Vad är ett bluff-sms och hur försvarar man sig mot det?

Vad är ett bluff-sms?

Bluff-sms och bluffmejl utger sig från att komma från en legitim avsändare och har som mål att stjäla dina pengar, kapa dina konton eller lägga beslag på dina personliga uppgifter. De utger sig ofta för att komma från till exempel myndigheter, banker eller andra välkända företag.

Bluff-sms hör till en kategori av cyberattacker som kallas för smishing, vilket är en underkategori till phishing (nätfiske). Phishing är ett samlingsbegrepp för bedrägerier som förlitar sig på manipulation via social ingenjörskonst för att lura offer att överföra pengar, känslig information eller att ladda ner skadlig programvara. Smishing syftar till de phishing-attacker som utförs just via sms eller textmeddelanden – skillnaden ligger alltså i hur bedragaren kontaktar sitt offer. En annan allt populärare bedrägeriform är vishing (voice phishing), där phishing-attackerna sker via telefonsamtal eller röstmeddelanden.

Hur fungerar bluff-sms?

Det finns många anledningar att bedragare väljer smishing framför andra former av phishing-attacker. Forskning visar att det är mer sannolikt att människor klickar på länkar i textmeddelanden än i e-postmeddelanden, vilket är en av de främsta orsakerna.

Det är också enklare för bedragare att dölja var ett meddelande faktiskt kommer ifrån i ett sms, och även enklare att dölja var en länk faktiskt tar dig. I ett e-postmeddelande kan du hålla markören över en länk och se dess URL, vilket i de flesta sammanhang inte är möjligt på en mobil.

Målet för bedrägeri-sms är nästan alltid att komma över pengar, men exakt hur det går till kan variera. Här är några av de vanligaste metoderna.

Länkar till skadliga webbsidor

Om du klickar på en länk till en skadlig webbsida så kan allt från virus och skadlig kod till nätfiske vänta på dig. Till exempel kan en skadlig länk föra dig till en falsk inloggningssida som ser extremt verklig ut. Du anger ditt användarnamn, lösenord och kanske svarar på en säkerhetsfråga i tron att du loggar in – men vad du i själva verket gör är att servera bedragaren all din inloggningsinformation på ett silverfat. Nu kan de logga in på ditt konto, kanske göra köp i ditt namn eller stjäla all din personliga information de hittar i kontot för framtida bedrägerier, som identitetsstöld.

Lurar dig att ladda ner malware

Om en skadlig länk laddar ner ett virus eller malware på din enhet så kan resultatet variera helt beroende på vilken sorts skadlig kod som laddas ner. Vissa typer kan spionera på dig, logga dina tangenttryck för att på så sätt komma över personuppgifter och inloggningsinformation, göra din enhet till en del av ett botnet, eller låsa din enhet helt i en s.k. ransomware-attack, där du uppmanas att betala en lösensumma innan du får tillgång till den igen.

Vilka taktiker används i bluff-sms?

Bedrägerier har funnits sedan urminnes tider, och de taktiker som används i sms-bedrägerier är desamma som lurar av offer deras pengar i verkliga livet.

Förtroende

Bedragare utger sig ofta för att representera företag eller organisationer som många människor har ett stort förtroende för, som banker, myndigheter eller till och med Polisen. Vi är vana att lyssna och göra som de säger när representanter för den sortens organisationer tar kontakt, något som inte minst gäller den äldre generationen internetanvändare. Det blir också allt vanligare att bedragare som kapat konton i sociala medier kontaktar offrets vänner och ber om “ett lån” för att hantera en nödsituation, och den som inte känner till den sortens bedrägerier trillar ofta dit helt enkelt för att de litar på vännen de tror tagit kontakt.

Ouppmärksamhet

På samma sätt som en trollkarl distraherar sin publik från vad som verkligen sker, så är bedragare experter på att avleda uppmärksamheten från små viktiga detaljer. Om du tittar snabbt på en liten skärm är det inte alls säkert att du ser att det faktiskt står “www.micr0s0ft.com” istället för “www.microsoft.com” i URL-fältet för en länk, eller hinner tänka tanken på att Skatteverkets riktiga hemsida använder en “.se”-adress när du uppmanas besöka “www.skatteverket.org”. Det är inte svårare än så att lura offer att besöka en falsk webbsida.

