Slik angriper de

Med kombinasjonen av etablerte angrepsmetoder og nye KI-drevne virkemidler, er det ikke lenger gitt at man vet hvem man kommuniserer med eller vet hvilke kilder som er til å stole på. Arbeidsprosesser og rutiner endrer seg raskere enn mange virksomheter og ansatte klarer å tilpasse seg. Trusselaktørene er raske til å utnytte uklarheter og svakheter som oppstår.

Enklere blir det ikke når angrepene ikke lenger følger én tydelig linje. De rammer på tvers av roller og domener, mellom forbruker og bedrift, mellom PC og mobil, mellom lokal infrastruktur og globale skytjenester. Tidligere var det enklere å skille mellom privat og proffesjonell risiko, eller mellom tekniske og menneskelige innganger. Dette har endret seg.

I dag er det vanskeligere å få oversikt over hvem som angriper, hvordan angrepene skjer – og hva som egentlig er målet.

Dagens trusselbilde krever derfor at vi ser helhetlig på alt fra plattformvalg og autentisering til menneskelig atferd og organisatorisk beredskap. 

På de neste sidene ser vi nærmere på metodene som brukes mot norske virksomheter og privatpersoner.

Mobiltelefonen er i dag et helt avgjørende verktøy for de aller fleste av oss, både på jobb og privat. Via mobilen får du enkelt tilgang til nær sagt alle kontoer og systemer, enten det er snakk om e-post, meldinger, sosiale medier eller alt av arbeidsgivers data i ulike skysystemer. 

Samtidig er ansattes mobiler i mange tilfeller dårligere sikret enn bedriftsstyrte PC-er.  Disse er som regel beskyttet med endepunktsikkerhet (EDR), policyer og logging. Mange virksomheter, også de større, mangler tilsvarende sikkerhetsmekanismer for de ansattes mobiler.

Dette gjør mobilen, og dermed også bedriften, til et sårbart mål. Angrep kan pågå over lengre tid, uten å bli oppdaget.

De aller fleste av dagens vellykkede angrep starter med «tradisjonelle» phishing-teknikker. På mobilen skjer dette gjerne med såkalt smishing, der mottakeren trykker på en lenke i en tilsynelatende vanlig melding, og for eksempel legger inn gyldige innloggingsdetaljer på en falsk nettside. 

Sesjonsdata, informasjonskapsler eller innloggingstokens kan i større grad nå enn tidligere fanges opp fra mobilen med ulike verktøy. Disse kan misbrukes til å gi uvedkommende tilganger. I enkelte tilfeller har kriminelle også tatt i bruk «zero click»-kode for å få tilgang til ofrenes mobiler. Disse blir gjerne distribuert via bildevedlegg eller annet innhold som automatisk lastes inn i e-poster eller SMS-meldinger, og deretter kjører ondsinnet kode på enheten. Som navnet antyder, innebærer dette at ofrenes mobiler kan utnyttes selv uten at man har trykket på en lenke, gjerne på grunn av sårbarheter i programvare eller operativsystem. Slike angrep har tidligere vært brukt mot journalister, politikere og høyt profilerte mål, men brukes nå i et bredere omfang. 

Når så mye funksjonalitet og mange tilganger samles på en enhet, samtidig som sikkerhetstiltakene ofte er begrensede, blir mobilen en av de mest utsatte og dermed mest effektive inngangsportene til sensitive data og systemer. Angriperne kan dessuten oppnå vedvarende tilgang til systemer uten bruk av skadevare eller andre fremgangsmåter som kan fanges opp i bedriftens sikkerhetssystemer. Utviklingstrekk det siste året viser at dette også er en trend som gjør seg gjeldende langt utover mobilen.

Når angriperen først har fått tilgang til en kompromittert enhet, er målet å hente ut mest mulig verdifull informasjon, raskt og uten å bli oppdaget. Til denne oppgaven er såkalte informasjonsstjelere som Lumma, RisePro, StealC, Vidar og RedLine blitt verdifulle verktøy for de kriminelle. Disse informasjonsstjelerne kan identifisere og samle inn store mengder sensitiv data som brukernavn og passord, nettleserdata, kryptolommebøker og innloggingsinfo lagret i nettlesere og systemer for lagring av passord.

