Mobila Bank-ID bedrägeri – Så går det till och så skyddar du dig!

1. Vad är Mobilt BankID?

Mobilt BankID är en elektronisk legitimation – en digital motsvarighet till ditt ID-kort eller pass – som används för att identifiera dig och signera digitalt i Sverige. Tjänsten togs fram i början av 2000-talet av ett bankkonsortium för att möta behovet av säker e-legitimation​.

Den första BankID-legitimationen utfärdades 2003 och sedan dess har användningen ökat explosionsartat​ Mobilt BankID, lanserat 2011 för smartphones och surfplattor, blev snabbt den dominerande formen​. Idag använder över 8 miljoner svenskar BankID och år 2019 hade 84% av befolkningen (16+ år) Mobilt BankID​. Det har därmed blivit standardmetoden för inloggning hos banker, myndigheter och andra e-tjänster, och möjliggör även populära tjänster som Swish​.​

Hur fungerar det? Mobilt BankID bygger på certifikatbaserad säkerhet och asymmetrisk kryptering. Det betyder att varje användare har ett unikt nyckelpar: en privat nyckel som lagras säkert i BankID-appen på mobilen, och en publik nyckel som används för att verifiera underskrifter​.

När du loggar in eller signerar något med BankID, skapar appen en digital signatur med din privata nyckel efter att du angivit din personliga kod. Den publika nyckeln (certifikatet) hos BankID-tjänsten verifierar underskriften, vilket bekräftar din identitet för den tjänst du använder. Detta upplägg liknar tvåfaktorsautentisering: något du har (din enhet med BankID-certifikatet) och något du vet (din PIN-kod). Din PIN-kod lagras aldrig på BankID:s servrar, vilket ytterligare skyddar din identitet​.

Dessutom utfärdas BankID endast av banker efter noggrann ID-kontroll, vilket knyter e-legitimationen till ditt personnummer. Sammanfattningsvis fungerar Mobilt BankID som en digital nyckel: endast du, med din telefon/platta och kod, kan “låsa upp” tjänster och skriva under avtal online.

2. Hur säkert är Mobilt BankID?

Mobilt BankID anses vara en mycket säker identifieringsmetod. Rent tekniskt har BankID under sina 20 år aldrig knäckts eller hackats – krypteringen och säkerhetsfunktionerna har aldrig blivit komprometterade enligt företaget bakom tjänsten​.

All känslig information (ditt certifikat och privata nyckel) ligger endast i din egen enhet, inte på någon central server, och varje transaktion signeras unikt. Detta ger en klar fördel jämfört med många andra inloggningsmetoder. Till exempel eliminerar BankID behovet av svaga lösenord (som kan gissas eller läckas) och är robustare än engångskoder via SMS (som kan fångas upp vid t.ex. SIM-kortskapning). Med BankIDs PKI-teknik (Public Key Infrastructure) blir det kryptografiskt extremt svårt för en utomstående att förfalska din identitet eller manipulera en transaktion​.

Man skulle behöva komma över din privata nyckeloch din PIN-kod för att lyckas – något som i praktiken är nästintill omöjligt utan ditt samarbete.

Fördelar: BankID erbjuder hög säkerhet genom sin design. Varje BankID är unikt och kan inte kopieras eller flyttas till en annan enhet utan att användaren aktivt godkänner det​. Appen har dessutom skyddsmekanismer mot fjärrstyrning och avlyssning, vilket motverkar trojaner som försöker ta kontroll över din mobil på distans​.

De flesta banker och tjänster som använder BankID visar också tydligt vad du håller på att göra (t.ex. “Loggar in på Skatteverket” eller “Signerar betalning på 1 390,00 SEK till Företaget AB”) när BankID-appen öppnas för godkännande. Den höga säkerhetsnivån och användarvänligheten har gjort att både organisationer och användare känner stort förtroende för BankID-systemet​.

Svagheter och möjliga sårbarheter: Den svaga punkten med BankID ligger sällan i tekniken – utan i människan som använder det. Bedragare som vill utnyttja BankID riktar in sig på att manipulera användaren, eftersom de inte kan ta sig förbi krypteringen direkt​.

