BankID-kapning — Vad det är och vad du gör om ditt BankID missbrukats

BankID-kapning innebär att bedragare antingen manipulerar dig att godkänna en transaktion i din BankID-app, eller i sällsynta fall tar fullständig kontroll över ditt BankID. Eftersom BankID är nyckeln till din internetbank, myndighetsinloggning, Skatteverket och en lång rad andra tjänster ger ett kapat BankID bedragaren enormt handlingsutrymme — och konsekvenserna kan bli allvarliga på kort tid.

Hur BankID-kapning går till

Det finns tre vanliga attackmetoder som bedragare använder sig av.

Vishing — telefonbedrägeri

Det vanligaste tillvägagångssättet är ett telefonsamtal. Bedragaren utger sig för att vara en anställd på din bank, en Polisutredare eller en handläggare på Skatteverket. Samtalet är välrepeterat och låter trovärdigt — de vet ditt namn, kanske de fyra sista siffrorna på ditt kontonummer, och de skapar en känsla av brådska: “ditt konto är under attack” eller “vi behöver verifiera din identitet omedelbart.”

Tekniskt fungerar det så att bedragaren, medan du pratar, öppnar en inloggningssida till din bank eller en annan tjänst. Din bank skickar då en BankID-begäran till din telefon. Bedragaren ber dig nu “bekräfta din identitet” i appen — men det du faktiskt godkänner är deras inloggning eller en betalning de initierat. Du ser aldrig vad du signerar förrän det är för sent.

Falskt BankID-inloggningsformulär (phishing)

En mer teknisk variant är att bedragare skapar en webbplats som ser ut som en legitim inloggningstjänst — exempelvis en kopia av din banks inloggningssida. När du skriver in ditt personnummer på bluffsidan vidarebefordrar den det till den riktiga banken i realtid. Din riktiga bank skickar en BankID-förfrågan, du godkänner vad du tror är en legitim inloggning, och bedragarna är inne på ditt riktiga konto.

SIM-kapning — kapat telefonnummer

Den mest avancerade metoden är att ta kontroll över ditt mobilnummer. Bedragaren kontaktar din mobiloperatör, utger sig för att vara dig och begär ett nytt SIM-kort. Lyckas de får de alla SMS och samtal som är avsedda för dig — inklusive engångskoder och BankID-aktivering. Denna metod är ovanligare men allvarligare, eftersom den kan ge bedragaren möjlighet att skaffa ett helt nytt BankID i ditt namn.

Varningssignaler

Känner du igen något av följande är det dags att agera:

• Du fick ett telefonsamtal där du ombads “verifiera” eller “bekräfta” något i BankID-appen
• Du fick en BankID-notis som du inte initierat — alltså en begäran du inte vet var den kom ifrån
• Det finns transaktioner på ditt konto som du inte gjort
• Du kan plötsligt inte logga in med ditt BankID, trots att du inte ändrat något
• Du slutar få SMS — ett tecken på möjlig SIM-kapning
• Du hittar kreditansökningar eller lån du inte sökt

Kom ihåg: ingen myndighet, bank eller polis ringer och ber dig använda BankID. Det är alltid ett bedrägeriförsök.

Vad du ska göra om du godkänt något misstänkt

Agera snabbt — varje minut räknas när bedragare väl är inne i dina konton.

1. Ring din bank direkt på det officiella numret (hitta det på baksidan av ditt kort eller på bankens officiella webbplats — inte via sökmotorn om du misstänker phishing). Berätta vad som hänt och be dem granska och vid behov frysa dina konton.
2. Spärra ditt BankID via din banks kundtjänst eller app. Be dem även hjälpa dig att spärra eventuella betalningar som är under behandling.
3. Byt alla lösenord för tjänster du använder BankID för att logga in på — e-post, myndigheter, streaming, sjukvårdsportaler och liknande.
4. Anmäl händelsen till Polisen på polisen.se eller på närmaste polisstation. Du får ett ärendenummer som är viktigt för eventuella framtida krav mot bank eller försäkring.
5. Kontrollera dina konton och kreditupplysning — beställ en gratis kreditupplysning via UC för att se om några lån eller kreditansökningar gjorts i ditt namn.

Om du misstänker SIM-kapning: ring din mobiloperatör omedelbart och be dem spärra ditt nummer och utreda om ett portsignering- eller SIM-byte skett.

Hur du skyddar ditt BankID

Prevention är det bästa skyddet. Följ dessa regler konsekvent:

• Godkänn aldrig en BankID-legitimering du inte initierat själv. Har du inte precis klickat “Logga in med BankID” på en sajt — avbryt omedelbart.
• Inga myndigheter eller banker ringer och ber dig använda BankID. Oavsett hur trovärdigt det låter — lägg på och ring dem på det officiella numret.
• Läs alltid texten i BankID-appen innan du godkänner. Den visar vilket belopp eller vilken tjänst du signerar för.
• Spärra ditt BankID direkt om din telefon tappas bort, stjäls eller om du misstänker intrång. Vänta inte.
• Aktivera BankID-notiser i din banks app så att du direkt ser inloggningar och transaktioner.
• Överväg kreditspärr om du vill försvåra för bedragare att ta lån i ditt namn — läs mer om det i vår guide om att spärra personnummer.

Vill du förstå hela bilden av ID-kapning och hur du skyddar din identitet på bredare front? Läs vår huvudguide om id-kapning och identitetsstöld.