Känslor

Framgångsrika bedrägerier spelar ofta på våra känslor. Det kan handla om en känsla av nyfikenhet, brådska och att inte vilja missa ett toppenerbjudande (Passa på! Detta supererbjudande löper snart ut!) eller att vår rädsla och oro utnyttjas för att få oss att agera (Din dator har smittats av ett virus och alla dina filer är i fara! Ta kontakt via den här länken för att lösa problemet!). Vår vilja att vara hjälpsamma blir ofta också vårt fall som i exemplet ovan när bedragare tar kontakt via ett konto i sociala medier och ber om ekonomiskt stöd.

Hur ser bluff-sms ut?

Falska sms kan se ut på många olika sätt och bedragarna hittar hela tiden nya sätt att lura dig. Med det sagt finns det dock en rad standardmetoder som kriminella tar till. Här hittar du en lista över situationer du bör lära dig känna igen och vara uppmärksam på:

• Låtsas ge dig ett specialerbjudande. Det finns många sätt som du kan bli lurad på när bedragare påstår sig representera företag. Kanske har de shoppingerbjudanden som är för bra för att vara sanna, kanske handlar det om att du får delta i en tävling med åtråvärda priser, eller har du möjligtvis en stund att delta i en enkätundersökning? Om du följer länkarna i den sortens smishing-meddelanden kan du äventyra dina personuppgifter och vissa bluff-sms försöker låsa dig till olika typer av prenumerationer som är omöjliga att säga upp.
• Låtsas vara en bank. Bedragare kan utge sig för att representera ett offers bank och upplysa dem om att det uppstått ett problem med ett konto. Ett smishing-meddelande skickas och om offret klickar på länken landar de på en falsk webbplats eller i en app som stjäl känslig ekonomisk information som PIN-nummer, loginuppgifter, lösenord, kontonummer eller kreditkortsnummer.
• Låtsas komma från en myndighet. Det är inte ovanligt att bedragare utger sig för att komma från Polisen, Skatteverket eller andra myndigheter. De kan t.ex. informera dig om att du har rätt till ett nytt bidrag eller att du har utestående skulder. Under covid-19-pandemin skickades många sms ut som påstod att mottagaren hade rätt till ett gratis covid-test eller skattelindring. Givetvis handlade allt om att offren skulle klicka på länken i sms:et för att uppge sina personnummer och annan information som kunde användas för identitetsstöld.
• Låtsas vara en kundtjänstmedarbetare. Bedragare låtsas kontakta offren från ett välkänt och pålitligt företags kundtjänst, som t.ex. Amazon, Klarna eller Telia. Det är också allt vanligare att bedragare utger sig representera populära streaming-tjänster. Vanligtvis påstår de att det finns ett problem med offrets konto eller att det finns ett spännande specialerbjudande. Även här handlar det om att lura offren att besöka en falsk webbplats där deras enheter infekteras av skadlig kod, eller där de anger sina inloggningsuppgifter eller annan känslig information.
• Låtsas erbjuda gratis appar. Det enklaste sättet att infektera din enhet med ett virus är att övertyga dig om att själv ladda ner och installera det. Vissa smishing-bluffar lurar offer att ladda ner till synes helt legitima appar som i själva verket är malware.
• Låtsas ha skickat sms till fel nummer. Det här är ofta ett mer långsiktigt bedrägeri där de kriminella skickar ett sms till “fel nummer”. När offret upplyser om att det skickats fel inleds en konversation där målet är att bygga förtroende eller rent av inleda en vänskaps- eller kärleksrelation. Syftet är att i slutändan stjäla offrets pengar genom t.ex. en förfrågan om ett lån eller en falsk investeringsmöjlighet.
• Låtsas vara utelåst från ett konto. Det här bedrägeriet är ett lömskt sätt som bedragare kan komma runt det faktum att många internetanvändare idag är kloka nog att använda flerfaktorsautentisering för sina konton. Det fungerar bara när de kriminella redan kommit över offrets inloggningsuppgifter till ett konto, t.ex. genom en tidigare smishing-attack eller om de läckt i samband med ett dataintrång. Bedragaren kan t.ex. utge sig för att vara en vän eller bekant som blivit utelåst från sitt konto och frågar om offret kan ta emot en verifieringskod för deras räkning. Offret får en verifieringskod som i själva verket är för deras eget konto (som skickats ut när bedragaren angett offrets inloggningsuppgifter) och vips så kan den kriminella logga in till tjänsten i fråga.
• Låtsas vara en postleverantör. I Sverige har vi drabbats av en rad smishing-attacker där bedragarna uppger att de kommer från postleverantörer som DHL, UPS eller leveransföretag som inte ens existerar, som P-nord och P-paket. Ett känt bedrägeri i Sverige kretsar också kring bluff-sms från Paketcenter, vilket också är ett påhittat företag. Det handlar oftast om bluff-sms om att du måste betala extra frakt eller någon annan avgift, eller att ett paket fastnat i tullen – och att du ska följa en länk för att uppge dina personuppgifter.
• Låtsas vara en chef eller kollega. Den här sortens bluff-sms riktar ofta in sig mot anställda som jobbar på företags eller organisationers ekonomiavdelningar. Det handlar om brådskande ärenden där en bedragare som utger sig vara en chef eller kollega ber att pengar ska föras över till ett konto.

