Bluff-SMS med PostNord som avsändare är just nu Sveriges vanligaste bedrägeri.
Bedragarna räknar med att semestertidens paketflod gör svenskarna slarviga. Fyra konkreta tecken avslöjar dock det falska meddelandet innan skadan är skedd.
Anmälda bedrägeribrott i Sverige nådde 232 862 stycken under 2025, enligt Brottsförebyggande rådets sammanställning som publicerades den 31 mars 2026. Kortbedrägerier utan fysiskt kort, den kategori som SMS-bluffar oftast landar i, ökade mest av alla bedrägerityper med 8 867 fler anmälda brott jämfört med året innan.
Bakom siffrorna döljer sig framför allt en enda modell: det påstådda paketet. Ett SMS som utger sig för att komma från PostNord meddelar att leveransen har misslyckats eller att en tullavgift på en liten summa måste betalas. Länken leder till en sida som ser äkta ut, men som är byggd för att sno kortuppgifter eller kapa ett BankID.
Fyra tecken som avslöjar bluffen
Avsändarnamnet ser rätt ut – men är det inte. Bedragarna kan tekniskt sett skriva vad som helst i avsändarfältet, även ”PostNord”, och SMS:et hamnar då i samma tråd som riktiga meddelanden från företaget. Att avsändaren stavas rätt är alltså ingen garanti. ”Otydliga eller felstavade avsändarnamn är ofta ett tecken på bluff”, skriver Nordea i sin guide om paketbedrägerier, men att stavningen är korrekt betyder inte att meddelandet är äkta.
Länken pekar åt fel håll. Håll fingret på länken utan att klicka. En äkta PostNord-länk går till postnord.se. Bluff-länkar innehåller ofta ”postnord” som del av en främmande domän – postnord-leverans.online, postnord-tull.info eller liknande. Ändelsen och de extra orden röjer bedrägeriet.
Betalkravet är litet, men brådskande. Beloppet ligger nästan alltid mellan tio och nittio kronor. Bedragarna vet att en liten summa sänker misstänksamheten och att pressen att slutföra leveransen får många att agera snabbt. PostNord tar aldrig ut tullavgifter via SMS-länk, och avgiften på fysiska försändelser betalas hos ombudet vid utlämning.
BankID begärs för fel sak. Ingen legitim aktör ber om BankID-signering för att lämna ut ett paket eller betala en tullavgift på några tior. Så snart en sida efterfrågar BankID i det sammanhanget är det bluff.
Om du redan har klickat
Har du hunnit ange kortuppgifter eller signera med BankID är minuterna avgörande. Spärra kortet omedelbart via bankens app eller kundtjänst och avaktivera ditt BankID via den utgivande banken. Nordea slår fast att man alltid ska ”anmäla det både till oss och polisen” om man utsatts för smishing, alltså SMS-baserad phishing.
Polisanmäl på polisen.se eller ring 114 14. Polisen gick så sent som den 25 maj 2026 ut med en särskild varning för SMS-bedrägerier i norra Sverige och avråder uttryckligen från att klicka på länkarna, oavsett hur trovärdig avsändaren ser ut.
Miljardförluster – men trenden vänder svagt
Brottsvinsterna från anmälda bedrägerier landade på cirka 5,7 miljarder kronor 2025, enligt Polismyndighetens senaste rapport om bedrägeribrottslighetens ekonomi. Det är en minskning med runt tio procent jämfört med 2024 års 6,3 miljarder, men nivån är fortsatt högre än under de flesta åren under 2010-talet.
Semestermånaderna är samtidigt högsäsong för bedragarna. När näthandeln växer och fler väntar leveranser blir tröskeln lägre för att klicka på det som ser ut som en legitim avisering. Ett par sekunder extra vid nästa PostNord-SMS är det billigaste försäkringsskyddet som finns.