En inbyggd egenskap hos BankID är att en inloggning eller signering kan startas av en part och sedan godkännas av användaren på distans. Det vill säga, du kan få en BankID-förfrågan i appen utan att själv ha öppnat appen först. Detta är den största säkerhetsrisken: någon kan initiera en falsk transaktion eller inloggning i ditt namn och lura dig att tro att den är legitim, så att du själv godkänner den​. Kriminella utnyttjar denna mekanism genom social ingenjörskonst (mer om det nedan) – t.ex. ringer upp dig och utger sig för att vara från banken och ber dig ”identifiera dig” med BankID, varpå de får tillgång​

En annan potentiell sårbarhet är om din enhet skulle vara komprometterad av skadlig kod. I dagsläget finns inga kända fall där någon virus specifikt knäckt BankID-appen, men om din telefon eller dator är infekterad kan illasinnade program teoretiskt försöka läsa av skärmen, registrera knapptryckningar eller på annat sätt kringgå säkerheten. BankID-appen försöker motverka detta, bland annat genom att inte fungera på rootade eller jailbreakade enheter (där viktiga säkerhetsspärrar i operativsystemet har tagits bort)​.

Det är ändå viktigt att du själv håller din enhet uppdaterad och skyddad (se tips i avsnitt 4). Slutligen handlar säkerhet också om ansvar: BankID är så säkert som du själv gör det. Om du slarvar med din kod (t.ex. skriver den på en lapp) eller låter obehöriga använda din mobil, kan förstås säkerheten äventyras. Men i det stora hela anses Mobilt BankID vara en av de säkraste metoderna för digital legitimering som finns tillgängliga för allmänheten​.

Tekniken är säker, så länge användaren hanterar den säkert!

3. Hur går Bank-ID bedrägeri till?

Trots BankIDs inbyggda säkerhet har bedragare hittat sätt att lura användare att omedvetet ge dem access. Här är några vanliga metoder:

• Phishing (nätfiske): Detta innebär att bedragaren försöker få dig att frivilligt ge bort dina uppgifter eller signera något, genom att utge sig för att vara en legitim aktör digitalt. Det kan ske via falska mejl, SMS eller webbplatser som ser ut att komma från din bank, Skatteverket, PostNord etc. Ofta innehåller meddelandet en länk som leder till en sida där du ombeds logga in med BankID. I själva verket är sidan falsk och när du använder BankID där, så signerar du något åt bedragaren. Smishing (SMS-phishing) är särskilt vanligt – t.ex. ett SMS om att “ditt paket är på väg, följ länken och legitimera dig” när du kanske väntar på en leverans​. Klickar du och legitimerar dig på en sådan bluff-sida kan bedragarna kapa din inloggning. Phishingmejl kan också påstå att “ditt konto spärras om du inte verifierar dig nu” och stressa mottagaren att agera utan eftertanke. Grundprincipen är att du luras att tro att du kommunicerar med en betrodd part, medan du i själva verket ger dina uppgifter till en bedragare.
  
• Social ingenjörskonst (”vishing” m.m.): Här kontaktar bedragaren dig direkt, ofta via telefon. Vishing (voice-phishing) innebär att någon ringer och utger sig för att vara t.ex. från banken, Polisen eller en myndighet​. De kan säga att det är akut: kanske att “någon försöker ta lån i ditt namn – vi måste verifiera din identitet, snabbast via BankID!”. Under förevändning att hjälpa dig lurar de dig att logga in med BankID, men i själva verket godkänner du en transaktion eller inloggning som de startat. Ett känt scenario är att bedragaren påstår att de ringer från banken och behöver din hjälp att ”stoppa ett bedrägeri”, och guidar dig att använda BankID – varpå de själva installerar ett nytt BankID i ditt namn eller för över pengar​. I flera uppmärksammade fall har ligor systematiskt ringt framförallt äldre personer och på detta sätt kommit över stora summor. (Ett exempel är den s.k. “Casinoligan” som lurade till sig omkring 47 miljoner kronor genom BankID-bedrägerier – ett fall där över 100 personer åtalades​) Social ingenjörskap kan även ske via kapade sociala medier-konton – t.ex. om en väns Facebook-konto blir hackat och bedragaren i din väns namn ber dig om en snabb BankID-signering eller Swish-betalning. Oavsett metod går det ut på att utnyttja ditt förtroende och stressa eller manipulera dig att själv använda BankID vid fel tillfälle.
  