Dataene samles, pakkes og sendes ut fra enheten, før de enten benyttes i videre angrep eller omsettes på det mørke nettet som komplette logger over en virksomhets eller enkeltpersons digitale liv. Mange typer informasjonsstjelere spres gjennom falske e-postvedlegg, gratisprogrammer, oppdateringer eller nettlesertillegg, og rammer både privatpersoner og bedrifter. Ved å infisere et stort antall enheter kan de kriminelle systematisk gjennomgå dataene for å identifisere verdifull informasjon – eller selge alt videre samlet.

Bruken av informasjonsstjelere økte markant i 2024, med en vekst som har fortsatt i 2025 til tross for koordinerte aksjoner mot ledende verktøy som Lumma og RedLine. Den økte aktiviteten kan forklares med at tilganger fra én bruker kan brukes som inngangsport til videre kompromittering. Når passord, cookies og brukernavn først er hentet ut, kan angriperen bevege seg videre inn i bedriftens systemer, og for eksempel logge inn i Microsoft 365, AWS, Slack eller andre SaaS-tjenester. Dette kan skje uten at noen alarmer blir trigget, spesielt dersom innloggingen foregår via en proxy eller VPN-tjeneste (som gjør at det ser ut som om angriperen logger på fra Norge).

Når stadig flere bedrifter flytter all virksomhetsdata fra «on prem»-løsninger på lokale servere og opp i skyen, blir utfordringene enda mer tydelige når angrepene i større grad skjer via innlogging – og ikke innbrudd i tradisjonell forstand.

Her kan angriperne få nytte av innloggingsdetaljer som kan være kjøpt på det mørke nettet, eller skaffet til veie via phishing eller informasjonsstjelere. 

Samtidig finnes det andre svært effektive og passordløse angrepstekniker. Ved å misbruke OAuth-protokollen – en standard for å gi apper tilgang til kontoer uten å dele passord (for eksempel «Logg inn med Google») – kan angripere få tilgang til en brukers data selv uten at de har avslørt passordet sitt.

Angriperne bygger her troverdige phishingkampanjer, gjerne med kopier av ekte innloggingssider fra Microsoft, Google eller Amazon, og ber så brukeren godkjenne en tilgang til for eksempel en e-post-konto ved å trykke «godkjenn» på en sikkerhetsforespørsel.

Dersom brukeren lar seg overbevise og godkjenner den falske forespørselen, får angriperen utstedt en gyldig OAuth-token – og full tilgang til brukerens konto hos for eksempel Microsoft 365, Google Workspace eller AWS, igjen helt uten å installere skadevare eller utløse noen sikkerhetsalarmer.

I disse tilfellene er det ingen indikasjoner på innbrudd som gjør at løsninger for endepunkt-sikkerhet trigges. Samtidig observerer vi at mange norske virksomheter vegrer seg for å investere i kostnadskrevende logging i skyen, eller at slike løsninger er fragmentert eller helt deaktivert. Dette gir angriperen et tilnærmet ubegrenset operasjonsmiljø, med full tilgang og minimal risiko for oppdagelse.

Vel inne i systemene, velger mange trusselaktører heller å bruke legitime verktøy som PowerShell, WMI og Windows Scheduler til å utføre sine handlinger, i stedet for å installere skadevare. Denne type aktivitet, kalt «Living off the land», fremstår som vanlig serveradministrasjon og blir ikke nødvendigvis fanget opp av tradisjonelle sikkerhetssystemer. Konsekvensen er også her vedvarende angrep, som er vanskeligere å oppdage eller etterforske – særlig i skybaserte eller hybride miljøer.

Uansett hvilke angrepsmetoder som brukes, og hvilke teknologier disse bygger på, har nesten alle vellykkede angrep til felles at de baserer seg på en stor grad av sosial manipulasjon.

