Svindel blir mer personlig, troverdig og rammer hardere – mye takket være kunstig intelligens.

Telenors sikkerhetsfiltre blokkerte i 2025 om lag 2,1 milliarder utrygge nettsider og forsøk på digital kriminalitet.

De enorme tallene vitner om effektive forsvarsmekanismer, men bak tallene ser vi også tydelige tegn på hvor godt cyberkriminelle klarer å tilpasse seg nye tider og teknologier.

– Straks nye sikkerhetsløsninger stenger en dør, finner angriperne en annen vei inn til sine ofre, sier Thorbjørn Busch, leder for Fraud, Crime & Abuse-avdelingen i Telenor Norge.

Noen ganger skjer dette ved å bruke kjente metoder på nye måter, andre ganger ved å ta i bruk helt ny teknologi på områder der sikkerhetsmekanismene ikke beskytter like godt.

Med 2025 i bakspeilet, har vi tatt en prat med Telenors sikkerhetsteam for å høre om hvor de tror veien går videre gjennom trussellandskapet i 2026.

I tredje kvartal av 2025 belyste Telenors svindelstatistikk et markant skifte: For første gang siden Telenor aktiverte sine svindelfiltre, ble det registrert flere forsøk på å installere skadevare enn angrepsforsøk via kjente svindelsider, som lenge har vært den største kategorien.

– Bruk av svindelsider er en svært effektiv metode for å «fiske» passord og innloggingsdetaljer fra folk som tror de er inne på de ekte nettsidene til velkjente aktører, sier Jan Roger Wilkens, sårbarhetsanalytiker i Telenor Norge.

Nettopp for å redusere sjansene for at dette skal skje, har en rekke store tjenestetilbydere som Microsoft i 2025 beveget seg i en passordfri retning. Ved å gradvis tvinge brukere over til å bruke såkalte passnøkler, fjerner man noe av risikoen knyttet til nettfisking og de enorme passordlekkasjene som tidvis oppstår.

– Vi er fortsatt i en tidlig fase med passnøkler. Fortsatt er det en god del som gjenstår på brukervennlighet, men det er et viktig skritt i riktig retning. Det er altfor mange som ikke beskytter seg med tofaktorautentisering eller passnøkler, og dermed er sårbare om passordene deres kommer på avveie, sier Wilkens.

Økningen i antallet registrerte blokkeringer av skadevare skyldes delvis at teknologien for å avdekke spredning av dette er blitt bedre, og at det derfor stoppes mer enn før.

Men nettopp det at flere kontoer blir bedre sikret mot innlogging og passord på avveie, kan ifølge Wilkens være en medvirkende årsak til at vi kommer til å se en økt – og mer kreativ – bruk av skadevare i 2026.

– Det finnes svært mange ulike typer skadevare på nettet. Flere av disse er såkalte informasjonsstjelere. Disse jobber i det skjulte på ofrenes maskiner, der de sanker inn informasjon som sendes videre til kriminelle som bruker dette til å skaffe seg tilgang til kontoer, ofte med mål om å stjele penger eller kryptovaluta, sier han.

Informasjonsstjelere kan blant annet høste inn aktive innloggingssesjoner, informasjonskapsler og lagrede pålogginger direkte fra nettleseren, og gi dette til angriperne.

– Får de tak i en sesjon som fortsatt er gyldig, spiller det ingen rolle hvor sterkt passordet er eller hvor mange autentiseringsfaktorer som er aktivert. Sesjonen er allerede autentisert, og de vil da kunne komme rett inn på kontoen eller systemet, sier Wilkens.

– Basert på aktivitetet på dette området mot slutten i 2025, tror vi dette er noe som kommer til å fortsette sterkt i 2026.

Det er mange ulike måter de kriminelle kan gå fram for å få deg til å installere skadevare på maskinen din. Noen av metodene er mer kyniske og kreative enn andre.

– En gjenganger gjennom 2025 er den såkalte Clickfix-metoden, som på kort tid har gått fra å være en kuriositet til å bli en etablert del av angripernes verktøykasse, sier Wilkens.

Opprinnelig utviklet i Russland som et ledd i cyberkrigføringen mot Ukraina, utnytter teknikken ofrenes vilje til å fikse problemer selv – uten å måtte involvere IT-avdelingen, i de bedriftsrettede tilfellene som stadig oftere dukket opp i 2025. 

– I 2026 har vi allerede rukket å se Clickfix-teknikker brukt i stor skala også mot private brukere. Kjernen i metoden går ut på at brukerne presenteres for falske feilmeldinger, og deretter får instruksjoner om å kopiere og kjøre en kommando som angivelig skal fikse problemet. I virkeligheten installeres skadevare, sier Wilkens.

Clickfix-varianter som har dukket opp de siste ukene involverer blant annet falske feil og feilmeldinger som at nettleseren «krasjer», at innholdet på skjermen «skjelver», eller Windows-fenomenet «Blue Screen of Death» – alt sammen med beskjed om at du enkelt kan «fikse det selv».

– Clickfix er nærmest blitt «mainstream», og vi må regne med å se stadig nye varianter utover i året som kommer, sier Wilkens.

Parallelt har det også dukket opp en beslektet teknikk kalt Consentfix, som utnytter autorisasjonsflyten i legitime tjenester.