• Skadlig kod och hackade enheter: Även om det är mindre vanligt, förekommer skadlig programvara som riktar sig mot bankärenden i allmänhet. Banktrojaner på datorer eller Android-telefoner kan till exempel lägga sig som ett skikt ovanpå riktiga appar och därigenom stjäla inloggningsinformation eller vilseleda användaren. Om din dator är infekterad kan en angripare få upp en fejkad BankID-inloggningsruta där du luras skriva in din kod. Det finns också trojaner som kan fjärrstyra en smittad telefon. I ett sådant scenario skulle en angripare kunna försöka initiera BankID-underskrifter i bakgrunden. Lyckligtvis har BankID-appen inbyggda skydd som upptäcker många sådana försök – t.ex. genom att inte fungera om den upptäcker onaturliga interaktioner eller om enheten är jailbreakad​. Men hotet finns där, särskilt för dem som inte uppdaterar sina enheter. För några år sedan cirkulerade till exempel Android-trojaner som “kapade” SMS och telefonsamtal för att lura bankkunder, och säkerhetsföretag varnade då BankID-användare för att vara extra försiktiga. Att få sin telefon eller dator komprometterad med virus är dock betydligt ovanligare än att bli utsatt för social manipulation, men det är en metod bedragare kan använda i mer avancerade attacker.
  
• Verkliga fall: Utöver “Casinoligan” finns det tyvärr många exempel i media på individer som drabbats. Ofta rör det sig om sårbara grupper, till exempel äldre, som kanske inte är lika vana vid tekniken. En vanlig historia är att en person blir uppringd av någon som säger sig vara från banken eller från tech-support. Samtalet kan pågå länge, och bedragaren bygger upp förtroende för att sedan be offret logga in med BankID. I andra fall har SMS och mejl-attackernas sofistikation lett till att även yngre, teknikkunniga personer har klickat på fel länk och signerat något de inte borde. Antalet anmälningar kopplade till BankID-relaterade bedrägerier har ökat de senaste åren​, i takt med att BankID blivit en så vanlig “nyckel” till våra digitala liv. Trots att det rör sig om en liten andel av de miljarder legitimeringar som sker, kan konsekvenserna för den drabbade bli allvarliga​ – tömda bankkonton, upptagna lån i ens namn, eller identitetskapningar som kräver lång tid att reda upp.

4. Så skyddar du dig mot Mobilt Bank-id bedrägeri

Ingen vill råka ut för bedrägerier, och lyckligtvis finns det många steg du kan ta för att minimera risken. Här är några konkreta åtgärder:

• Var alltid skeptisk till oväntade BankID-förfrågningar. Om du får en uppmaning att använda BankID som du inte själv initierat – stoppa upp och tänk efter! I normalfallet ska du aldrig använda ditt BankID på uppmaning av någon som oväntat kontaktar dig​. Bankerna eller myndigheter ringer aldrig upp dig out of the blue och ber dig logga in med BankID, och de ber definitivt inte om dina koder. Så om du får ett sådant samtal eller meddelande, är det nästan säkert ett bedrägeriförsök. Lägg på luren eller radera meddelandet. Läs alltid texten i BankID-appen noga när du ska signera något, så att det stämmer med vad du avser att göra. Kontrollera vilket företag eller myndighet som står som avsändare i BankID-dialogen, och vilken typ av operation det gäller (inloggning, betalning, etc.). Om något känns fel eller okänt – avbryt! Hellre en gång för mycket än för lite. Den skepsis du har mot okända länkar och bifogade filer i e-post ska du även ha mot oväntade BankID-promptar.
  
  
• Använd en säker och uppdaterad enhet. Din mobiltelefon eller dator är din BankID-“nyckel”, så se till att hålla den i gott skick säkerhetsmässigt. Det innebär: uppdatera regelbundet operativsystem och BankID-appen så att kända säkerhetshål täpps till. Installera inga okända appar eller program – ladda bara ner appar från betrodda källor (Google Play, Apple App Store) för att minska risken för malware. Ha ett starkt skärmlås eller lösenkod på din enhet, så att om du skulle bli av med den kan inte tjuven lika lätt komma åt ditt BankID. Undvik att ha BankID installerat på en jailbreakad/rootad enhet; du försätter då din säkerhet i fara och bryter mot användarvillkoren (BankID kan i många fall upptäcka detta och vägra fungera). Tänk också på att avsluta och spärra gamla BankID:n du inte längre använder eller som finns på en borttappad enhet – detta kan du göra via din internetbank. Genom att ha en “ren” och uppdaterad enhet stänger du ute många av de vanligaste attackvägarna för virus och hackare.
  
