, särskilt Göteborgsområdet, var
extra hårt drabbat.
Det dröjde mer än ett år innan polisen lyckades stoppa det
som då beskrevs som den största internationella kortbedrägerihärvan någonsin.
Flera av personerna som greps med Magnus Jakobssons plastkort var medlemmar i
det nybildade kriminella gänget Original Gangsters. Hösten 2001 dömdes Magnus
Jakobsson till fem och ett halvt års fängelse för grova organiserade
kortbedrägerier, och för att ha skaffat fram 21 pistoler åt personer i den
kriminella gängmiljön.
Nu användes liknande bedrägerimetoder igen. Än en gång stod
Sverige i centrum.
I månadsskiftet februari och mars 2007 flögs i största
hemlighet europachefen för det brittiska säkerhetsföretaget Cybertrusts
avdelning för kriminaltekniska utredningar till Stockholm för att inleda en
privat undersökning åt de fyra svenska storbankerna.
Cybertrusts utredare kom fram till att det inte var de
enskilda restaurangerna som var felkällan i den växande svenska korthärvan,
utan restaurangernas kassasystem. Alla drabbade restauranger hade kassor med
integrerade kortläsare som de inhandlat från ett Norrköpingsbolag.
Alphacash var en av de mindre aktörerna inom kassabranschen
med drygt 120 sålda kassor utspridda på ett åttiotal restauranger i framför
allt Göteborgs- och Norrköpingsområdet, men det räckte för att nästan 200 000
kortkunder haft möjlighet att dra sitt kort genom terminalerna.
Cybertrusts utredare fann att Alphacash kassaterminaler i
strid mot alla branschens regler sparade informationen från alla kort som
dragits i restaurangerna. Den låg kvar okrypterad i terminalernas minne, och
kunde när som helst tankas över till ett USB-minne eller brännas över till en
CD-skiva. Det gjorde Alphacash kassaterminaler till stora skimningsutrustningar
fyllda med värdefull kortinformation.
Samtidigt hittade utredaren ett fjärrstyrningsprogram i
kassaterminalerna som tillät personer att ta sig in i terminalerna och hämta
hem information varhelst ifrån.
Utredaren från Cybertrust rapporterade till sina
uppdragsgivare att den skyldige förmodligen stod att finna bland Alphacash
delägare.
En stark känsla av olust sköljde över Jesper Öhnstedt i
samma stund som han klev in genom dörröppningen till Mastercards mötesrum, och
möttes av blickarna från över tjugo personer iklädda mörka kostymer och
dräkter.
»Nu är det allvar«, tänkte han.
Utanför var det en kall onsdagsförmiddag den 13 mars och vid
ett långt ljust mötesbord på fjärde våningen i en av Sergelsskraporna i
Stockholm träffade han och Jonas Petersson storbankernas säkerhetspersonal öga
mot öga för första gången.
Enligt inbjudan skulle mötet handla om
»restaurantincidenten«.
Mycket mer visste de inte.
Nu ställde representanter för alla de fyra storbankerna
samt Strålfors, Visa och Mastercard frågor om Alphacash säkerhetsrutiner.
– Vad vet ni om Strålfors Auriga-server? frågade någon.
– Hur många brandväggar har ni på kontoret?
– Vad vet ni om PCI DSS-autenticering?
Ju längre mötet fortgick, desto mer insåg Jonas och Jesper
att många av frågorna handlade om sådant som bara Mattias Eriksson kunde svara
på. Men han var i Brasilien, för andra gången på ett halvår. För att fira sin
trettioårsdag och för att hämta hem sin nyblivna flickvän till Sverige.
De fick frågor om en olovlig transaktion gjord på en av
innekrogarna i Norrköping, restaurang Carl Johan. Ett köp på 50 000 kronor hade
gjorts med ett Mastercard Gold kopplat till ett konto i Hongkong. Omedelbart
efter godkännandet gjordes ett ångerköp på samma summa, men istället för att
hamna på Mastercard-kortet fördes summan över till ett svenskt Nordeakort.
Jonas och Jesper satt som två stora frågetecken.
– Nä, så fungerar det inte, det ska inte ens gå att göra så,
började Jonas.
