Alla som använder internet har ett konto av något slag. För att komma åt dessa konton måste vi ofta verifiera vår identitet digitalt.
Digitalt bedrägeri är ett växande problem i Sverige, med människor som faller offer för bedrägliga attacker varje dag. En vanlig teknik som används för att stjäla känslig information och manipulera offer är nätfiske.
Det växande problemet med nätfiske
Nätfiske innebär att brottslingar skickar meddelanden till människor samtidigt som de utger sig för att vara ett legitimt företag eller en organisation för att få känslig information som bankinloggningsuppgifter.
Sådana vilseledande meddelanden skickas ofta via e-post eller text (även känd som "Smishing" för "SMS phishing"). De innehåller ofta brådskande förfrågningar eller alarmerande scenarier för att stressa offren till att klicka på skadliga länkar eller tillhandahålla konfidentiell information. I många fall utnyttjar bedragare aktuella händelser för att öka sannolikheten för att människor går i fällan.
Ett sådant exempel som ökade antalet fall av nätfiske var Covid-19-pandemin. Enligt EY påverkade pandemin rädslan och nyfikenheten hos människor, vilket gjorde dem mer benägna att utnyttjas av bedragare. Nätfiskeattacker var dock ett problem redan före pandemin, där en tredjedel av den svenska befolkningen i 2019 hade fått e-post från bedragare.
År 2023 upplevde 25 % av företagen inom finanssektorn och försäkringssektorn bedrägliga attacker, där nätfiskeattacker var den vanligaste. I alla branscher har 28 % upplevt nätfiskeattacker någon gång.
Varför nätfiske är ett hot mot elektroniska identiteter
Länder där befolkningen använder sig av elektroniska identiteter (eID) upplever ofta nätfiske som ett försök på att stjäla eID-uppgifter. Detta beror på att eID används för att komma åt viktiga portaler som bankkonton och statliga tjänster.
Den primära eID i Sverige är BankID. Trots att den anses vara en säker metod för digital autentisering är den fortfarande ett mål för nätfiskeattacker.
För att mildra detta problem har BankID tagit fram ett nytt tekniskt krav som ökar säkerheten.
Hur BankID säker start skyddar mot nätfiske
Säker start är ett nytt tekniskt krav från BankID som bekämpar det ökande problemet av nätfiske och distans bedrägerier.
Säker start introducerar två obligatoriska ändringar av användarupplevelsen:
- Autostart på samma enhet: När en användare startar BankID verifieringen på samma enhet som personen har Mobilt BankID på, omdirigeras användaren automatiskt till BankID-appen utan mellansteg.
- Animerad QR-kod på annan enhet: Användare kommer inte längre att kunna starta BankID genom att ange sitt personnummer direkt på skärmen. Istället måste de skanna en QR-kod för att initiera processen.
Autostart på samma enhet säkerställer att den som initierar BankID-processen på sin telefon också är den som genomför den. När BankID startas omdirigeras användaren omedelbart till BankID-appen, vilket eliminerar eventuella mellansteg.
QR-koden förhindrar bedragare från att starta en annan persons BankID från en annan plats genom att mata in deras personnummer. För att starta BankID-processen måste användare skanna QR-koden med sin app och därför vara fysiskt närvarande framför skärmen.
Hur kan BankID säker start förbättra användarupplevelsen?
Autostart förenklar BankID genom att användare inte behöver manuellt hitta appen på sina telefoner. Detta gör både verifieringen enklare och snabbare.
Samtidigt som att den animerade QR-koden är enkel, kommer det att ta tid för vissa att vänja sig. Dock har företag implementerat inloggning med BankIDs QR-kod sedan 2018, så det är ingen nyhet. BankID-användare har alltså haft tid på sig att använda denna metod.
Säker start jämfört med Danmark och Norge
BankIDs motsvarighet är MitID i Danmark och BankID i Norge.
MitID
MitID introducerade inloggning med QR-kod i 2023 och gjorde det obligatoriskt för alla företag som använder MitID.
I motsats till den animerade QR-koden kräver den fortfarande att användare skriver in sitt MitID-användarnamn för att starta processen. När de startar verifieringen ser de en QR-kod på skärmen som måste skannas för att slutföra processen.
Precis som med BankID i Sverige bidrar detta till att minska risken för nätfiskeattacker.
BankID i Norge
I 2023 genomgick BankID en betydande förändring: Mobilt BankID fasades ut i och med införandet av BankID-appen med biometri. Biometri har förbättrat användarupplevelsen avsevärt, vilket låter användare verifiera sin identitet på bara några sekunder.
BankID har dock ännu inte implementerat någon QR-kod, vilket skulle öka säkerheten.
Under tiden löper användare av norskt BankID en högre risk för nätfiskeattacker jämfört med de som använder MitID och BankID i Sverige.
Läs mer om hur norskt BankID arbetar på att förhindra bedrägerier >
Sammanfattning
Nätfiskeattacker har länge utgjort ett hot mot det svenska samhället. Säker start representerar ett viktigt steg mot en säkrare och mer användarvänlig inloggningsupplevelse med BankID.
Förhoppningsvis kommer vi att se en minskning av framgångsrika nätfiske efter den obligatoriska implementeringen av säker start den 1 maj 2024.
