Nordea-phishing blev smartare i år — två detaljer som avslöjar bluffen
Bedragarna har lärt sig svenska. De skriver inte längre 'Käre kund'. Men två saker är fortfarande alltid fel.
Under första kvartalet 2026 flaggade SpamKollen över 14 000 e-postadresser som delar av pågående phishing-kampanjer mot svenska bankkunder. Nordea och Swedbank är de vanligaste målen. Bluffen har blivit betydligt mer välskriven än tidigare.
Det bedragarna har lärt sig
- De skriver flytande svenska utan googleöversättningskänsla.
- De härmar bankens visuella identitet exakt — samma typsnitt, samma färger.
- De använder legitima SPF- och DKIM-signaturer via komprometterade tredjepartstjänster.
Två detaljer som fortfarande avslöjar bluffen
Först: domännamnet. En legitim Nordea-domän slutar alltid på nordea.se eller nordea.com. Adresser som nordea-secure.com, nordea-banking.se eller kund.nordea-support.com är alltid bluff. Kolla noga — det är oftast ett bindestreck som skiljer.
Sen: tidspressen. En legitim bank ber dig aldrig verifiera ditt konto inom 24 timmar. De ringer inte, SMSar inte och mejlar inte med deadline. Bedragare gör alltid det — för panik är deras främsta vapen.
“Om ett mejl från din bank säger att du måste göra något NU — stäng det. Öppna bankens app istället. Finns det ett riktigt ärende ligger det i appen.”
Vad SpamKollen kan hjälpa till med
Klistra in avsändaradressen i vårt sökfält innan du klickar på någon länk. Vi visar om domänen är flaggad av oss eller av globala källor — och om den är ny, vilket i sig är en varningssignal.