Sedan kom han på att för den som hade tillgång till ett
administratörskonto, skulle det säkert vara teoretiskt möjligt.
– Men det är definitivt inte vanligt, sade han.
När mötet var över tog Jonas och Jesper hissen ner från
Mastercards kontor. De bara tittade på varandra och skakade på sina huvuden. De
kände att något stort var under uppsegling som de inte hade kontrollen över.
Först när de kom ut på gatan bröts tystnaden av Jonas
Norrköpingdialekt:
– Jag tror att det är någon som har en del att förklara när
han kommer hem.
Mattias Eriksson var den som skötte servicen åt kunderna.
För sin egen bekvämlighet hade han ett fjärrstyrningssystem som lät honom logga
in i kassaterminalerna på distans. Därmed kunde han också vittja dem på
information, var han än befann sig. I teorin fanns det inget som hindrade honom
från att sedan skicka den vidare till en utomstående person som tillverkade nya
plastkort med informationen.
När Mattias Eriksson kom hem från Brasilien försökte Jesper
Öhnstedt prata med sin kompanjon om problemet, men fick bara undanglidande
svar. Det var en märkbart stressad Mattias som Jesper Öhnstedt fick med sig
till ett nytt möte uppe på Mastercard en vecka efter det första. Nu räckte den
engelske utredaren fram ett fax med en kopia av ett körkort till delägarna för
Alphacash.
Cybertrusts säkerhetsexpert berättade att mannen på
körkortet var identisk med ägaren till de två bankkort som använts vid den
omtalade överföringen på restaurang Carl Johan.
Jesper Öhnstedt granskade bilden, men den sade honom
ingenting. Utredaren frågade om han inte kände igen mannens namn. Inte heller
det hade Jesper hört talas om. Samma svar gav Mattias Eriksson.
– It’s a very bad man, sade utredaren allvarligt, och
verkade bestört över att två personer som arbetade med kassasystem i Sverige
inte var bekanta med namnet.
Mannen på bilden var Magnus Jakobsson.
En kväll några dagar senare ringde telefonen hemma hos
Alphacashfinansiären Håkan Tegelberg i Kungälv. Han hörde en panikslagen röst i
luren:
– Jag är hos dig om en timme. Jag måste sticka.
Det var Mattias.
Håkan Tegelberg undrade om det hade hänt Mattias flickvän
något. Han visste att de hade kommit från Brasilien bara ett par dagar tidigare
och att hon var i Sverige för första gången. Nu skulle de tillbaka med vändande
flyg.
Mattias varken lyssnade eller förklarade:
– Vi kommer nu. Vi måste sticka, sa han.
När Mattias kom innanför dörren till Håkan Tegelbergs villa
såg han lika panikslagen ut som han hade låtit i telefonen.
Han berättade en historia som gick ut på att han blivit
mordhotad av en restaurangägare i Norrköping. Denne beskyllde Mattias för att
ha sålt en kassaterminal som gjorde att polisen kunde uppdaga ett
skattebedrägeri. Nu menade Mattias att hans enda utväg var att fly landet.
Håkan försökte lugna ner honom och förklarade att det måste
finnas andra sätt.
Under kvällen lade Mattias Eriksson plötsligt
upp en tjock bunt med sedlar på vardagsrums-bordet inför Håkan Tegelberg och
hans familj. Det var närmare 200 000 kronor. Enligt Håkan Tegelberg hade
Eriksson dessutom väskorna fullproppade med nyinköpta laptopar och andra
elektronikvaror.
Nästa dag tog Mattias Eriksson och hans flickvän bilen till
Oslo och Gardemoens flygplats. Klockan närmade sig fyra på eftermiddagen den 24
mars 2007 när Air France flight AF2375 lyfte för att ta dem till Paris, och
därifrån vidare till Brasilien och Natal.
För Norrköpingspolisen kom Jesper Öhnstedts anmälan av
Mattias Eriksson som en blixt från klar himmel. Utöver spridda, till synes
separata fall av kontokortsbedrägerier, fanns ingen samlad anmälan om mer
storskalig brottslighet. Namnet Alphacash var okänt. Det fanns ingen utredning,
ingen anmälan, ingenting. Polismännen var frustrerade. Bankerna hade gjort som
de brukade. De hade skött utredningen själva.
