Phishing och spoofing

Det är väl känt att det finns bedragare på internet som vill lura av dig kortuppgifter och säkerhetskoder. Ett sätt som bedragare använder sig av är nätfiske eller lösenordsfiske som ofta kallas phishing. Under senare tid har det också dykt upp en ny typ av bedrägerier där bankkunder blir uppringda och luras att släppa in bedragare i sin internetbank. Telefonsamtalen ser ut att komma från banken. Fenomenet kallas spoofing.

Phishing

Du får ett mail eller ett telefonsamtal från något som utger sig för att företräda en bank eller ett företag och som försöker lura dig att lämna ut dina kortuppgifter. Du kan också bli kontaktad via sociala medier. Bedragaren uppger till exempel att ditt konto är utsatt för en attack och att du måste logga in på din internetbank för att åtgärda det. Om du får ett mail leder den länk som du uppmanas att använda dock inte till din bank utan till en falsk sida.

Ibland, särskilt om det falska meddelandet ska verka komma från ett företag som man lämnat sina kortuppgifter till, som till exempel Spotify, Paypal eller Netflix, formuleras ofta meddelandet som att det rör sig om en vanlig uppdatering. Phishing-mailen är av mycket varierande kvalitet, vissa kan vara mycket skickligt gjorda. Riktiga banker och företag skulle dock aldrig be dig att lämna ut kontouppgifter eller koder via e-post eller sociala medier.

Per telefon och i sociala medier

Phishing sker också per telefon när någon okänd person ringer och låter påskina att din dator är under attack och att han eller hon behöver dina kontouppgifter och lösenord för att säkra ditt konto alternativt att personen behöver få fjärrstyra din dator. Om du lämnar över uppgifterna eller låter någon okänd få till gång till datorn anses du vara grovt oaktsam.

Du kan också bli kontaktad via sociala medier. Bedragaren har då till exempel hackat någons Facebook-konto och kontaktar den personens vänner eller så verkar personen vara en vän till en vän. Ofta låtsas bedragaren behöva låna koder från dig för att göra ett akut bankärende men saknar sin egen säkerhetsdosa. I själva verket har bedragaren tagit reda på ditt personnummer och försöker logga in på din internetbank.

Spoofing

Med spoofing menas i det här fallet att du blir uppringd av någon som ringer från vad som ser ut att vara din banks nummer men i själva verket är en bedragare. Personen som ringer säger att det pågår oegentligheter på ditt konto och du uppmanas att logga in på din internetbank. När du gör det släpper du in bedragaren i din internetbank. Du luras därefter att öppna ett nytt Mobilt BankID som bedragaren använder för att skapa ett nytt Swish-konto och därefter Swishar bedragaren i väg de pengar som finns på dina olika konton i banken. Det har i många fall uppgått till mycket stora belopp.

Du blir betalningsskyldig

Om du har lämnat ut kortuppgifter via ett phishingmail har du enligt Allmänna reklamationsnämndens, ARN:s, praxis i vart fall agerat grovt oaktsamt och då har konsumenter själva fått stå för 12 000 kr. Om man lämnat ut flera inloggningskoder via sociala medier eller låtit någon okänd person fjärrstyra ens dator har ARN slagit fast att konsumenterna till och med har agerat särskilt klandervärt. De har då fått stå för hela beloppet.

I ett par vägledande beslut från Allmänna reklamationsnämnden där kunderna utsatts för bedrägerier via spoofing har nämnden slagit fast att det är grovt oaktsamt att logga in på internetbanken med hjälp av sitt Mobila BankID om man blir uppringd av en okänd person. Enligt villkoren för Mobilt BankID är BankID att betrakta som en värdehandling som kunden ska förvara och hantera på ett betryggande sätt. Även om bankkunden bara trodde att hen identifierade sig själv med BankID så menar ARN att kunden inte skyddade sitt BankID tillräckligt och man agerat var att betrakta som grovt oaktsamt.