Så här stjäl brottslingar dina kort utan att någonsin röra vid dem

Apple Pay och Google Pay utlovar bekvämlighet och säkerhet. Men just denna enkelhet öppnar nu dörren för en sofistikerad bedrägerimetod i Storbritannien, där bankkonton töms utan att bedragarna behöver det fysiska kreditkortet.

Det börjar inte med en dramatisk nattlig operation vid bankomaten. Attackerna tar sin början stilla och tyst veckor i förväg, medan du lever ditt helt vanliga liv.

Fas ett: Den dolda datainsamlingen

Cyberbrottslingarna börjar med att bygga upp ett detaljerat dossier om sitt kommande offer. De använder riktade nätfiskekampanjer genom e-post, SMS eller sociala medier, som ser ut att komma från offentliga myndigheter, paketleverantörer eller välkända webbutiker.

Betet varierar: Skatt i återbetalning, statliga stödpaket eller exklusiva rabatter. Många offer minns senare ett ”konstigt meddelande”, men kopplar det aldrig till den senare ekonomiska förlusten.

Med de stulna uppgifterna – namn, adress, kontaktuppgifter och ibland till och med kortdetaljer – bygger gärningsmännen en profil. Sedan väntar de flera veckor, tills den första chocken hos offret har lagt sig. Därefter inleds fas två.

Det perfekta banksamtalet

Attacken kulminerar i ett telefonsamtal som liknar en officiell kontakt från din bank. Numret i displayen ser trovärdigt ut, ibland identiskt med den äkta kundtjänstlinjen. Bedragarna känner till detaljer om ditt konto, din senaste överföring eller ditt kortnummer.

Det största vapnet är inte teknologin, utan den perfekt iscensatta känslan av brådska och hot.

Den påstådda bankanställde beskriver misstänkta transaktioner som du naturligtvis inte känner till. Det skapar press. Tonen förblir artig men bestämd. Det handlar om ”säkerhetsåtgärder”, ”omedelbart skydd” eller ”en pågående attack”. När du sitter i den situationen uppstår paniken snabbt.

Tricket som fungerar: Ditt kort i en främmande plånbok

Det avgörande ögonblicket kommer nu. Uppringaren förklarar att man måste ”säkra kontot” och skydda kortet mot ytterligare attacker. Det pratas om en teknisk förändring som bara tar några sekunder.

Sanningen är en helt annan: Bedragarna lägger till ditt kort i en digital plånbok på sin egen smartphone – till exempel Apple Pay eller Google Pay. Denna handling utlöser en helt legitim säkerhetsförfrågan hos banken.

Du får nu en äkta notifiering från banken, exempelvis:

Push-meddelande i bankappen
SMS med en engångskod
Förfrågan i appen om kortet får läggas till i en plånbok

Uppringaren förutspår ofta detta meddelande. Han förklarar det som en del av ”säkerhetsproceduren”, som påstås stoppa ett pågående bedrägeri. Många drabbade läser inte varningshänvisningarna ordentligt, eftersom de redan befinner sig mitt i en stresssituation.

Den som trycker ”Bekräfta” eller uppger koden i telefonen, auktoriserar inte skydd – utan aktiverar sitt eget kort på bedragarnas enhet.

Banken meddelar senare med rätta: Transaktionerna godkändes via stark kundautentisering. Formellt har offret själv gett tillgång till sin plånbok – bara i ett perfekt manipulerat sammanhang.

Blixtsnabb shopping för stora belopp

Så fort kortet är aktivt i den främmande plånboken, handlar bedragarna på några minuter. De köper dyra och lättomsatta varor:

Dyra smartphones, surfplattor och bärbara datorer
Designerkläder, sneakers, handväskor
Elektronik hos stora handelskedjor med snabb upphämtning

Sådana produkter kan relativt snabbt säljas vidare på andrahandsmarknaden med överblickbar förlust. Så förvandlar gärningsmännen digitala betalningsgränser till fysiska varor – och kort därefter till kontanter.

Flera brittiska banker rapporterar att just denna form av plånboksbedrägeri nu hör till de största tapsförarna vid kortbedrägeri. Santander kallar det den näst viktigaste orsaken till kortförluster 2024, medan HSBC observerar en kraftig ökning de senaste 18 månaderna.

Varför traditionell säkerhetslogik sviker här

Saken verkar logisk i efterhand, men absolut inte under själva attacken. Psykologiskt träffar gärningsmännen flera nervpunkter samtidigt.

