Morten Lyhne Petersen
En enkel sifferkombination räcker för att kriminella ska kunna kapa dina samtal, sms och bankkoder.
Bedrägerimetoden bygger på legitima koder som telebolagen själva har lagt in i mobilnäten. När offret luras att slå in en så kallad USSD-kod aktiveras vidarekoppling av samtal och sms till bedragarens nummer, utan att telefonen visar någon varning.
Indiens cyberbrottsmyndighet I4C utfärdade i december 2025 en särskild varning för metoden, som myndigheten beskriver som särskilt farlig eftersom den utnyttjar legitima telekomfunktioner och lämnar offren ovetande om intrånget. Liknande varningar har börjat dyka upp i Europa och USA, men i Sverige har varken polisen eller Post- och telestyrelsen ännu lyft fram just 21-tekniken i sin information till allmänheten.
Så fungerar attacken steg för steg
Bedragaren ringer eller skickar ett sms och utger sig för att representera en känd avsändare. Det kan vara PostNord, DHL eller en bank som påstår att ett paket eller en betalning kräver bekräftelse.
Offret uppmanas att slå 21 följt av ett telefonnummer och avsluta med fyrkant. Koden är en standardiserad funktion i mobilnäten som aktiverar villkorslös vidarekoppling. Från det ögonblicket går alla inkommande samtal och sms till bedragarens nummer i stället för till offrets egen telefon.
Telefonen ringer aldrig, sms-listan är tom och inget meddelande visas på skärmen. Bedragaren kan därefter använda funktionen ”skicka kod” hos banker, e-posttjänster och appar som WhatsApp för att fånga upp engångskoder och ta över kontona. Enligt I4C-varningen sker själva kontoövertagandet ofta inom några minuter efter att vidarekopplingen aktiverats.
Koden som avbryter allt: ##002#
Den som misstänker att vidarekoppling är aktiverad kan slå ##002# och trycka på ringknappen. Det stänger av all villkorslös och villkorad vidarekoppling oavsett operatör, enligt den standard som ligger bakom funktionen. Koden är densamma på alla mobiltelefoner och alla svenska operatörer.
Den indiska varningen rekommenderar att man slår koden direkt efter en misstänkt händelse. På de flesta telefoner går det också att kontrollera vidarekopplingsinställningarna manuellt under ”Telefon” eller ”Inställningar”.
Svenska operatörer stoppade rekordmånga bluffsamtal under 2025
I Sverige har telebolagen byggt ut sitt försvar mot bedrägerier kraftigt det senaste året. Bara under första halvåret 2025 stoppade Telia över 31 miljoner bluffsamtal, vilket motsvarar omkring två samtal per sekund. Av dessa var 10,4 miljoner så kallade spoofingsamtal, där bedragare maskerar sitt eget nummer som ett svenskt.
Amanda Landqvist, ansvarig för bedrägeribekämpning på Telia, säger i pressmeddelandet att samarbetet mellan operatörerna är avgörande. ”När vi kan stoppa samtal med förfalskade nummer som hör hemma hos andra operatörer får vi en helt annan räckvidd”, säger hon.
Skyddet riktar sig dock främst mot inkommande bluffsamtal och spoofing. Att stoppa en användare som själv slår in en USSD-kod på sin egen telefon ligger utanför vad operatörerna kan filtrera, eftersom det är en helt legitim funktion i mobilnätet.
Reglerna mot telefonbedrägeri skärps stegvis
Post- och telestyrelsen införde i november 2024 nya regler som tvingar svenska operatörer att blockera inkommande utlandssamtal som är manipulerade så att de ser ut att komma från svenska nummer. I mars 2025 utvidgades reglerna till att även omfatta mobilnummer.
”Telefonbedrägerier är ett allvarligt samhällsproblem och vi uppmanar alla att fortsätta vara vaksamma”, säger Jesper Simons, enhetschef för PTS nummer- och adressenhet, i samband med att reglerna trädde i kraft.
Myndigheten konstaterar samtidigt att verktygen mot bluff-sms fortfarande är begränsade. Spoofade avsändarnamn är fortsatt en av de vanligaste metoderna i de bedrägerivågor som rullar över landet, och PTS uppger att man utreder ytterligare regler.
Polisen varnar för parallell våg av sms-bedrägeri
Polismyndigheten har under våren 2026 rapporterat om en pågående våg av sms-bedrägerier där avsändarna utger sig för att vara polisen och begär betalning av påhittade böter via länk. ”Polisen skickar inte sms där mottagaren uppmanas betala via länk”, står det i myndighetens varning.
Den brittiska bedrägeriorganisationen Cifas har samtidigt visat hur långt utvecklingen har gått i andra länder. I rapporten Fraudscape 2025 beskriver Cifas en ökning av så kallade sim-byten med över 1 000 procent, där bedragare flyttar offrets nummer till ett eget sim-kort för att fånga upp koder. USSD-vidarekoppling beskrivs som en snabbare och enklare variant av samma attack, eftersom den inte kräver kontakt med teleoperatören.
Det här gör du nu
- Slå ##002# och tryck på ringknappen för att stänga av all vidarekoppling – gör det direkt om du misstänker att du blivit lurad.
- Slå aldrig in koder som börjar med *21*, *67* eller **21* på uppmaning från någon som ringer eller smsar.
- Kontrollera vidarekopplingen manuellt under Inställningar i telefonen om du fått samtal eller sms från okända avsändare som bett dig ”bekräfta” något.
- Kontakta din bank omedelbart om du misstänker att engångskoder har fångats upp.
- Anmäl misstänkt bedrägeri till polisen på 114 14.
