Lita aldrig på sms-avsändaren – falska Kivra-sms

I över 30 år har svenskar kunnat skicka och ta emot sms. Sveriges första sms skickades redan 1993. De mer funktionsrika meddelandeapparna, till exempel Whatsapp och Signal, har minskat behovet av sms, men än idag kan våra mobiler skicka och ta emot det 30-åriga systemets små meddelanden.

Tyvärr lider sms-systemet av ett stort problem. Det går inte att lita på att ett sms kommer från organisationen som står som avsändare. Bedragare kan skicka sms som ser ut att komma från banker, myndigheter eller andra företag. Problemet påminner om spoofing-problematiken som vi har rapporterat om tidigare (läs mer i artikeln ”Svenska mobilnummer går fortfarande att spoofa ”).

Kivra varnar för bluff-sms

Kivra är Sveriges överlägset mest använda digitala brevlåda (se Svenskarna och internet 2024 ). Det gör Kivras varumärke attraktivt för bedragare eftersom de vet att så många svenskar använder tjänsten.

Förra veckan började bedragare skicka ut falska sms som påstods komma från Kivra. Mottagarna ombads kontakta Kivra omgående genom att ringa till telefonnumret som stod i meddelandet. Numret i fråga tillhörde dock inte Kivra utan gick direkt till bedragarna.

Under måndagen skickade Kivra ut en varning via Säkerhetskollen för att uppmärksamma svenska folket om den bedrägliga sms-kampanjen. Kivra poängterade att mottagarna inte skulle ringa till numret i meddelandet, något vi på SSF Stöldskyddsföreningen ändå gjorde för att undersöka vad bedragarna ville åstadkomma.

Personen som svarade påstod att någon hade köpt två Iphone-mobiler i vårt namn och hävdade att vi hade råkat ut för en Bank-id-kapning. Bedragaren påstod att han kopplade oss vidare till vår banks spärravdelning, men i själva verket lämnade han bara över luren till en kollega som låtsades representera banken. Charaden syftade sannolikt till att få oss att överföra pengar till bedragarnas konto eller låta dem använda vårt Bank-id.

I och med att det inte går att lita på avsändaren av ett sms är det viktigt att aldrig heller lita på eventuella kontaktuppgifter som står i meddelandet. Om du får ett sms som säger att du måste kontakta avsändaren bör du göra det genom att själv leta upp de rätta kontaktuppgifterna på organisationens webbplats.

Banker drabbas också av bluff-sms

Banker är också tacksamma måltavlor för bedragare som skickar falska sms. I slutet av förra året skickade bedragare ut sms som såg ut att komma från Swedbank.

Bedragarna lyckades skicka sms från avsändaren ”Din bank”, vilket är samma avsändarnamn som Swedbank och sparbankerna använder. Det gjorde fjolårsbedrägeriet extra trovärdigt för Swedbank-kunder. Mobilernas sms-appar samlar nämligen sms-meddelanden från samma avsändarnamn i en och samma tråd, så bedragarnas falska sms hamnade i samma tråd som riktiga Swedbank-sms.

Swedbank-bedragarna skickade en länk som mottagarna uppmanades att klicka på. Länken gick till en webbadress som påminde om Swedbanks riktiga webbadress men som i själva verket ledde till en klonad webbplatskopia där bedragarna uppmanade Swedbank-kunderna att logga in via bankdosa. Bankdosan har nämligen inte alla de bedrägerimotverkande säkerhetsfunktionerna som Mobilt Bank-id drar nytta av.

I och med att du inte kan lita på avsändaren av ett sms bör du aldrig klicka på länkar i sms-meddelanden. Detta gäller även om meddelandet hamnar i en befintlig sms-tråd. Om du får ett sms med en länk bör du i stället själv uppsöka organisationens webbplats. Då riskerar du inte att hamna på några klonade webbplatskopior med snillrikt vilseledande adresser. Du kan också lära dig mer om hur du granskar webbadresser i vår guide ”Avslöja nätfiskewebbplatser ”.

Rekommendationer

Med anledning av de falska sms-meddelandena som bland annat Kivra varnar för vill vi på SSF Stöldskyddsföreningen ge följande rekommendationer.

• Lita aldrig på avsändaren av ett sms, inte ens om det hamnar i samma tråd som riktiga sms.
• Ring aldrig till numret och klickar aldrig på länkar som finns i ett tveksamt sms. Leta själv upp den påstådda avsändarens riktiga webbplats och använd kontaktuppgifterna som du hittar där.
• Undvik sms överlag. Använd säkra meddelandeappar för att kommunicera med kollegor, vänner och bekanta. Då kan du lita på att meddelandena kommer från avsändarna som visas.
• Prenumerera på Säkerhetskollens varningsnotiser. Varningarna samordnas genom Digitala varningsgruppen (ett nätverk av svenska organisationer som samarbetar för att minska risken för digitala brott). Du kan registrera din mejladress längst ned på denna webbsida.