Och nu hade den huvudmisstänkte i vad som kunde vara den
hittills största kortsvindeln i Sverige redan dragit till ett land han inte
kunde begäras utlämnad ifrån.
Först ytterligare ett par dagar senare, den 29 mars 2007,
lämnade SEB som första bank in en polisanmälan. Veckorna därpå följde de andra
storbankerna efter.
Det dröjde ytterligare fem veckor innan uppgifterna om att någonting
hade hänt sipprade ut till allmänheten. Då hade mer än tre månader gått sedan
den första stora bedrägeriattacken i Tempobutiken på Djurö. Bankernas utredning
hade pågått nästan lika länge.
Den 7 maj avslöjade Dagens industri att Eurocard sänt ut brev
till över tusen kunder i Sverige där företaget förklarade att deras kortnummer
kunde ha hamnat i orätta händer. Eurocards kort är bland de mest eftertraktade
bland kortbedragare eftersom de ofta saknar övre uttagsgräns. Nu skulle tusen
kort bytas ut »i förebyggande syfte«.
»Vi har fått
signaler. Men jag kan inte gå in i detalj på hur vi snappar upp det här«, sa
Sofia Fjellestad, marknadsansvarig på Eurocard till Dagens industri.
Dagen därpå bekräftade SEB att tiotusen av bankens kort
skulle bytas ut.
»Detta är större än vi först trodde«, sade bankens informationschef
Kerstin Ottosson.
Journalisterna fick bokstavligen dra ut informationen från
bankerna och först ett par dagar senare medgav också SEB:s konkurrenter att de
var drabbade.
Handelsbanken berättade att 5 268 kunder skulle få nya kort,
hos Nordea låg siffran på drygt 20 000. Den största kortutgivaren Swedbank
erkände visserligen att man drabbats, men har än i dag inte angett någon
siffra, med motiveringen att man aldrig redovisar den typen av uppgifter.
Finansinspektionens enhet för kredit och operativa risker
fick beskedet om det stora läckaget av kortinformation via media, och bad om en
förklaring. En första kontakt togs med SEB, som – samtidigt som
informationschefen sagt till medierna att tiotusen kort bytts ut – meddelade
Finansinspektionen att den korrekta siffran var 24 000 kort.
Precis som är fallet med nästan alla större amerikanska
uppfinningar finns det en svårkontrollerad anekdot knuten till hur det första
kreditkortet kom till. Den inleds med en dyr nota på en exklusiv
affärsrestaurang på Manhattan, den 28 februari 1950.
Affärsmannen Frank McNamara hade just avslutat en middag
med ett par affärsbekanta och deras fruar när han upptäckte att plånboken inte
låg på sin plats i kavajens innerficka. Frank McNamara ville ändå upprätthålla
skenet när notan kom in, och kontaktade hovmästaren. Diskret räckte McNamara
honom ett av sina visitkort som han signerade baktill, med en uppmaning att
skicka räkningen till hans kontor dagen därpå.
Samma år grundade Frank McNamara företaget Diners Club.
Innan året var slut hade han gett ut 200 kort som accepterades på 27 exklusiva
restauranger och två lika exklusiva hotell i området runt Wall Street.
Det var naturligtvis ingen tillfällighet att just Frank
McNamara, känd och betrodd gäst, slapp diska sig från notan den där
februarikvällen 1950. Liksom alla tidigare kända betalningsmedel är kreditkortet
framför allt en fråga om förtroende.
Redan före vår tideräkning präglades mynt med kejsarens bild
eller den härskande maktens symboler som garant för myntets värde. De första
svenska sedlarna bar namnunderskrifter från alla riksbankens ledamöter för att
inge förtroende och en garanti att den sköra papperslappen när som helst kunde
bytas mot klingande silver.
Kortsystemet bygger på att säljaren av en vara kan lita på
att den virtuella summan i kassaterminalen verkligen kan växlas in i reella
pengar. Samtidigt måste kunderna kunna lita på att deras pengar är i trygga
händer hos kortföretagen.