– Her lures brukeren til å godkjenne det som ser ut som en normal innlogging, mens angriperen i virkeligheten kaprer sesjonen. Også denne metoden omgår multifaktorautentisering fullstendig, og vil nok derfor dessverre bli mer vanlig, sier Wilkens.

En ny trend som ble tydelig i 2025 er at skadevare i økende grad spres via sosiale medier. Kriminelle bruker plattformer som YouTube, TikTok og Instagram til å publisere instruksjonsvideoer som lover gratis programvare eller tilgang til betalte tjenester.

Følger du instruksjonene, ender du i stedet opp med å installere en informasjonsstjeler eller annen skadevare.

– I flere tilfeller har angriperne kapret kontoer som vanligvis deler legitimt innhold, noe som gir videoene mer troverdighet. Kommentarfeltene oversvømmes med konstruerte likes og positive kommentarer. Dette fungerer som en form for sosial manipulasjon som skaper falsk trygghet, sier Thorbjørn Busch.

Det som gjør denne metoden særlig effektiv, er at algoritmene i plattformene aktivt hjelper de kriminelle med å nå frem til potensielle ofre – noe NRK-serien «Golden vs. Zuckerberg» og Forbrukerrådet nylig har advart mot.

– Enten vi snakker om den enorme mengden svindelannonser som spres via Metas plattformer, eller falske instruksjonsvideoer på YouTube og lignende, blir disse oftere presentert til personer som algoritmene anser for å være mer tilbøyelige til å respondere på innholdet, sier Busch.

Det er knapt noen områder av samfunnet som ikke har vært direkte påvirket av kunstig intelligens i 2025. Innenfor cybersikkerhet har KI-trykket vært merkbart. Både trussel- og sikkerhetsaktører benytter seg av denne teknologien.

– Vi har allerede sett eksempler på hvordan KI brukes til å automatisere hele angrepskjeden. KI-agenter tråler sosiale medier, offentlige registre og databaselekkasjer for å bygge profiler på potensielle ofre. Denne informasjonen brukes deretter til å skreddersy svindelforsøk ned til den enkelte, sier Wilkens.

For eksempel kan investeringssvindel tilpasses offerets økonomiske situasjon, basert på informasjon som er tilgjengelig rundt om på nett. Kjærlighetssvindel kan treffe langt hardere om kriminelle kjenner til din livssituasjon, kommunikasjonsstil og dine interesser.

– Jo mer informasjon som ligger ute om deg på nettet, dess større muligheter har de kriminelle til å skreddersy angrepene på en måte som drastisk øker sjansen for at du blir lurt. Allerede nå ser vi ofte at folk blir lurt med personlige tilpasninger når de blir ringt opp av svindlere, sier Thorbjørn Busch.

Med tempoet i KI-utviklingen, er det ingen grunn til å tro at slike KI-drevne angrep vil bli mindre effektive og målrettede inn i 2026.

Et tilfelle fra høsten 2025 viser hvor langt dette har kommet: I stil med filmen «Truman Show», ble det bygget en omfattende falsk virkelighet rundt offeret i forbindelse med en investeringssvindel – med falske nettsider, apper, meldingsgrupper og koordinerte meldinger fra flere tilsynelatende uavhengige kilder.

– Mye av dette var KI-drevet, og designet for å underbygge historien svindlerne ønsket å fortelle. Her beveget offeret seg i en konstruert verden, uten å vite det, sier Jan Roger Wilkens, og legger til:

– Det er nesten bare fantasien som setter grenser for hvor omfattende slike personlige tilpassede svindler kan bli i tiden fremover. 

En YouGov-undersøkelse gjennomført for Telenor i 2025 viste at 8 av 10 nordmenn frykter at utbredelsen av kunstig intelligens vil gjøre det vanskeligere å avsløre svindel. Den bekymringen er neppe grunnløs, skal vi tro Wilkens.

KI har ikke bare gjort det lett for kriminelle å lage fullstendig troverdig svindelinnhold på rekordtid – også på språk de selv ikke behersker. Store framskritt innenfor såkalte deepfakes gjør det nå fullt mulig for kriminelle å skjule seg bak en annen persons ansikt og stemme, selv i sanntid over videosamtaler.

I 2025 ble KI-genererte videoer såpass gode at det knapt var mulig å skille dem fra ekte videoer. Ser vi litt lenger fram, nærmer vi oss et punkt der du kan bli oppringt av en KI-stemmebot med perfekt norsk uttale, naturlig samtalerytme og evne til å improvisere. 

– «Truman Show»-eksempelet viste jo at ofre kunne utveksle meldinger med KI-chatbots uten å vite at det var en robot i andre enden. Det er ikke sikkert at vi i 2026 vil oppleve talebaserte svindelsamtaler fra KI-drevne «callcentre» i skyen, men vi beveger oss helt klart mot noe slikt, sier Wilkens.

– Her har vi bare sett starten på noe som kan bli en virkelig utfordring straks teknologien blir mer moden og tilgjengelig. Da snakker vi om fullstendig skalerbare svindeloperasjoner som ikke er avhengige av at det sitter svindlere rundt om i verden og ringer rundt manuelt, sier Wilkens.