Spoofing och phishing - telefonbedrägerier och nätfiske

Det är väl känt att det finns bedragare som på olika sätt vill komma åt dina konton, kortuppgifter och koder.

Telefonbedrägerier är numera tyvärr vanligt förekommande. Skickliga bedragare ringer på telefon och låtsas vara från banken eller från ett företag eller myndighet och försöker förmå dig att logga in på din internetbank. Väl inne länsar bedragaren dina konton och swishar iväg pengarna. Ibland använder bedragaren bankens riktiga nummer så att telefonsamtalen ser ut att komma från banken. Fenomenet kallas spoofing.

Ett annat sätt som bedragare använder sig av är nätfiske eller lösenordsfiske som ofta kallas phishing. Du får ett mail eller sms som ser ut att komma från banken och du uppmanas att logga in. Det som händer är att du dirigeras till en annan sida och dina kortuppgifter och koder sparas ner av bedragarna.

Spoofing

Med spoofing menas i det här fallet att du blir uppringd av någon som ringer från vad som ser ut att vara din banks nummer men i själva verket är en bedragare. Personen som ringer säger att det pågår oegentligheter på ditt konto och du uppmanas att logga in på din internetbank. När du gör det släpper du in bedragaren i din internetbank. Du luras därefter att öppna ett nytt Mobilt Bank-ID som bedragaren använder för att skapa ett nytt Swish-konto och därefter swishar bedragaren i väg de pengar som finns på dina olika konton i banken. Det har i många fall uppgått till mycket stora belopp.

Phishing

Du får ett mail eller ett telefonsamtal från något som utger sig för att företräda en bank eller ett företag och som försöker lura dig att lämna ut dina kortuppgifter. Du kan också bli kontaktad via sociala medier. Bedragaren uppger till exempel att ditt konto är utsatt för en attack och att du måste logga in på din internetbank för att åtgärda det. Om du får ett mail leder den länk som du uppmanas att använda dock inte till din bank utan till en falsk sida.

Ibland, särskilt om det falska meddelandet ska verka komma från ett företag som man lämnat sina kortuppgifter till, som till exempel Spotify, Paypal eller Netflix, formuleras ofta meddelandet som att det rör sig om en vanlig uppdatering. Phishing-mailen är av mycket varierande kvalitet, vissa kan vara mycket skickligt gjorda. Riktiga banker och företag skulle dock aldrig be dig att lämna ut kontouppgifter eller koder via e-post eller sociala medier.

Per telefon och i sociala medier

Phishing sker också per telefon när någon okänd person ringer och låter påskina att din dator är under attack och att han eller hon behöver dina kontouppgifter och lösenord för att säkra ditt konto alternativt att personen behöver få fjärrstyra din dator. Om du lämnar över uppgifterna eller låter någon okänd få till gång till datorn anses du vara grovt oaktsam.

Du kan också bli kontaktad via sociala medier. Bedragaren har då till exempel hackat någons Facebook-konto och kontaktar den personens vänner eller så verkar personen vara en vän till en vän. Ofta låtsas bedragaren behöva låna koder från dig för att göra ett akut bankärende men saknar sin egen säkerhetsdosa. I själva verket har bedragaren tagit reda på ditt personnummer och försöker logga in på din internetbank.

Du blir betalningsskyldig

Om du har lämnat ut kortuppgifter via ett phishingmail har du enligt Allmänna reklamationsnämndens, ARN:s, praxis i vart fall agerat grovt oaktsamt och då har konsumenter själva fått stå för 12 000 kr. Om man lämnat ut flera inloggningskoder via sociala medier eller låtit någon okänd person fjärrstyra ens dator har ARN slagit fast att konsumenterna till och med har agerat särskilt klandervärt. De har då fått stå för hela beloppet.

I ett par vägledande beslut från Allmänna reklamationsnämnden där kunderna utsatts för bedrägerier via spoofing har nämnden slagit fast att det är grovt oaktsamt att logga in på internetbanken med hjälp av sitt Mobila Bank-ID om man blir uppringd av en okänd person. Enligt villkoren för Mobilt Bank-ID är Bank-ID att betrakta som en värdehandling som kunden ska förvara och hantera på ett betryggande sätt. Även om bankkunden bara trodde att hen identifierade sig själv med Bank-ID så menar ARN att kunden inte skyddade sitt Bank-ID tillräckligt och man agerat var att betrakta som grovt oaktsamt.