Vad är ett falskt Freja ID och hur kan man skydda sig?

Freja eID är tillsammans med BankID och AB Svenska Pass (Skatteverkets id-kort) ett av de enda legitima alternativen när det kommer till e-legitimation i Sverige. Dessa tjänster erbjuder säker legitimation åt miljontals svenskar, men utnyttjas också i bedrägerier.

I den här artikeln kommer vi att gå igenom hur dessa bedrägerier fungerar, hur man kan särskilja en äkta applikation från en falsk och möjliga åtgärder för att skydda sin identitet på nätet.

Vad är Freja ID och hur fungerar det?

E-legitimation som Freja ID är en central del av den digitala infrastrukturen i Sverige. För att kunna driva e-legitimation måste tjänsten först godkännas av myndigheten för digital förvaltning (DIGG), vilket är anledningen till att det finns så få alternativ. E-legitimation har ungefär samma juridiska status som ett fysiskt pass eller körkort. Försiktighet är alltså befogat.

Freja ID fungerar alltså som ett digitalt ID som du kan använda för bland annat inloggning på myndighetstjänster, Skatteverket och 1177, samt som identifikation i butiker, för att hämta ut post , skriva ut receptbelagda läkemedel, godkänna betalningar på nätet och logga in på diverse onlinetjänster.

Anledningen till att bedragare använder Freja ID och liknande tjänster (som BankID) för att genomföra bedrägerier är att många svenskar förlitar sig på ett digitalt ID för att genomföra dagliga ärenden. E-legitimation är inte en nyhet och många ser det som en betrodd metod. Bedragare utnyttjar detta förtroende för att skapa mer effektiva strategier.

Är Freja eID säkert?

Ja, Freja eID är överlag säkert, speciellt ur ett tekniskt perspektiv. Freja eID använder avancerad kryptering och säkerhetsprotokoll som gör det nästintill omöjligt för cyberbrottslingar att göra intrång. Precis som andra tjänster som erbjuder e-legitimation kan Freja eID däremot fortfarande användas för att genomföra bedrägerier. Det är en sårbarhet som inte går att lösa enbart genom tekniska medel. Det kräver även medvetenhet från användarens sida.

Freja ID, och e-legitimation överlag, fungerar som flerfaktorsautentisering (MFA), vilket är en teknik som ofta används för att göra det svårare att komma åt en användares konto. I de flesta fall kombineras dessa inloggningsmetoder med ett lösenord, men flera av våra samhällstjänster kräver enbart e-legitimation.

För Freja ID och liknande tjänster är det säkerheten som kommer först. På en teknisk nivå är tjänsten ungefär så säker som den kan vara. Du har flera säkerhetsexperter vars jobb det är att se till så att tekniken är vattentät. Vad som däremot kan gå snett är den “mänskliga faktorn”. Tjänsten största sårbarhet är bedragare som lurar användare till att signera bedrägliga handlingar. De kan till exempel lura användare att godkänna inloggningar, få dem att ladda ned falska versioner av appen, lämna ifrån sig koder eller godkänna överföringar av pengar. 

Kan man skylla på användaren helt? Nej, det kan man självklart inte. För det första är bedragarna ofta mycket skickliga. De vet precis hur de ska tillväga för att manipulera dig. För det andra har vi ett gemensamt ansvar för problem som uppstår i samhället. Här kan företag som Freja ID göra mycket för att informera allmänheten om problematiken och därigenom förhindra att bedrägerierna växer i omfattning.

Vad är ett falskt Freja ID?

Ett falskt Freja eID kan röra sig om falska applikationer som har utvecklats av cyberbrottslingar för att efterlikna den verkliga tjänsten i syfte att stjäla person- och inloggningsuppgifter eller pengar. Det kan också röra sig om incidenter där användare (ofta ungdomar) skapar ett fejk Freja ID genom att generera en bild för att köpa alkohol, tobak eller energidryck. I lagens mening rör detta sig i båda fallen om urkundsförfalskning och bedrägligt beteende, vilket är allvarliga brott.

Dessa falska Freja ID-applikationer efterliknar ofta den verkliga tjänsten in i minsta detalj. De sprids via sociala medier och falska webbsidor som bedragarna driver. Offer kan kontaktas via e-post eller sociala medier för att “ladda ned en uppdatering” eller så får det ett erbjudande. När de följer länken tas de till nedladdningssidan för det skadliga programmet.