  
• Installera säkerhetsprogram och aktivera skyddsfunktioner. För extra skydd, särskilt om du använder Android eller Windows, kan det vara klokt att ha ett antivirusprogram eller mobil säkerhetsapp som kan upptäcka malware. Se till att du har brandvägg, spamfilter och anti-phishing-filter påslagna där det är relevant (t.ex. på din e-post)​. Många moderna telefoner har inbyggda skydd – utnyttja dem! På iPhone aktiveras t.ex. automatiskt skydd mot okända avsändare i iMessage, och på Android kan Google Play Protect skanna efter skadliga appar. Håll även koll på dina konton: de flesta banker erbjuder notiser vid inloggning eller större transaktioner – slå på dessa aviseringar, så får du snabbt reda på om ditt BankID används oväntat. Kort sagt, använd de “skyddsnät” som finns tillgängliga. De kan kännas överflödiga – tills den dag de faktiskt räddar dig från ett bedrägeri.
  
  
• Lämna aldrig ut personliga koder eller information. Detta kan inte betonas nog: Dela aldrig med dig av BankID-koder, engångskoder från bankdosa, lösenord eller liknande till någon​. Ingen legitim aktör kommer någonsin kräva att få “veta” din BankID-kod eller ditt lösenord. Om någon frågar – då är något lurt på gång. Håll dina hemliga koder hemliga! Samma sak gäller personnummer, kortnummer och andra känsliga uppgifter: ge bara ut dem när du själv tagit initiativet och det är nödvändigt.
  
  
• Använd en UnoQlick Protect för BankID om du känner dig utsatt. För de som vill ha ytterligare ett lager skydd finns tjänster som UnoQlick Protect. Det är en lösning där man kan låsa BankID-appen (eller andra appar, t.ex. Swish) så att de inte kan användas utan ett extra godkännande från en anhörig eller betrodd person. Det blir som en “tvåpersonersautentisering” – när du försöker öppna BankID skickas en notis till din utsedda godkännare som måste ge grönt ljus​. Detta är särskilt användbart för till exempel äldre släktingar som har svårt att själva bedöma falska samtal; en familjemedlem kan då agera grindvakt och förhindra att bedragare lurar dem. Tjänster som UnoQlick kan på så vis förebygga bedrägerier på riktigt genom att hindra obehöriga från att nå BankID​. Om du själv befinner dig i en riskgrupp eller bara vill ha maximal trygghet, kan ett sådant extra skydd vara värt att överväga.
  
  Läs mer om UnoQlick Protect och ta del av erbjudande!

UnoQlick Protect lägger till en extra spärr: här ser vi en notis som talar om att någon“Eric”) vill låsa upp BankID-appen. Först när en betrodd person godkänner förfrågan låses appen upp, vilket stoppar bedragare från att utnyttja BankID utan ägarens vetskap.

• Allmän vaksamhet och kunskap. Utöver ovanstående punkter – håll dig informerad om nya bedrägeritrender. Bedragare ändrar ständigt taktik. Ibland kan det komma larmrapporter i media om aktuella bluffar; ta dem på allvar. Prata gärna med vänner och familj, särskilt äldre, om BankID-säkerhet så att fler är medvetna. Ju mer allmänheten känner till knepen som bedragarna använder, desto svårare blir det för dem att lyckas. Kom också ihåg det grundläggande: om något verkar för bra för att vara sant, eller om du känner minsta tvekan – avbryt och kontrollera en extra gång. Det är bättre att vara försiktig än att ångra sig efteråt.

5. Framtiden för Mobilt BankID

BankID utvecklas kontinuerligt för att möta nya säkerhetsutmaningar och behov. Framöver kan vi förvänta oss flera förbättringar som ytterligare stärker säkerheten:

• ”Säker start” och ökad kontroll: En stor förändring under 2023–2024 är införandet av Säker start vid BankID-användning. Detta innebär att tjänster som använder BankID måste verifiera att rätt användare initierat identifieringen. Till exempel vid telefonidentifiering har BankID-appen numera en speciell telefoni-ikon och säkerhetsfråga som tydligt visar att legitimeringen sker under ett samtal, och användaren får bekräfta detta innan PIN-koden matas in​. Denna funktion förhindrar många typer av sociala bedrägerier. Faktum är att från 1 maj 2024 blir Säker start obligatoriskt för alla företag, myndigheter och organisationer som använder BankID​. På sikt kommer det sannolikt innebära slutet för den äldre modellen där man kunde starta BankID genom att bara ange personnummer på en webbplats​. Istället kommer metoder som QR-kod-skanning och app-till-app-hantering ta över fullt ut, vilket gör att du alltid själv måste initiera BankID-flödet (bedragaren kan inte trigga det åt dig i smyg). Detta är en mycket välkommen uppgradering som kraftigt minskar risken för fjärrbedrägerier.
  