Vi lures, under falske premisser, til å utføre en handling som gir angriperne informasjon eller tilganger de ellers ikke ville fått.

Det siste året har vi sett dette premisset gjennomført i praksis gjennom Clickfix, en metode som først ble kjent da Russland brukte den tidlig i krigen mot Ukraina. Senere har også kriminelle grupper tatt i bruk denne formen for svindel, der Clickfix har vist seg å virke minst like effektivt mot næringslivet. Blant de rammede finner man flere norske bedrifter og privatpersoner. Kort fortalt handler denne fremgangsmåten om å sende offeret en falsk feilmelding.

Like etter presenteres offeret en rask «løsning», som gir vedkommende muligheten til å ordne opp i problemet selv, uten å bry IT-avdelingen sin eller andre. Alt som skal til, er å godta en feilmelding, krysse av i en CAPTCHA eller klikke seg gjennom et par enkle steg. Det som presenteres som en quickfix på et (ikke-eksisterende) problem, innebærer i virkeligheten at offeret limer inn en kode i et dialogvindu for å kjøre kommandoer på enheten. Slik gir offeret angriperen tilgang til systemer og sensitiv informasjon, uten selv å vite det.

I tillegg til ClickFix, ble skadevaren FakeUpdates aktivt tatt i bruk på forsommeren 2025. 

Her får ofre beskjed om at de må oppdatere nettleseren eller programvare på PCen for å unngå sikkerhetsrisiko. Aksepteres oppdateringen, installeres i stedet en informasjonsstjeler.

Skoler, universiteter og forskningsinstitusjoner har ofte blitt mål for slike angrep fordi de har svært mange brukere. Dessuten er åpenhet et viktig prinsipp i denne sektoren, noe som også gjør den mer sårbar.

Clickfix og FakeUpdate følger samme mønster som andre moderne angrep: De spiller på følelser, krysser grensen mellom brukerens arbeidsliv og privatliv, og utspiller seg der sikkerhetspolicyer ikke alltid håndheves like strengt – for eksempel på hjemmekontor, i hybridløsninger eller i overgangene mellom privat og jobb-PC eller på andre flater. Dette gjør teknikken både relevant og effektiv, fordi den først og fremst omgår menneskelige og ikke tekniske barrierer.

Det store utvalget av skadevare og informasjonsstjelere viser at cyberkriminalitet for lengst har beveget seg fra "mørke kjellere" til organiserte nettverk og profesjonelle plattformer. Angripere kan enkelt kjøpe tilgang til disse verktøyene i form av ferdiglagde kits eller angrepspakker. Det vi gjerne kaller "angrep som en tjeneste".

Slik kan hvem som helst med penger og motivasjon starte en phishingkampanje, drive svindel eller overta brukerkontoer. Hele infrastrukturen er tilgjengelig som en tjeneste: phishingverktøy, e-postlister, designmaler, domeneregistrering, logger fra infostjelere, kundesupport og statistikkverktøy for konverteringsrater. 

Kriminelle kan bla seg gjennom menyer av angrepsverktøy ferdigpakket som «hyllevare», samtidig som de enkelt kan tilpasses deres formål. Dette er noe som gjør det enkelt å effektivisere svindel. Det gjør det også mulig for personer med begrenset teknisk kompetanse å utføre avanserte angrep. Man trenger ikke lenger å kunne kode, forstå protokoller eller kjenne til sårbarheter for å angripe et mål. Det eneste som kreves er tilgang til det svarte markedet, gjerne via Telegram eller dedikerte undergrunnsfora, og ressurser til å betale for verktøyene.

Alt dette bidrar til en økende industrialisering av cyber-kriminalitet. De som tidligere drev med mindre lovbrudd, som å selge falske merkevarer eller manipulere annonseplattformer, selger nå tilganger, verktøy og stjålne kontoer. Det er ikke bare bedrifter som merker konsekvensene av dette, men også privatpersoner i form av kontoovertakelser, identitetstyveri og svindel på sosiale medier.