Stress, tidspress och auktoritet

Offret hör: ”Dina pengar är i fara just nu” och ”vi måste agera omedelbart”. Därtill kommer auktoriteten från en påstådd bankanställd som känner till konfidentiella detaljer. Kombinationen av fackspråk, brådska och äkta uppgifter skapar en känsla: Den som tvekar nu, riskerar ännu större skada.

Många offer beskriver senare hur de visserligen såg varningsmeddelanden, men inombords ”svepte bort dem”, eftersom de var fullständigt fokuserade på den talande uppringaren.

Legitim teknologi i brottslingars tjänst

Den använda teknologin är egentligen en säkerhetsvinst: Ett kort kan inte bara dras in i en plånbok, det kräver stark autentisering. Just denna barriär utnyttjar bedragarna genom att få offret att själv övervinna den för fel enhet.

Apple påpekar att det inte är koncernen själv som auktoriserar kortet, utan den aktuella banken. Google uttalar sig inte offentligt för närvarande. Klart är: Proceduren är tekniskt korrekt, missbruket äger rum i användarens medvetande.

Så reagerar bankerna nu

Banker och branschorganisationer står under press att reagera på denna attackvåg. UK Finance, intresseorganisationen för den brittiska finanssektorn, ser ett direkt samband med bättre skyddsmekanismer vid klassiska bedrägeriformer. Brottslingarna viker ut till scenarion där människan utgör den svagaste länken.

Vissa institut går nu riktat mot plånboksbedrägeri:

Bankernas konkreta åtgärder

HSBC har implementerat specifika säkerhetskontroller vid tillägg av kort, med ytterligare åtstramningar annonserade för 2025. Nationwide kör kampanjer som varnar mot att vidarebefordra engångskoder i telefon, samt starkare hänvisningar i appar.

Parallellt med detta skärper bankerna sitt upplysningsarbete: De understryker att de för säkring av ett konto inte behöver aktiv hjälp från kunden. Konton kan spärras centralt, utan att någon i telefonen behöver läsa upp koder eller trycka på godkännanden.

Den som i telefonen blir ombedd att nämna en SMS-kod eller bekräfta en plånboksförfrågan, bör automatiskt bli misstänksam – även om samtalet verkar ”äkta”.

Konkreta skyddsstrategier för konsumenter

Konsumenter står inte försvarslösa. Med några konsekventa regler sjunker risken markant:

Inga koder i telefon: Engångslösenord, TAN eller SMS-koder vidarebefordras aldrig muntligt
Okända samtal avbryts: Lägg på, ring själv till bankens officiella servicenummer och hör efter
Läs plånboksförfrågningar noga: Står det ”Lägg till kort i Apple/Google Pay”, är det nästan aldrig nödvändigt för ”säkring”
Aktivera realtidsnotifieringar: Övervaka varje kortrörelse och varje plånboksförändring via push-meddelande
Utnyttja nätfiskelärandekurvan: Behandla märkliga mejl, SMS och sociala medier-meddelanden kritiskt, även när de låter lockande

Vid osäkerhet kan du med din bank komma överens om att känsliga förändringar (till exempel nya enheter, höga gränser) bara är möjliga efter extra återuppringning eller i filialen. Inte alla banker erbjuder det, men det är värt att fråga.

Vad denna trend avslöjar om digital säkerhet

Det brittiska plånboksbedrägeriet verkar som en försmak på konflikter som även kommer att uppstå i andra länder. Mobila betalningar växer, samtidigt stiger den tekniska skyddsnivån. För brottslingarna ligger det logiska svaret i att manipulera människor starkare.

AI-baserad bedrägerigenkänning, biometriska metoder och flerstegslogin försvårar klassiska attacker. Det flyttar arenan: Istället för omärkt att släppa in främmande i systemet, måste gärningsmännen få den legitima kunden att själv öppna dörren.

Långsiktigt kommer mycket att avgöras här: Lyckas banker, försäkringsbolag och teknikutvecklare utforma säkerhetskoncept så att de förblir begripliga även under stress? Eller vinner de som använder perfekt storytelling till sina bedrägerimartal?

Den lilla pausen som räddar din ekonomi

För konsumenter lönar det sig att utveckla ett eget ritual: Stoppa varje säkerhetsmeddelande från banken kort, läs högt, tänk två sekunder. Denna lilla paus kan förhindra att ett till synes harmlöst plånboksgodkännande blir till månadens dyraste fingerrörelse.

Nästa gång telefonen ringer med en brådskande säkerhetsfråga, kom ihåg: Din bank skyddar dig aldrig genom att be dig agera blixtsnabbt. Äkta säkerhet tar den tid det tar.