Magnetremsan är en enkel metod för att lagra information som
dessutom är relativt felfri. Men dess enkelhet gör den också lätt att kopiera.
Säkerhetsmässigt har magnetremsan beskrivits som det moderna kortsystemets
akilleshäl.
I dag kan vem som helst köpa en kombinerad kortläsare och
skrivare för tillverkning av egna plastkort för ett par hundralappar via
butiker på internet. Samma teknik som används av företag och
bostadsrättsföreningar för att tillverka passerkort, kan användas till att
skapa egenhändigt tillverkade betalkort.
– Kort med magnetremsa är en usel produkt. Det är inte
svårare att ändra den lagrade informationen än det är att spela in musik på ett
kassettband, sade chefen för rikskriminalens finanspolis Marcus Qvennerstedt
redan 2001.
Åtta år senare har alla kort som ges ut i Sverige
kompletterats med säkerhetsdetaljer som det glittriga hologrammet på
Visakorten, och den så kallade CVV-koden som ökar säkerheten vid betalningar på
internet. På kortens framsida finns numera ofta det säkrare chipet, en elektronisk
krets som kan krypteras hårdare och är betydligt svårare att knäcka för en
bedragare.
Övergången från magnetremsa till chip är ett ofantligt
projekt: det finns 2 800 uttagsautomater i Sverige, och mer än 187 000
kassaterminaler ute i butiker och restauranger. Handlarnas
samarbetsorganisation Svensk handel uppskattar att den mer eller mindre
framtvingade nyordningen kostar butikerna en miljard kronor bara i år. Sedan
den första mars i år ersätter inte bankerna de handlare som utsatts för
kontokortsbedrägerier vid köp där enbart magnetremsan har använts.
Samtidigt är inget system starkare än sin svagaste länk. Så
länge korten har kvar magnetremsan kan de kopieras och användas nästan var som
helst utanför Sverige. Flera av våra vanligaste semesterorter har ännu inte
påbörjat övergången till chipteknik, och den ledande ekonomiska världsmakten
USA har hittills inte visat något intresse för att gå ifrån magnetremsan –
eller ens infört pinkoder för bankkort.
Händelser som Alphacashhärvan och Andrej Golovs kupp mot
Alfa Bank visar också att moderna bedrägerier lika väl kan ske innanför
bankernas noggrant uppbyggda skyddsmurar.
Kritiker menar att bankerna avslöjar så lite som möjligt när
de utsätts för attacker, för att inte rubba folks förtroende och riskera en
fördröjning av det kontantlösa samhället och investeringarna i nya chipläsare.
Svensk handels säkerhetschef Dick Malmlund efterfrågar en betydligt större
öppenhet från bankerna.
– De vill ju inte exponera svagheter i systemen därför att
det blir dyrare för dem, men även då tappar folk förtroendet. Man måste vara
ärlig. Jag tror att det handlar om att man har större problem än vad man vill
torgföra, framför allt tror jag att man inte känner att man sitter på trumf.
I ett e-postmeddelande som gick ut till de övriga delägarna
några dagar efter flykten, medgav Mattias Eriksson att han hade haft en
långvarig kontakt med den dömde kontokortsbedragaren Magnus Jakobsson, men att
de träffats på internet av en tillfällighet när han sökte affärskontakter i
Asien. »Under denna tid så jobbade han sig in i vårat system«, skrev Eriksson.
»Resultatet av detta blev att han kom åt en massa kortnummer från vårat
system.«
Men mest verkade han tycka synd om sig själv:
»Vad kan jag säga annat än att jag inte sitter på någon drömsits
just nu, i ett skitland utan en spänn på fickan. Jag hoppas att jag någon gång
kan ordna upp saker och ting. Detta är inget som jag har gjort med uppsåt.
Hoppas att ni förstår och att allt löser sig.«
Det gjorde det inte.
När kontoutdragen från företagskortet damp ned i brevlådan
uppe på Alphacash kontor, upptäckte Jonas Pettersson och Jesper Öhnstedt att
pengarna som finansierat Mattias Erikssons tomtköp i Natal till större delen
kom från deras företagskonto. Dessutom hade landsflyktingen tömt företagskortet
och maxat krediten innan han satte sig på flygplanet till Brasilien.
