Morten Lyhne Petersen
Smishing-bølgen udnytter, at toldgebyrer på pakker fra Kina er blevet hverdag for danskerne.
Falske beskeder, der ser ud til at komme fra PostNord, MitID eller Skattestyrelsen, ruller fortsat ind på danske telefoner i foråret 2026. Beskederne lover en hurtig pakke, en truende lukning af MitID eller en uventet skatterefusion, og de leder alle ind på falske betalingssider, der støvsuger kortoplysninger og loginkoder.
Mønsteret er kendt, men presset stiger. Det officielle borgersite Sikkerdigital.dk peger på “beskeden fra PostNord med nem betaling af restportoen” som et af de mest udbredte eksempler på smishing i Danmark, sammen med varianter, hvor svindleren skriver, at “MitID stopper med at virke”, hvis modtageren ikke opdaterer via et link.
Toldgebyret er hverdag, og det udnyttes
Toldgebyr-vinklen er effektiv, fordi den er troværdig. Når danskere bestiller fra platforme som Temu og Shein, oplever mange faktiske gebyrer fra fragtselskaberne, og en SMS om en lille restbetaling virker derfor ikke usandsynlig.
Det billede skærpes af, at EU fra 1. juli 2026 indfører en ny afgift på 3 euro pr. vare, svarende til omkring 22 kroner, på varer under 150 euro fra tredjelande. Det betyder flere reelle gebyrbeskeder i indbakken til sommer, og dermed flere lejligheder, hvor en falsk besked kan glide ubemærket forbi.
PostNord understreger selv, at virksomheden sjældent sender beskeder med betalingslinks, undtagen ved varer fra lande uden for EU. Når de gør det, fører linket til postnord.com eller postnord.dk, og ikke til kortbetalingssider med ukendte domæner.
MitID og Skat bruges som lokkemad
Smishing-kampagnerne nøjes ikke med pakker. En anden tilbagevendende variant er SMS’er om, at MitID skal fornyes via et link, ellers lukkes adgangen. Borgere vil aldrig blive bedt om at forny MitID gennem en besked, og ingen offentlig myndighed beder om login-koder via SMS eller mail.
Det samme mønster ses op til årsopgørelsen, hvor falske Skat-beskeder lover en hurtig refusion, hvis modtageren bare lige indtaster kortoplysninger. Den ægte fremgangsmåde er, at overskydende skat automatisk udbetales til borgerens NemKonto, og at hverken bankoplysninger eller betalingskort skal afgives. Sker det alligevel i en besked, er det svindel.
Afsender-ID kan ikke længere stoles på
En af grundene til, at danskere bliver narret, er teknisk. Sender-id i en SMS kan forfalskes, så en falsk besked dukker op i samme samtaletråd som ægte beskeder fra PostNord, banken eller MitID. Det skubber ansvaret over på modtageren, for personlige oplysninger som “bankkontonummer, personnummer eller kodeord” hører ikke hjemme i en SMS-udveksling, uanset hvordan afsenderen ser ud.
Smishing-beskeder er bevidst designet til at lægge pres på modtageren og få vedkommende til at reagere hurtigt. Det er den hastighed, svindlerne lever af. Et øjebliks tøven og et tjek i den ægte app er ofte nok til at afsløre forsøget.
Den konkrete regel fra myndigheder og PostNord er kort: betal aldrig et toldgebyr eller andet via et link i en SMS. Åbn PostNord-appen eller skriv postnord.dk direkte i browseren, og er beskeden fra Skat eller MitID, så gå til skat.dk eller mitid.dk på samme måde.
