Cyberkriminella säljer nu färdiga paket för storskaliga sms-bedrägerier, och polisen ser en kraftig ökning i Sverige.
Bakom våren 2026 års våg av falska sms i bankernas, postens och myndigheternas namn ligger en industrialisering av bedrägerimarknaden. Kriminella nätverk hyr in sig på prenumerationsbaserade plattformar som skickar ut miljontals meddelanden, kringgår tvåfaktorsautentisering och styr attackerna mot specifika länder.
I slutet av april gick svenska polisen ut med en nationell varning om en pågående våg av sms som ser ut att komma från Polismyndigheten. Mottagarna uppmanas att betala en trafikbot via en länk, men avsändaren är inte polisen.
”Polisen skickar inte sms där mottagaren uppmanas betala via länk”, skriver Polismyndigheten i sin varning. Myndigheten konstaterar att meddelandena är falska och skickas av bedragare, och uppmanar allmänheten att inte klicka på länkarna.
Phoenix-plattformen driver attackerna
Säkerhetsföretaget Group-IB har kartlagt en av de centrala plattformarna bakom den globala sms-vågen. Det handlar om en så kallad phishing-as-a-service-tjänst med namnet Phoenix, ett färdigt verktygspaket som säljs till kriminella för runt 2 000 dollar per år.
Sedan januari 2025 har plattformen kopplats till över 2 500 nätfiskedomäner och attacker mot mer än 70 organisationer, enligt Group-IB. Måltavlorna är främst banker, telekomoperatörer och logistikföretag, branscher där mottagaren förväntar sig sms.
Det som gör Phoenix farlig är att den i realtid kan hantera offer som klickat på länken. Operatören kan trigga felmeddelanden som tvingar offret att skriva in lösenordet igen, eller manuellt be om en pinkod, och därmed fånga upp engångskoder och kringgå bankens tvåfaktorsautentisering.
Plattformen filtrerar också trafiken efter land och enhetstyp, vilket gör att kampanjer kan riktas precist mot exempelvis svenska iPhone-användare utan att avslöjas av automatiska säkerhetssystem.
Hundratusentals domäner i omlopp
Phoenix är inte ensam. Säkerhetsteamet Unit 42 vid Palo Alto Networks har sedan januari 2024 spårat över 194 000 skadliga domäner kopplade till en kinesisk grupp som branschen kallar Smishing Triad.
Domänerna roterar snabbt, vilket gör spärrlistor verkningslösa. Drygt 71 procent av domänerna i kampanjen var aktiva i mindre än en vecka, enligt Unit 42, och 82,6 procent hade en livslängd på högst två veckor.
Tillsammans förklarar de två rapporterna varför svenska mottagare just nu får sms från avsändare som ser olika ut varje gång. Infrastrukturen byggs om snabbare än bankerna och teleoperatörerna hinner blockera den.
Så känner du igen ett falskt sms
Polisen pekar i sin vägledning om nätfiske ut flera tydliga varningstecken. Ett första är att meddelandet ber dig klicka på en länk och fylla i känsliga uppgifter.
”Var misstänksam om du får mejl eller sms när du uppmanas klicka på en länk”, skriver Polismyndigheten. Myndigheten understryker att inga banker eller seriösa företag skickar den typen av meddelanden.
Andra typiska tecken är att avsändaren skapar tidspress, hänvisar till en obetald avgift, ett spärrat konto eller en försenad paketleverans. Länken i meddelandet leder ofta till en sida som ser ut som bankens eller myndighetens, men adressen är en annan.
Polisen är tydlig på en punkt som bedragarna ofta försöker forcera: ”Godkänn aldrig att någon fjärrstyr din dator eller telefon.”
Vad du gör om du redan klickat
Har du klickat på länken och lämnat uppgifter, eller använt BankID, är tidsfaktorn avgörande. Ring banken direkt och spärra kort och konton. Banken kan i vissa fall stoppa en transaktion om den ännu inte har genomförts.
Byt lösenord till banktjänster, e-post och e-legitimation från en annan enhet om du misstänker att telefonen är komprometterad. Anmäl händelsen till polisen på 114 14 eller via polisen.se.
För att rapportera själva sms:et finns ett nationellt kortnummer. Vidarebefordra meddelandet till 7726, så hamnar det hos teleoperatörerna som kan blockera avsändaren för fler abonnenter.
Vad du aldrig ska göra
Lämna aldrig ut kortnummer, lösenord eller koder via sms eller telefon, oavsett vem som påstås ringa. En bank eller myndighet ringer eller skickar aldrig sms och ber om den typen av uppgifter.
Logga aldrig in med BankID på en sida du nått via en länk i ett sms. Gå alltid in via bankens app eller skriv adressen själv i webbläsaren.
Och tveka inte att lägga på om någon ringer och presenterar sig som anställd på banken, polisen eller Skatteverket och vill att du ska agera snabbt. Ring i stället tillbaka på ett nummer du själv slår upp, antingen via bankens officiella app eller baksidan av ditt bankkort.