Snart kontaktades Jonas Pettersson och Jesper Öhnstedt
dessutom av skattemyndigheten som krävde dem på hundratusentals kronor i
obetalda skatter, pengar de trodde att Mattias Eriksson låtit bli att betala
under två års tid.
De båda vännerna startade ett nytt kassaterminalbolag, men
utan integrerade kortläsare. I ett brev till en av storbankernas
säkerhetsansvariga undrade de om det fanns någon framtid för dem inom
branschen.
Svaret de fick: »Det kan konstateras att Alpha Cash
säkerhetsarbete och tänk kring hur man hanterar känslig kortinformation har
varit helt obefintlig och dessutom haft inslag av olaglig verksamhet. Det
strider mot minsta tänkbara sunda förnuft och mot samtliga punkter i PCI Data
Security Standard som reglerar hur kortinformation får hanteras vilket fått
mycket stora konsekvenser för kassakunder, banker, kortinnehavare och flera
andra parter.«
Jonas Pettersson och Jesper Öhnstedt tolkade det som ett
nej.
Samtidigt fortsatte bedrägerierna med kortuppgifter som
läckt från Alphacash terminaler. Attackerna skedde från alla världens hörn, och
utan tydliga kopplingar till Sverige. Det är troligt att en del av
kortinformationen sålts för en dollar styck på något av de skyddade forum för
kriminella hackers, skimmare och identitetstjuvar som finns på internet.
Med Mattias Eriksson utflugen och Magnus Jakobsson boende i
Thailand gick polisens arbete trögt.
På nystartade hemsidan www.flytillbrasilien.se kunde
utredarna följa Mattias Erikssons liv på andra sidan Atlanten. »Våga släpp
taget och fly till Brasilien«, skrev Eriksson. »Var med om att bygga din dröm
utanför Sverige. Investera i Natal, Brasilien. Billigare än så kan det inte
bli. Varför lägga alla pengar på skatt och moms i Sverige när man kan åka till
Brasilien och starta upp en verksamhet för en bråkdel av pengarna vad det
skulle kosta i Sverige?«
Eriksson tipsade den hugade om att Norge som icke EU-land
inte delade utreseinformation med Sverige, och att Gardemoen därför var den
bästa platsen att rymma ifrån. Han uppgav också matnyttig information som det
lokala priset på en flaska Smirnoff eller en påse fryst pommes frites, samt att
stället var i stort behov av en pizzabagare. På hemsidan förbannade han de medier
som skrev om Alphacash-härvan, och utmålade sig själv som utsatt för en
komplott.
Trots bankernas stora kortbytesprogram fanns fortfarande
fungerande kort på vift. Under hösten 2007 drabbades Strålfors av ett
allvarligt dataintrång, som innebar att falska kortköp för omkring en miljon
kronor kunde göras direkt i Strålfors system. När kortköpet var godkänt gjordes
omedelbart ett returköp där pengarna fördes över till andra bankkonton.
Kortinformationen som användes kom återigen från Alphacash, och när de
IP-adresser som användes vid intrånget bland annat spårades till Brasilien och
Thailand ansåg sig utredarna kunna knyta både Mattias Eriksson och Magnus
Jakobsson till brottet.
I slutet av december begärde åklagaren Karl-Erik Esbo i
Göteborg dem häktade, och sände ut en internationell efterlysning.
Några dagar senare skickade Magnus Jakobsson ett fax till
tingsrätten där han förklarade sig oskyldig till alla anklagelser, och begärde
att få förre justitieministern Tomas Bodström som försvarsadvokat.
Jakobsson hade skapat sig ett nytt liv i Thailand efter
tiden i fängelset, bildat familj och fått ett bra jobb i Hong Kong, som han
förlorade som en följd av anklagelserna mot honom.
Den 10 januari 2008 klev Magnus Jakobsson ensam in på
polishuset i Göteborg och anmälde sig i receptionen. Väl hos polisen sade han
ingenting på sju veckor.
– Jag försökte prata med honom men han var inte så värst
pratsam, säger Bengt-Åke Nilsson som höll i utredningen vid
länskriminalpolisens utredningsrotel.