Vad bör du göra om du interagerat med ett bluff-sms?

Kom ihåg att det oftast inte är att svara på bluff-sms som utsätter dig för risk – så länge du inte blivit övertalad att dela personlig information eller överföra pengar. Det vanligaste sättet att råka illa ut är istället att klicka på de länkar som sms:en vanligtvis innehåller. Att skicka ut falska sms till tusentals internetanvändare och slussa dem till en falsk webbsida där de uppmanas ange känsliga data är något som bedragare kan automatisera, och är därför betydligt vanligare än de bedrägerityper där de tar sig tid att konversera med dig personligen.

Så vad du bör göra om du interagerat med ett bluff-sms eller på annat sätt blivit lurad online beror helt på interaktionen. Handlade det bara om en kort diskussion innan du insåg vad det rörde sig om, eller delade du faktiskt personlig information eller förde över pengar?

• Om du gav bedragaren konto- eller kortuppgifter, eller inloggingsuppgifter till något onlinekonto där ekonomisk information kan hittas, bör du omedelbart kontakta din bank för att spärra dina kort eller konton.
• Om du upptäcker att någon faktiskt genomfört köp eller överfört pengar från ditt konto ska du genast polisanmäla bedrägeriet.
• Reklamera även köpen eller uttagen hos din bank.
• Se alltid till att rapportera bluff-sms, även om du inte föll för dem (se nedan).

Så rapporterar du ett bluff-sms

Oavsett om du föll offer för eller genomskådade bluff-sms:et bör du alltid rapportera det.

Telefonoperatörerna har gjort det så enkelt så att allt du behöver göra är att vidarebefordra sms:et till telefonnumret 7726, så samlas alla misstänkta sms i en och samma databas, vilket gör att samtliga operatörer kan blockera avsändaren från att skicka det flera personer.

Du kan också anmäla det till Polisen via Polisens webbplats.

Hur skyddar man sig från bluff-sms?

Det finns en rad åtgärder du kan vidta för att minska risken att falla offer för bedrägliga sms. Här är några exempel:

• Bli alltid misstänksam om du får sms eller e-post från okända avsändare.
• Undersök alltid noga ifall det verkligen är en legitim avsändare. Om du får ett topperbjudande från ett företag via sms, vore det då inte märkligt om inte samma erbjudande finns på deras webbplats?
• Om du är osäker kan du alltid kontakta företaget via deras officiella kanaler för att få bekräftat att sms:et är legitimt.
• Klicka aldrig på länkar eller öppna bilagor om du inte är 100% säker att det är legitimt.
• Kom ihåg att en bank eller seriöst företag aldrig skulle fråga dig om inloggningsuppgifter, personuppgifter eller bank-ID via sms.
• Om du mottar många märkliga eller misstänkta sms kan du vidarebefordra dem till telefonoperatörernas gemensamma telefonnummer 7726 så att de blockerar avsändaren från att fortsätta skicka dem.

Sedan finns det också tekniska lösningar du kan använda för att minska riskerna med bluff-sms. Ett VPN blockerar inte sms-meddelanden från att skickas till din enhet, men NordVPN:s funktion Threat Protection Pro ökar ditt skydd markant genom att blockera skadliga webbsidor ifall du skulle av misstänk klicka på en länk i ett bluff-sms. Threat Protection Pro ingår i utvalda NordVPN-prenumerationer och behöver inte en aktiv VPN-anslutning för att fungera.