Ett allt vanligare bedrägeri är att en så kallad man-in-the-middle-attack genom att få någon att aktivera sitt Bank-ID och sedan använda inloggningen för att komma in på någons bank eller något annat ställe som använder Bank-ID. Bedragaren använder en brist i Bank-IDs funktion för att göra detta.

Bedrägeriet går till så att man kontaktar en person och säger tex att bedragaren råkat skicka pengar med Swish felaktigt till offret. Offret kommer då troligen mer eller mindre omedelbart logga in på antingen banken eller på Swish för att kontrollera att detta stämmer. Bedragaren har förberett och påbörjat en inloggning på exempelvis offrets bank och är på steget där banken uppmanar till att starta Bank-ID för att bekräfta inloggningen. När offret loggar in med Bank-ID på Swish för att kontrollera den felaktiga betalningen kommer istället bedragaren in på offrets bank.

Man kan enkelt skydda sig mot detta allt vanligare bedrägeri. Bank-ID anger längst upp på sidan för inloggning vilken bank eller aktör man loggar in på när man skriver in sig kod eller använder Face-ID. Om namnet på banken inte är det man förväntar sig förstår man direkt att det är ett bedrägeriförsök.

I bilden nedan syns hur det ska se ut när man loggar in i Swish och har bank genom SEB. Om det var ett bedrägeriförsök hade det kunnat stå ”Swedbank” eller ”SEB” istället för ”Swish i SEB”.