Någon ringer och säger att de är från banken: så vet du att det är bedrägeri

Person tittar frågande på sin mobiltelefonFoto: Alex Green via Pexels

Pågår samtalet just nu? Lägg på luren. Du behöver inte förklara dig, och du behöver inte vara artig. Öppna inte BankID, oavsett vad personen säger. Vill du kontrollera om det verkligen var banken: ring upp banken på ett nummer du själv letar fram på deras hemsida, aldrig ett nummer du fått av den som ringde.

En enda regel räcker för att stoppa nästan varje variant av det här bedrägeriet: banken ringer aldrig och ber dig logga in med BankID. Inte för att stoppa en misstänkt transaktion, inte för att flytta pengar till ett säkert konto, inte för att verifiera dig. Ber någon i luren dig legitimera dig, är det ett bedrägeri. Det finns inget undantag där ett äkta banksamtal ser ut så här.

Tre oberoende avsändare säger exakt samma sak

Det här är inte vår tolkning. Det är samma besked, ordagrant, från tre håll som inte har någon anledning att säga samma sak om det inte vore sant.

BankID: ”Använd aldrig ditt BankID när någon som kontaktar dig ber dig göra det. De myndigheter, banker, polis eller företag som erbjuder BankID kontaktar dig aldrig via telefon, mail eller liknande för att uppmana dig att logga in på eller ladda ner nytt BankID.”
BankID, Tänk på säkerheten

Polisen: ”Identifiera dig aldrig med bank-id och lämna aldrig ut koder från din bankdosa eller till ditt betalkort om någon frågar efter det.” Och: ”Seriösa företag, organisationer och myndigheter tar aldrig kontakt och ber dig logga in eller lämna ut personliga uppgifter på det sättet.”
Polisen, Telefonbedrägeri

Sveriges banker: ”Banken ringer inte för att be dig logga in eller lämna ut personliga uppgifter.”
Bankernas gemensamma initiativ, Svårlurad

BankID är ännu tydligare på sin egen supportsida: ”Bankerna kontaktar aldrig dig och ber dig logga in.” Där står också att ”varken BankID, banker eller kortföretag ber dig att lämna ut kontonummer, lösenord eller andra liknande uppgifter”.

Polisens tre steg

Polisen har kokat ner hela försvaret till tre punkter, och de är värda att läsa i just den ordningen.

  1. Lägg på luren.
  2. Logga inte in.
  3. Lita inte på den som ringer. Polisen lägger själv till meningen: ”Du behöver inte vara artig.”

Den sista meningen är den viktigaste. Bedrägeriet fungerar inte för att offret är godtroget, det fungerar för att offret är hövligt. Bedragaren låter stressad, professionell och hjälpsam, och räknar med att du inte avbryter en tjänsteperson mitt i en mening. Att lägga på utan att förklara är inte oartigt. Det är åtgärden.

Att numret ser rätt ut betyder ingenting

Den vanligaste invändningen är att det stod banken på displayen. Den invändningen håller inte, och det är BankID själva som säger det. I sin beskrivning av bedrägeritypen falsk banksupport skriver de att ”samtalet kan se ut som att det kommer från bankens telefonnummer fast det inte är sant”.

Ett nummer på skärmen är alltså ingen identitetskontroll. Det går att förfalska, och det förfalskas just för att det övertygar. Motmedlet står i samma källa: be att få kontakta banken på ett nummer som du själv hittar, exempelvis på deras hemsida. En äkta bankanställd har inga invändningar mot det. En bedragare försöker hålla dig kvar i samtalet, och det är i sig avslöjande.

Vad bedragaren faktiskt är ute efter

Det hjälper att veta vad som är på andra sidan skärmen när du trycker på din legitimering. BankID beskriver det så här: bedragaren ”blir då inloggad och försöker sedan stjäla pengar eller aktivera ett nytt BankID i ditt namn till sin egen dator eller telefon”.

Den andra halvan är den som gör mest skada över tid. Ett BankID i ditt namn på bedragarens telefon är inte ett stulet lösenord, det är en kopia av din identitet, användbar för lån och köp långt efter att samtalet är slut. Läs mer i vår guide om kapat BankID.

Fick du i stället ett sms med en länk som utger sig för att komma från banken? Vidarebefordra det till 7726, det numret används för att rapportera bluff-sms.

Om det redan har hänt

Har du legitimerat dig, så gör det här nu. Ordningen är BankID:s egen, från deras guide om id-kapning.

  1. Spärra ditt BankID. Det gör du hos banken, inte hos BankID. Det finns inget centralt BankID-nummer att ringa. Har du Mobilt BankID kan du enligt BankID:s spärrsida spärra via internetbanken, via bankens app eller genom att ringa din banks BankID-support. Har du BankID på kort måste du kontakta banken.
  2. Spärra kortet om kortuppgifter kan ha lämnats ut. Polisen skriver att ”alla banker har ett särskilt telefonnummer som du kan ringa dygnet runt”. Så här gör du: spärra kort.
  3. Polisanmäl. Ring 114 14 eller gå till en polisstation. För telefonbedrägeri finns ingen webbanmälan. Är du utomlands är numret +46 77 114 14 00.

Ett spärrat BankID går inte att låsa upp igen. Enligt BankID kan ett spärrat BankID av säkerhetsskäl inte återaktiveras, du får skaffa ett nytt via din bank. Det är ändå rätt beslut: hellre en kvarts krångel än ett BankID i någon annans hand.

Vem betalar för pengarna som försvann?

Här ska vi vara ärliga med vad som går att säga och inte.

Betaltjänstlagen har en trappa för obehöriga transaktioner. Huvudregeln är att banken återställer kontot, alltså noll kronor för dig. Har du inte skyddat din personliga behörighetsfunktion är taket 400 kronor. Vid grov oaktsamhet är ansvaret för en konsument begränsat till 12 000 kronor, och har man handlat särskilt klandervärt finns ingen gräns alls.

Var ett manipulerat samtal hamnar i den trappan går inte att svara på i förväg. Bedömningen görs i det enskilda fallet, utifrån vad som faktiskt sades och gjordes. Vi påstår därför varken att du får tillbaka pengarna eller att du blir utan. Konsumenternas Bank- och finansbyrå går igenom hur gränsen mellan grovt oaktsamt och särskilt klandervärt resoneras kring.

Det du däremot styr över är tempot. Att dröja med spärr och reklamation är den risk som är helt din egen. Läs vår guide om obehöriga transaktioner för vad som gäller när du ska få pengarna tillbaka, och gör det innan du behöver den.

I korthet