Syftet är antingen att lura ungdomar till att tro att de har fått en giltig legitimation eller att få vuxna individer att installera skadliga kod på sin enhet och potentiellt röja sina inloggnings- eller personuppgifter. Eftersom de flesta vuxna redan har en giltig e-legitimation inriktar sig dessa bedrägerier ofta på minderåriga eller individer som är ute efter falska ID-handlingar. De stjäl offrens information, ger dem virus och tar emot pengar i utbyte mot en falsk ID-handling. 

I vissa fall har ID-handlingar faktiskt lyckats lura butikspersonal och ovana användare eftersom deras kopior är mycket välgjorda rent grafiskt. Som ungdom kan det kännas som att man har “kommit undan” när man lyckas lura någon med ett falsk ID. Men sannolikt har bedragaren som utvecklat appen även installerat virus på din enhet och stulit dina person- och inloggningsuppgifter. Vidare är det ytterst ovanligt att förfalskningen faktiskt fungerar eftersom personal på till exempel Systembolaget och andra butiker som kräver ID-handling är väl medvetna om problematiken.

Hur fungerar bedrägerier med ett fejkat Freja ID?

Bedrägerier där ett fejk Freja ID används följer ofta ett liknande mönster. Oavsett om det rör sig om falska leg åt minderåriga eller om målet är identitetsstöld kan det vara bra att förstå hur processen ser ut: 

Steg 1: förfalskningen skapas

Bedragarna utvecklar en visuellt identisk variant av appen eller hemsidan. De kopierar gränssnittet in i minsta detalj: typsnitt, grafik, logotyper, färger och animationer – allt som användaren ser – avbildas för att skapa en falsk webbsida eller app.

Steg 2: den falska appen distribueras 

Bedragarna bedriver antingen:

• Nätfiske (via meddelandetjänster, e-post eller SMS) där de får meddelanden att se ut att komma från myndigheter eller Freja själva (en vanlig ursäkt är att ditt konto måste “verifieras”), eller…
• Spridning av bedrägerier via sociala medier som ungdomar använder (Snapchat, Telegram och TikTok) och påstår sig kunna erbjuda falska ID-handlingar.

Steg 3: insamling av data.

Om någon klickar på bedragarnas nätfiskelänk och försöker logga in på deras falska hemsida kan bedragarna få tag på saker som inloggningsuppgifter och personnummer. Om en app installeras kan dessutom användarens enhet få virus. Detta virus kan potentiellt samla in data från hela enheten ohejdat. För att undvika detta kan man använda tjänster som NordVPN:s Threat Protection Pro™.

Steg 4: stulen data används

För offret kan konsekvenserna av detta vara förödande. Identitetsstöld är ytterst allvarligt. Bedragarna kan använda informationen för att bland annat ta ut lån, beställa dyra produkter på faktura eller direkt komma åt bankkonton. I många fall säljs datan dessutom vidare. I fall då ett fejk Freja ID används av ungdomar som falskt ID i till exempel butiker kan det leda till böter för butiken och straff för ungdomarna.

Tips: Kom ihåg att bedragare också kan använda spoofade hemsidor och mer direkt social manipulation för att etablera förtroende under en längre tid. Bedrägerier behöver inte vara en engångsgrej, utan kan pågå i flera månader.

Så upptäcker man att ett Freja ID är fejkat

Ett fejk Freja ID är inte omöjligt att upptäcka. Här är några av de viktigaste sakerna att tänka på:

• Appens legitimitet. Den autentiska Freja ID-appen går endast att ladda ned via officiella appbutiker som Google Play Store och Apple App Store. Att ladda ned en fil direkt från en hemsida är en garanterad bluff. Om du ska hålla på med .apk-filer (ett filformat för appar på Android) bör du vara helt säker på att det inte rör sig om ett bedrägeri.
• Visuella detaljer. Appar som Freja ID har inbyggda detaljer som animationer, interaktiva element (du kan klicka omkring för att få mer information) eller ljudeffekter. Falska ID-handlingar kan ibland helt enkelt bestå av statisk bild eller en videoinspelning.
• Korrekt URL. När du använder internet är det viktigt att hålla ett öga på adressfältet. Freja ID:s officiella hemsida är frejaid.com. Bedragare använder adresser som liknar originalet så nära som möjligt. Sök istället via Google på egen hand för att komma till den korrekta sidan.
• QR-koder. När man som butikspersonal eller kontrollant vill vara helt säker på att det inte rör sig om ett fejk Freja ID kan man skanna appens QR-kod. Denna kod kan verifieras genom Frejas officiella servrar.
• Språkanvändning. Om du ser stavfel eller grammatiska fel i meddelanden som du får bör du vara på din vakt. Myndigheter och tjänster som Freja ID kommer att ha korrekt språkanvändning i sitt kundbemötande.

