Regeringen vill bekämpa bluff-sms med nya åtgärder

Problemet med bluff-sms kvarstår. Bedragare skickar ut mängder med sms som har förfalskade avsändare. Meddelandena uppmanar mottagarna att klicka på länkar eller ringa telefonnummer. Länkarna och telefonnumren leder direkt till bedragarna som ofta försöker få offren att uppge betalkortsuppgifter eller överföra pengar.

De falska sms-meddelandena kan verka trovärdiga eftersom de ser ut att komma från välkända organisationer. Bedragare kan nämligen själva välja vilket avsändarnamn som ska visas. Ett sådant exempel är de falska Biltema-meddelandena som skickades ut i början av månaden. Ett annat exempel är de falska Kivra-meddelandena som Säkerhetskollen rapporterade om i fjol . (I den länkade artikeln finns också en ljudinspelning av samtalet med bedragarna.)

Samma metod utnyttjas också av aktörer som vill sprida oro i samhället. I fjol skickades det ut falska sms från SOS Alarm som påstod att Sverige hade utsatts för ett väpnat angrepp.

Situationen förvärras av sättet som mobilernas meddelandeappar grupperar meddelanden. Alla meddelanden som kommer från samma påstådda avsändare hamnar i samma konversation. Det gör att falska meddelanden kan dyka upp bland äkta meddelanden, vilket stärker bluffmeddelandenas trovärdighet.

Regeringen vill bekämpa bluff-sms

Förra veckan meddelade regeringen att de vill se nya åtgärder i kampen mot bluff-sms. I en lagrådsremiss föreslår regeringen att mobiloperatörerna ska få ytterligare möjligheter och skyldigheter att blockera bedrägliga meddelanden. Enligt lagrådsremissen ska förändringarna träda i kraft den första augusti i år.

Telefonbedrägerier är en avskyvärd brottslighet som ofta drabbar äldre och är en stor inkomstkälla för den kriminella ekonomin. /…/ Det här lagförslaget innebär även att vi äntligen kommer åt bedrägeri‑sms. Nu ökar vi tryggheten för alla samtidigt som vi utdelar ett hårt slag mot organiserad brottslighet.

– Civilminister Erik Slottner

Sms är i grunden ett förlegat och osäkert kommunikationssätt. Det finns därför ingen lösning som kan stoppa bluff-sms helt och hållet. All filtrering måste också göras med försiktighet. Sms används fortfarande för inloggningskoder, reseuppdateringar och tidskritiska varningar. En alltför aggressiv blockering skulle i värsta fall leda till att viktiga sms inte levereras.

Den personliga integriteten måste också vägas in. Sms kan innehålla känslig information. Regeringen föreslår därför att mobiloperatörerna ska låta bli att analysera innehållet i meddelandena. Mobiloperatörerna ska i stället detektera bluff-sms utifrån trafikmönster. Lagrådsremissen beskriver inte hur detta ska gå till rent tekniskt utan överlåter detaljerna till föreskrifter som PTS (Post och telestyrelsen) tar fram.

Kontroll av avsändarnamn

Ett av förslagen är att mobiloperatörerna ska kontrollera avsändarnamnen mot ett register över godkända avsändare. Sverige har redan ett frivilligt sådant register där en organisation kan registrera alla sms-tjänster som ska få skicka sms i organisationens namn. Det gör att mobiloperatörerna kan blockera sms som kommer med registrerade namn från oregistrerade sms-tjänster.

Lösningen är dock långt ifrån hundraprocentig. 

• I en rapport från december 2024 bedömde PTS att enbart tre procent av företagen som skickar sms hade registrerat sina avsändarnamn.
• Bedragare kan felstava eller förkorta avsändarnamnen så att de avviker från alla registrerade avsändarnamn.
• Registret måste ha globala avsändare i åtanke. Utländska organisationer kan ha samma namn som svenska organisationer. Deras sms-meddelanden får inte blockeras bara för att de utländska organisationerna inte har registrerat sina namn i det svenska registret.

Den föreslagna åtgärden bedöms ändå kunna minska problemet med bluff-sms. Enligt PTS-rapporten har en liknande (obligatorisk) åtgärd införts i Singapore som uppges stoppa 70 procent av sms-bedrägerierna.

Whatsapp-bedrägerier påverkas inte

De nya kraven föreslås gälla sms-meddelanden och moderna motsvarigheter (mms- och rcs-meddelanden). Kraven kommer inte att omfatta andra typer av direktmeddelanden, såsom Signal- eller Whatsapp-meddelanden. I mitten av februari varnade vi på Säkerhetskollen för falska Whatsapp-meddelanden som skickades till Best Western-hotellens gäster . Den typen av nätfiskemeddelande påverkas därför inte av de förslagna kraven på mobiloperatörerna.

Kampen mot bedrägliga kontaktförsök

Lagrådsremissen är det senaste tilltaget i kampen mot bedrägliga kontaktförsök. I fjol infördes nya krav på mobiloperatörerna för att bekämpa ”spoofade” telefonsamtal, det vill säga samtal där bedragare ringer från någon annans telefonnummer. Då granskade vi på SSF om åtgärderna var tillräckliga och demonstrerade live i TV4 Nyhetsmorgon hur det tyvärr fortfarande gick att ringa från någon annans telefonnummer.

Problemen med spoofade samtal och falska meddelanden grundas i att telefonisystemet är gammalt. Det byggdes aldrig för att vara säkert. Det tar tid att åtgärda problemen eftersom åtgärderna måste ta hänsyn till alla miljontals telefoner som redan används.

Rekommendationer

I väntan på en fullständig lösning rekommenderar SSF att aldrig lita på avsändaren av ett sms. Låt framför allt bli att ringa till telefonnummer eller att klicka på länkar som står i sms. Leta i stället själv upp kontaktuppgifterna eller webbplatsen som tillhör organisationen som sms-meddelandet påstås komma från.

SSF påminner också om att det finns flera säkra meddelandetjänster. Om du får ett brev via din digitala brevlåda (till exempel Kivra eller Min Myndighetspost) kan du lita på att det kommer från den påstådda avsändaren. Samma sak gäller push-notiser som du får från myndigheternas och företagens egna appar. Medan bedragare kan skicka falska sms som ser ut att komma från din bank, kan de aldrig skicka falska push-notiser från bankens app.