Magnus Jakobsson delade bankernas uppfattning att systemet
var osäkert, men nekade till att ha haft något alls med bedrägerierna att göra.
I stället menade han att det var hans gamla dom från 2001 som gjorde att han
misstänktes för inblandning i läckaget kring Alphacash terminaler.
– Ett tema när vi höll förhör med honom var att han hade
inblick i vad det här handlade om, men han menade att den insynen hade han fått
av andra skäl än för att begå brott, säger Karl-Erik Esbo.
Ungefär samtidigt som Magnus Jakobsson började prata,
tystnade bankerna. Polis och åklagare som beskriver att de tidigare haft ett
bra samarbete med bankernas säkerhetsavdelningar, fick inte längre svar på sina
frågor.
Vilka konton var inblandade? Hur stora var summorna?
IP-nummer, tider, datum?
En allt mer stressad Karl-Erik Esbo skrev ett brev till
bankerna, med en kopia till Magnus Jakobssons advokat Thomas Bodström, där han
förklarade att det nu fanns en man frihetsberövad, och att det därför var extra
viktigt att bankerna svarade snabbt på polisens frågor.
– Jakobsson ställde krav på att vi skulle gå tillbaka till
bankerna och få nya uppgifter, och jag tyckte inte att jag fick den information
som jag önskade för att känna mig trygg att fortsätta
ha honom frihetsberövad, säger åklagaren.
Han fick aldrig något svar på brevet.
– När jag inte fick de svar jag behövde så hävde jag
häktningen. Och det stannade väl där helt enkelt, säger Karl-Erik Esbo.
I slutet av november 2008 lade han ned förundersökningen. I
en bilaga till beslutet skriver han att de brott som utretts i ett och ett
halvt års tid »verkligen verkar ha begåtts«, men att utredningen inte kunnat
visa vem eller vilka som begått dem.
Hos polisen i Norrköping och Stockholm mottogs nedläggningen
med bestörtning.
– Det var inte oväntat, men tråkigt, säger Kaj Hahne vid
Stockholmspolisens bedrägerirotel. Det är komplicerade utredningar och när en
av de huvudmisstänkta inte finns kvar i landet blir det ännu svårare.
Han är starkt kritisk till hur bankerna och framför allt
deras utredare skötte saken från första början:
– Här går bankerna upp med en privat utredare och sätter
hårt mot hårt mot den som är huvudmisstänkt, utan att ha en sheriff med sig.
Sedan går man därifrån. Vi hade gått tillväga på ett helt annat sätt. Med den
utredning som fanns till grund hade vi kunnat gripa, eller i vart fall gått
till åklagare och ordnat med ett reseförbud.
Den enda som åtalades för Alphacashsvindeln var den
mångfacetterade fifflaren »Jean Naaoum«. I juni 2008 dömdes han till ett år och
nio månaders fängelse, samt utvisning.
Lars Vikström, nu pensionerad informationssäkerhetschef för
Handelsbanken, fick en form av samordnande roll för bankerna under utredningen.
Han säger att man aldrig fick något brev från åklagaren.
– Jag tyckte att vi hade ett jättebra samarbete med polisen
och jag tyckte att jag gav dem all den information som vi hade. Men tyvärr
räckte det inte hela vägen. Jag beklagar det lika mycket som åklagaren.
Samma inställning redovisar alla de fyra storbankerna
samstämmigt. De understryker att alla kunder gjorts ekonomiskt skadelösa och
att de egna åtgärderna förhindrat verkligt stor skada som en följd av läckaget.
Bankerna är också överens så till vida att de inte vill ge
en totalsumma på antalet berörda kort i Alphacash-härvan.
Enligt en av Sveriges främsta experter på IT-säkerhet,
Joakim von Braun på företaget High Performance Solutions, har bankerna bytt ut
»betydligt fler än 80 000 kort«.
Uppskattningen stämmer väl överens med den uppgift om 24 000
utbytta kort som SEB gav Finansinspektionen i början av maj 2007, före härvans
kulmen och intrånget i Strålfors.