• Identitetskontroller med ID-handlingar: BankID har nyligen infört möjligheten till extra ID-kontroll vid särskilt känsliga ärenden. Det innebär att en tjänsteleverantör kan kräva att du utöver BankID även skannar ditt fysiska pass eller ID-kort med mobilens NFC och kamera​. Detta dubbelkollar din identitet mot en fysisk handling och gör det i princip omöjligt för någon annan än den rättmätige innehavaren att genomföra t.ex. vissa högrisk-transaktioner. Sådana funktioner kan komma att byggas ut framöver, kanske genom AI-baserad ansiktsigenkänning eller liknande, för att höja säkerheten ytterligare vid behov. BankID inför också löpande högre krav vid utgivning – till exempel måste användare numera ibland visa upp sitt pass fysiskt i samband med förnyelse av BankID, vilket försvårar för identitetskapare utan rätt handlingar​
  
• Biometrisk inloggning: Redan idag kan du aktivera fingeravtryck eller ansiktsigenkänning för att öppna BankID-appen på moderna telefoner​. Denna funktion ökar bekvämligheten, och i framtiden kan biometrik även användas mer för att bekräfta användarens identitet löpande. Biometri är dock ett komplement – PIN-koden finns kvar i botten – men det är möjligt att BankID-teamet finjusterar användningen av biometriska data för att både höja säkerhet och användarvänlighet. Till exempel skulle fler säkerhetskontroller i bakgrunden (såsom beteendeanalys, enhetsidentifiering, platsdata med mera) kunna användas för att flagga misstänkta inloggningar utan att störa användaren i onödan.
  
• Nya e-legitimationer och konkurrens: BankID dominerar i Sverige, men det finns alternativa e-legitimationer såsom Freja eID. Freja eID är statligt godkänd och erbjuder liknande funktioner (legitimering och signering via app), men har även ett integrerat ID-kort och möjliggör identitet för personer utan svenskt personnummer. I nuläget har Freja eID en bråkdel av användarna jämfört med BankID, men i framtiden kan konkurrensen öka vilket ofta driver på säkerhetsutvecklingen. Dessutom planerar svenska staten att lansera en officiell statlig e-legitimation under kommande år, för att ytterligare öka tillgängligheten och säkerheten för digital legitimering. BankID kommer med stor sannolikhet att fortsätta ligga i framkant – men användarna kan få fler valmöjligheter, särskilt för de som efterfrågar ännu högre säkerhet eller som idag står utanför BankID-systemet.
  
• Internationell användning och standarder: I och med att EU inför eIDAS 2.0-förordningen och digitala plånböcker, kommer BankID anpassas för att fungera även utanför Sveriges gränser. Redan nu (2025) har BankID godkänts för identifiering i offentliga e-tjänster inom EU​, vilket är ett steg mot att svenskar ska kunna använda sitt BankID utomlands lika smidigt som hemma. Detta kan kräva ytterligare säkerhetsåtgärder för att möta internationella standarder, men också öppna möjligheter för BankID att samarbeta med andra säkra identitetstjänster globalt. Kanske kommer vi se en framtid där BankID integreras med EU:s kommande digitala identitetsplånbok – en lösning som skulle kunna kombinera det bästa av flera världar.

Sammanfattningsvis går trenden mot ökad säkerhet och användarkontroll. Fler inbyggda kontrollfrågor, fler tekniska skyddslager och mer information till användaren om vad som håller på att godkännas. Samtidigt jobbar BankID på att behålla smidigheten – den enorma framgången beror ju på att det är enkelt att använda. Balansen mellan säkerhet och användarvänlighet kommer fortsatt att finslipas. Vi kan dock vara ganska säkra på en sak: bedragarna kommer inte sluta försöka hitta på nya knep, så BankID-teamet och vi användare måste hela tiden ligga steget före.

Var alltid på din vakt och hjälp gärna nära och kära att förstå riskerna. Mobilt BankID är ett fantastiskt verktyg som öppnat upp en ny värld av digitala tjänster – så länge det används på rätt sätt. För mer tips om hur du skyddar dig, läs gärna vårt blogginlägg Hur du skyddar dig. Kom ihåg att din vaksamhet är det bästa skyddet. Var extra uppmärksam, så kan du tryggt fortsätta dra nytta av alla fördelar med Mobilt BankID i din vardag. Stay safe!