John Guthed Photography
JOHN GUTHED PHOTOGRAPHY

Blog

Fintech, baby. Fintech.

Kom hem från semestern i förra veckan, till en faktura från ett gäng som kallar sig Zimpler.com. Ett företag som utan att blinka valt en payoff som tydligt beskriver allt som de gör fel: "Inga appar. Ingen registrering. Bara betalningar." Du kan inte ANA vad som hände sedan!

Skärmavbild 2017-08-11 kl. 00.14.35.png

Såhär ligger det till. 

Tidigare i somras öppnade någon ett konto på onlinekasinot SuperLenny.com. För att sätta in pengar använde de Zimpler.coms betalningslösning, en lösning som i princip bara kräver ett registrerat kontantkort för att verifiera användaren. Användaren i det här fallet, det var jag. Eller, mitt namn iallafall. 

Hur gick det till, rent praktiskt? Enligt Zimpler.coms hemsida, ungefär såhär: 

Skärmavbild 2017-08-11 kl. 00.27.21.png

Jag vet inte om det stämmer, jag fick liksom inget kvitto. 

Till kontantkortsnumret har Zimpler.com alltså skickat en kod via SMS, som någon sedan matat in på SuperLenny.com och vips är de godkända att knappa in en summa att spela för. Och spelade gjorde de. För fakturan går alltså till den som står på kontantkortet, och denna någon var jag. 

Först spelade de för 3000 SEK, vid midnatt. Sedan för 1200 SEK till några timmar senare, vid sextiden på morgonen. Det står på fakturan, tillsammans med de 24% i ränta som Zimpler.com tar för förseningar. Vänta, tänker du nu. Kan det vara så lätt att finta systemet? Eh, ja. Men inte om du frågar Zimpler. Det är supersäkert!

För enligt Zimpler är koden de skickar "dynamisk" och skyddad med "256-bitars SLL certifikat" så att ingen information kan "modifieras av tredje part". Nu heter det ju egentligen SSL-certifikat, och informationen om mig modifierades av just tredje part, men vem bryr sig som detaljer?

För såhär skriver Zimpler själva om säkerheten kring lösningen ovan. 

Så hur säkert är det? Well, de hade lika gärna kunnat skicka koderna FUCKALL, APA2000 eller RHODOS och en bild på en glad, packad chimpans på semester. Detta eftersom Zimpler inte har en aning om vem det är som de skickar fakturan till.

Exakt så säkert är det. 

För att kolla vem det är som använder Zimpler.coms tjänster, köper Zimpler information av Bisnode.se. Rätt, så långt. Bisnode är ett företag vars affärsidé är att ställa samman uppgifter ur allt från offentliga register, till användarinfo som företag har och säljer vidare. Det är inte fel. De är rätt duktiga på det (så bra, berättade en bekant som en gång jobbade på Bisnode, att det skall finnas svenska myndigheter som gett/ger/säljer/sålt Bisnode.se information som de har och sedan köpt tillbaka den, nu tvättad och ryktad av Bisnode. Själva klarar de inte av det). Men det är en annan historia.

Bisnode, i sin tur, köper information från Eniro.

De som reggat sig på SuperLenny.com måste alltså i god tid reggat ett kontantkort hos Eniro, kopplat det till den infon som Eniro har om mig och väntat tills Bisnode plockar upp den. Men vänta nu, vafan, det går väl inte? Vem som helt kan väl inte regga sig som någon annan på Eniro?

Jo-o-då! 

 Skärmdump från Eniro.se.

Skärmdump från Eniro.se.

Eniro har sedan sålt den informationen till Bisnode, som i sin tur sålt den till Zimpler.com. Visst låter det som en genomtänkt och pålitlig lösning? Det är det - för bedragare. 

Ty ur tjyvperspektiv är Zimpler.coms tjänst lysande; Zimpler.com använder inte Bank-ID, eller ens ett inscannat körkort eller pass för att bekräfta någons identitet innan de godkänner och fakturerar dem.

Istället använder alltså Zimpler.com info från ett kontantkort, registrerat av vem som helst på någon annan hos Eniro. Eniro; ett företag vars börsvärde för övrigt kollapsade när deras resultat visade sig vara manipulerade för några år sedan. Varför? Well, kanske för att ingen använder Eniro, vilket borde vara anledningen till att deras aktie tre år efter DET handlas för mindre än 20 öre idag.

Så vad gör du nu?

Enkelt. Ta bort dig själv fullständigt från Eniro.se. Vad de än säger får du ingen business via dem. Eniro, däremot, får uppenbarligen affärer via dig.

Hör av dig till Zimpler.com och be dem spärra ditt personnummer. Men mest av allt - håll tummarna.

För den fantastiska sammangfattningen här är att vem som helst kan lägga till dig på Eniro, när som helst, och så börjar allt om igen. Och det finns fler än Zimpler som vill köpa den informationen, bland annat för att göra "digitala betalningar så enkla soch smidiga som möjligt". Iallafall för sig själva. Och som precis som Zimpler.com tycker det är sjukt bökigt med registreringar.

EDIT - polisanmälde naturligtivs det här, dock utan någon större förhoppning om att det skulle lösa sig. Mycket riktigt. Nyss kom brevet från en Bo-Göran på Ordningsmakten om att de lagt ned ärendet, pga servrar utomlands. 

John GuthedComment