Exempel från verkligheten

Dilemmat med falska ID-handlingar och bedrägerier i anknytning med digital e-legitimation är ett utbrett problem i samhället. Det är först på senare tid som det har börjat uppmärksammas i media och av myndigheter.

Ungdomar och falska ID-handlingar

Rapporter om att falska Freja-ID appar sprids bland barn och ungdomar har börjat trilla in. Det har framkommit att barn så unga som 13-15 år skaffar falska ID-handlingar för att kunna köpa ut alkohol, tobak och energidrycker. För att få tag på de falska apparna betalar de vanligtvis runt 50-100 kronor, vilket låter som ett lågt pris, men bedragarna är som sagt ofta ute efter mer än bara pengar. 

Köparen av den falska ID-handlingen får tillgång till en falsk app (eller bild) innehållande deras namn, porträtt och förfalskade födelsedatum. Bedragarna tjänar bra med pengar på detta och får i många fall också tillgång till köparens enhet genom att inkludera virus tillsammans med den falska appen.

Nätfiske

Polisen och Freja ID har gått ut med varningar om en ny våg av bluff-SMS och falska meddelanden där det krävs att användaren klickar på en länk och “verifierar sin identitet”. Ursäkten som bedragarna använder är att offrets Freja ID har spärrats av säkerhetsskäl.

Använd aldrig Freja ID eller BankID på uppmaning av någon annan. Använd bara dessa tjänster när det är du som inleder ett ärende.

Svensk Handels varningar

Branschorganisationer som Svensk Handel har nu gått ut med skarpa varningar till näringslivet. Det cirkulerar nu förfalskningar av appar som Freja ID som är mycket lika originalet och som därmed är svårupptäckta. Det räcker inte längre för personalen i kassan att enbart utgå ifrån visuella element. Rekommendationen är nu att man alltid skannar e-legitimation och digitala ID-handlingar. 

“För att vara säker på att det inte är en fejk-app eller förfalskning som kunden håller upp måste du kontrollera Frejas ID-kort online. [...] Om koderna inte matchar, avbryt transaktionen och be kunden visa ett fysiskt ID-kort istället” – Svensk Handel.

Det är viktigt att komma ihåg att trots att det ofta är butikspersonalen som luras, så är det främst butiken som straffas om saker som till exempel tobak säljs till minderåriga. Många butiker har förlorat sina tillstånd i liknande ärenden. Det finns även provköp som görs av kontrollanter.

Dessa bedrägerier visar hur enkelt tillit till digital legitimation kan utnyttjas av kriminella.

Så skyddar du dig mot Freja ID-bedrägerier

Det finns en rad åtgärder du kan vidta för att skydda dig från att skaffa ett fejk Freja ID och de allvarliga följder det kan medföra, som ID-stöld, nätfiske eller andra sorters bedrägerier.

• Ladda enbart ned applikationer från betrodda källor.
• Kontrollera så att information om utvecklaren på neddladningsplatser verkligen stämmer. Utvecklaren av Freja ID bör heta “Freja eID Group AB”.
• Klicka aldrig på länkar för att ladda ned någonting. Det kanske låter konstigt, men du bör alltid söka upp nedladdningssidan på egen hand via officiella kanaler (till exempel Google). Om du klickar på länkar från till exempel e-post eller sociala medier riskerar du att råka ut för bedrägerier.
• Ladda aldrig ned någonting på uppmaning av någon annan.
• Aktivera tvåfaktorsautentisering.
• Håll din enhet och Freja ID-appen uppdaterade.
• Använd ett VPN som NordVPN för att kryptera din trafik och förbättra din internetsäkerhet när du använer offentligt wifi.