Mystiske SMS-koder dukker opp hos nordmenn: Slik fungerer «SMS-pumping»

Bak fenomenet ligger en relativt ny svindelform der de kriminelle ikke er ute etter kontoen din, men etter pengene til bedriftene som sender meldingene. Metoden kalles SMS-pumping, eller kunstig oppblåst trafikk på fagspråk.

Parkeringsselskapet Parqio har vært blant de hardest rammede aktørene i Norge denne våren. Operasjonssjef Henrik Printz Aamlid forteller til Nettavisen at trafikken har eksplodert i perioder.

«I toppene har vi sett over 100 ganger normal trafikk», sier han.

Aamlid understreker samtidig at det ikke er noen fare for kundene som mottar meldingene: «Det er viktig for oss å understreke at det ikke er noen risiko for mottakerne av disse meldingene. Ingen har forsøkt å logge inn på deres konto.»

Slik fungerer svindelen

Metoden utnytter at mange tjenester sender engangskoder på SMS som del av pålogging eller registrering. Svindlerne bruker automatiserte botter til å be om tusenvis av koder, slik at bedriften må betale for hver eneste melding som sendes ut.

Pengene strømmer videre via avtaler mellom de kriminelle og enkelte mobiloperatører i utlandet, der svindlerne får en andel av regningen for hver SMS som leveres. Den amerikanske sikkerhetsleverandøren Prelude beskriver mekanismen slik: angriperne oversvømmer påkoblingspunkter for engangskoder og ruter meldingene mot kostbare internasjonale nummer de selv kontrollerer.

På norsk fagspråk heter det kunstig oppblåst trafikk, forkortet AIT. På engelsk brukes også begrepet «SMS toll fraud».

Selskapene, ikke forbrukerne, sitter med regningen

Av norske aktører som har varslet om uvanlig SMS-trafikk i det siste, går det igjen navn som Ruter, Møller, Parqio, APCOA Flow, Hoppa, Neko Health og OpenTable. Felles for dem er at de tilbyr pålogging eller bestilling der OTP-koder sendes på SMS.

Aamlid forklarer hvorfor det er attraktivt for kriminelle:

«Vi betaler per SMS, så det er en økonomisk kostnad. Kostnaden er drivkraften bak denne typen aktivitet globalt.»

For den enkelte mobilbruker betyr det foreløpig først og fremst irritasjon. Du kan likevel oppleve å få flere koder i løpet av en uke fra tjenester du aldri har vært i kontakt med.

Del av et bredere svindelbilde

SMS-pumping kommer i en periode der norske myndigheter og banker advarer mot et voksende spekter av metoder. I første halvår 2025 tapte norske bankkunder 404 millioner kroner på svindel, en nedgang fra 621 millioner kroner i andre halvår 2024, opplyser Finans Norge. I samme periode stanset bankene svindelforsøk for 1,5 milliarder kroner.

Det er manipulasjonssvindel, der ofrene selv lures til å overføre penger, som vokser kraftigst. Særlig investerings- og romansesvindel er pekt ut som de mest alvorlige formene.

Antisvindeldirektør Gry Nergård i Finans Norge har tidligere oppsummert rettesnoren slik: «Hvis noe virker for godt til å være sant, er det som regel det.»

Hva gjør du om du får uventede koder?

For SMS-pumping spesifikt er anbefalingen rolig: ikke trykk på lenker i meldingene, ikke svar, og ikke videresend kodene. Selve kodene er ufarlige så lenge ingen samtidig forsøker å bruke dem mot deg.

Får du derimot en engangskode for en tjeneste du faktisk bruker, uten at du har bedt om den, bør du varsle tjenesteleverandøren. Det kan være et tegn på at noen forsøker å komme inn på kontoen din. Da er det selve påloggingsforsøket, ikke meldingen, som er trusselen.