Mimmo Wiestål Fischetti
Många använder SMS som en snabb, vardaglig kanal – för engångskoder, lösenordsåterställning och korta besked. Problemet är att vanliga SMS saknar ett skydd som många idag tar för givet: end-to-end-kryptering. Det gör att meddelanden kan bli betydligt enklare att fånga upp än i moderna chattappar.
Varför SMS inte är lika privat som det känns
Ett klassiskt SMS skickas via mobilnätets äldre infrastruktur. Till skillnad från appar som erbjuder verifierad end-to-end-kryptering kan SMS i praktiken vara mer sårbart i flera led – särskilt om någon lyckas ta över ditt nummer eller komma åt trafiken.
Det är extra känsligt eftersom SMS fortfarande används för sådant som inloggningar och engångskoder, alltså precis den typen av information som bedragare vill åt.
Det skriver Dagens PS.
Myndigheternas varning använd krypterade appar
I råd om mobil kommunikationssäkerhet lyfter USA:s cybersäkerhetsmyndighet CISA att man bör använda end-to-end-krypterade kommunikationslösningar i stället för okrypterade alternativ för känslig kommunikation.
Bakgrunden är enkel: om du ska dela uppgifter som kan ge någon åtkomst till dina konton vill du minska antalet svaga länkar.
När det blir dyrt SMS plus blufflänk eller SIM kapning
Det är sällan en enda sak som fäller dig. En vanlig kedja är att någon kombinerar ett kapat eller lurat SMS-flöde med andra metoder: falska länkar, social manipulation eller SIM-kapning (där ditt nummer flyttas till ett SIM-kort som bedragaren kontrollerar). Då kan engångskoder och återställningslänkar hamna helt fel.
I Sverige varnar Finansinspektionen också för falska sms, mejl och samtal – och ger konkreta tecken att titta efter när något verkar misstänkt.
Säkrare meddelanden är på väg men räkna inte med det än
Samtidigt sker en uppgradering av RCS-standarden (den moderna efterföljaren till SMS i många telefoner). Branschorganisationen GSMA har tagit fram specifikationer i Universal Profile 3.0 som inkluderar krav och användarupplevelse för end-to-end-kryptering i RCS.
Men det betyder inte att allt automatiskt blir säkert över en natt. Stöd rullas ut stegvis och kan bero på operatörer, mjukvaruuppdateringar och vilka appar som används.
Det här kan du göra redan idag
Vill du minska risken direkt kan du göra tre saker:
- Undvik SMS för känsliga uppgifter: engångskoder, inloggningar, personnummer och bankärenden.
- Byt kanal när det gäller: använd en app med verifierad end-to-end-kryptering för känslig kommunikation.
- Agera snabbt vid misstanke: Polisen påminner om att du inte ska lämna ut koder eller logga in med BankID på uppmaning – och att du ska kontakta bank direkt samt göra polisanmälan vid brott.
Poängen är inte att du aldrig får skicka ett SMS. Poängen är att du inte ska behandla SMS som ett kassaskåp – särskilt inte när det handlar om nycklarna till ditt digitala liv.