SEB står som utgivare för drygt en tredjedel av landets nio
miljoner kort, och det har inte framkommit några uppgifter om att de skulle ha
varit hårdare drabbade än några andra banker. Tvärtom är det rimligt att anta
att alla bankkunder utsatts för en likvärdig risk. Bankerna skulle med samma
resonemang ha förlorat betydligt mer än tio miljoner kronor.
Det gör kortsvindeln till den största hittills i svensk
historia.
Det finns ett billigt rum att hyra, bara fem minuter från
stranden i turistorten Ponta Negra söder om Natal. För 1 200 kronor blir det
ditt för en vecka. Då ingår trådlös uppkoppling mot internet, vatten, el och
gas.
Att döma av bilden som ligger upplagd på annonssidan Blocket
tar en bred säng med aluminiumben upp större delen av det spartanskt inredda
rummet.
Det är ett rum i en lägenhet i ett av Ponta Negras sämre
områden som Mattias Eriksson hyr ut åt svenska turister. Lägenheten har inte
mycket gemensamt med de drömmar han hade om ett bekvämt lyxliv i en
arkitektritad villa.
– Nu sitter jag här nere, jag har fått skiten för alltihopa
och bor i Ponta Negras slumområde, stadsdelen som hotellen varnar turisterna
för att gå till efter att det har blivit mörkt, den billigaste jävla lägenheten
man kan leta reda på, säger Mattias Eriksson när jag når honom på hans
mobiltelefon.
Solen sken inte ens första dagen de kom till det nya landet.
Flygplatsen i Rio de Janeiro var insvept i en tät dimma och de missade
anslutningsflyget som skulle ta dem vidare till Natal.
– Det är ingen jävla dans på rosor här nere. Jobb är
omöjligt att få. Det är det liv man har, men jag känner: att åka tillbaka till
Sverige, vad har jag där?
Han vidhåller sin förklaring till varför han flydde: han var
rädd, inte för polisen eller bankernas utredare, utan för en restaurangägare i
Norrköping.
Enligt polisen levde Mattias Eriksson ett utsvävande liv med
mycket festande de första veckorna i Brasilien. Mattias Eriksson själv säger
att han hade med sig två packade resväskor och 30 000 kronor i kontanter.
Oavsett vems bild som stämmer är det uppenbart att pengarna nu är slut.
En gammal barndomsvän skickade ner några tusen med Western
Union. Föräldrarna hemma i Krokek har skickat en del. Han säger att han har
lyckats få ihop några tusenlappar här och där genom att tillverka hemsidor åt
svenska företag, men att det inte rör sig om några större summor.
Tomten med sjuttio meter ned till den brusande Atlanten
tvingades han sälja »för att lösa en del skulder« och »för att köpa möbler till
lägenheten«.
– Den var svårsåld som fan. Jag sålde den till långt under
värdet, säger Mattias.
Livet i Brasilien som skulle ha varit enkelt att leva har
blivit till en ständig jakt efter pengar. Alphacash gamla hemsida på Internet
har han gjort om till en annonsplats för spelsajter på Internet. Enligt Mattias
ger det honom hundra dollar med några månaders mellanrum.
Han har tagit SMS-lån i Sverige på 20 000 kronor som han
inte har för avsikt att betala tillbaka och agerar målvakt i ett säkerhetsbolag med kopplingar till den
organiserade brottsligheten.
– Det är inga roliga grabbar som äger det där, så jag vill
inte bråka med dem. Jag vet inte vad de gör med skiten, men jag fick betalt för
det och behövde pengar för att köpa mat och betala min hyra. Jag skiter
faktiskt i vad som händer med det bolaget om jag ska vara riktigt ärligt, men
jag tvekar inte att göra det igen så länge det handlar om att överleva.
Trots det låter han inte alltför ångerfull:
– Jag ångrar bara en sak, och det är att jag inte gjorde
det, för då hade jag i alla fall suttit här med cash.
Fotnot: Magnus Jakobsson har trots upprepade kontakter
avböjt sin medverkan.
Daniel Olsson är frilansande kriminalreporter och medlem av redaktionen för Grävande journalisters tidning Scoop.
Rickard Frank utgör den ena halvan av den prisbelönta
designduon NordströmFrank, som bland annat har redesignat Sydsvenskan och
Dagens Industri.
Tillbaka