Doffin – en gullgruve også for svindlere

Både Doffin og TED er nyttige kilder til nye oppdrag, og kan være en gullgruve for leverandører som leter etter nye kunder og nye muligheter. Men Doffin kan også være en gullgruve for folk med mindre rent mel i posen.

Når du har gjennomført en anskaffelse over EØS-terskel, får du som kjent en påminnelse om at du må kunngjøre kontraktstildelingen. Det følger av §21-6 at dette er noe du må gjøre. Du har ikke lov til å la det være. «Skal», står det.

I denne kunngjøringen oppgir du blant annet navn på virksomheten, hva anskaffelsen gjelder og hvem som har fått kontrakten, med diverse datoer og referansenummer.

Prøv oss, du også!

Vi gjennomfører anskaffelser for offentlige oppdragsgivere over hele landet. Hvorfor ikke prøve oss, du også?

Allerede imorgen kan vi være i gang med å hjelpe deg med anskaffelsen din.

Få et uforpliktende tilbud nå

Hva i alle dager skulle en svindler kunne bruke dette til, spør du kanskje.

Vel, en god del, viser det seg.

Innkjøpskontoret har sett flere tilfeller der bedrifter eller offentlige virksomheter har blitt forsøkt svindlet ved at personer benytter opplysninger i slike Doffin/TED-kunngjøringer.

Svindel på 1-2-3

Fremgangsmåten er noe slikt som dette:

Først finner du en passende kontraktstildeling. Her er det jo naturlig å benytte det obligatoriske feltet kontraktsverdi for å finne en passe stor fisk.

Så plukker du navnet på den som hadde ansvaret for anskaffelsen (dette er jo et obligatorisk felt) og skjøter dette sammen med adressen til den offentlige virksomheten, og navnet og referansenummeret på anskaffelsen.

Så ser du på hvem som er tildelt kontrakt, og benytter datafeltene for navn, adresse, telefonnummer og epost til å google mer eksakt kontaktinformasjon til firmaet.

Så er det bare å lage en flott epost med avsender, mottager og referansenummer og en eller annen uskyldig forespørsel og legge ut agnet.

Det kan jo eksempelvis se litt slik ut:

Hei Katrine,

Jeg viser til kontrakt 21-1878A om konsulentbistand for vanngjennomføring som vi er tildelt hos Offerstad kommune.

Vi har oppdaget at dere har feil fakturaopplysninger, og ber om at dere sender meg de siste fakturaene vi har sendt dere slik at vi kan rette opp feilen.

Med vennlig hilsen Stine, Vannkonsulentene AS

I virkeligheten ser jo teksten slik ut:

Hei [navn fra Doffin-felt I.1],

Jeg viser til kontrakt [referansenummer og navn fra Doffin-felt II.1.1] som vi er tildelt hos [oppdragsgivers navn fra Doffin-felt I.1].

Vi har oppdaget [velg en passende humbug-forklaring]

Med vennlig hilsen [hent firmanavn fra tildelt leverandør og et passende navn ut av lufta eller fra et google-søk på virksomheten]

Så er det bare å sette en robot på oppgaven med å flette sammen en lang rekke slike eposter og forfalske avsenderadressen slik at de potensielle svarene havner hos svindleren og ikke hos bedriften som er tildelt kontrakt.

Før eller siden vil antageligvis noen gå i garnet.

Vennligst motta 50.000 Euro nå

Dette er svindel på et mer avansert nivå enn de klassiske spam-meldingene om at du har en rik velgjører i Kenya som vil testamentere hele formuen sin på 50.000 euro til deg – bare du oppgir et par små personlige detaljer.

Men en formue kan det fort bli likevel, for svindlerne. Eksempelvis kan de prøve å få den offentlige virksomheten til å endre fakturamottager, eller rett og slett bruke kontakten de har oppnådd til å plante løsepengevirus eller gjøre en annen kreativ bandittstrek.

Det krever ikke spesielt mye innsats eller avanserte systemer for å få til dette. Det eneste som kreves er noen helt enkle dataverktøy og tilgang til en god database – i dette tilfellet er den helt åpen og gratis og heter Doffin.

Nå skal vi vel ikke gi Doffin skylda for dette, men vi kan jo kanskje stoppe opp og tenke oss litt om: er det så smart at tusenvis av koblinger mellom bedrifter og kommuner legges åpent tilgjengelig på denne måten? Man kunne jo kanskje i det minste laget noen begrensninger på hvor mange oppslag en robot kan få lov til å gjøre i løpet av en dag, da. Flere andre offentlige registre har gjort dét.

Men til syvende og sist ligger nøkkelen til problemet hos deg som er offentlig ansatt. Du bør alltid sjekke avsenderadresser nøye, og som alltid være skeptisk til å klikke på linker i eposter. Det kan jo også hjelpe å ringe til avsenderen – fortrinnsvis fra et telefonnummer som ikke står oppgitt i den samme eposten. Jobber det ingen Stine hos dere, sier du? Vel, da har du kanskje avslørt et forsøk på svindel. Politiet vil gjerne ha inn slike tips.

Klarer du å unngå å gå i fella?

Den som kunngjør kontraktstildelinger får se.