Telenor blokkerte 666 millioner utrygge nettsider og forsøk på digital kriminalitet i første kvartal
I første kvartal 2026 blokkerte Telenors sikkerhetsfiltre mer enn 655 millioner utrygge nettsider og andre trusler på nett. I tillegg blokkerte vi 5,5 millioner anrop og 5,5 millioner SMS. Samlet utgjør dette 666 millioner blokkeringer.
Dette kvartalet ser vi igjen en stor økning i forsøk på å installere skadevare. Nær 40 prosent av det Telenor blokkerer tilhører denne type digital kriminalitet, og utgjør dermed den største kategorien.
Skadevare anvendes til å utføre flere ulike former for digital kriminalitet. Ofte er motivet økonomisk vinning eller et ønske om å stjele sensitiv informasjon.
Skadevare spres gjerne ved at man laster ned tilsynelatende kjente apper eller programvare – som for eksempel Microsoft Teams, antivirusprogram eller lignende – fra uoffisielle nettbutikker eller falske nettsider som dukker opp i Google-søk eller via annonser.
Ved å laste ned og installere programvaren man har søkt etter, installeres det samtidig skadevare i bakgrunnen. Denne brukes til å stjele bankdetaljer eller annen personlig informasjon som kan selges videre eller misbrukes i nye svindelforsøk.
Mobiler og datamaskiner som er infisert med skadevare kan også misbrukes til å distribuere spam eller svindle andre. Det at de kriminelle har kontroll på infiserte maskiner, gir dem muligheter til å utføre annen digital kriminalitet samtidig som sporene peker tilbake til de infiserte maskinene og ikke de kriminelle.
Spres gjennom annonser
En annen måte å oppnå stor spredning av skadevare på er gjennom annonser i useriøse annonsenettverk eller via sosiale medier. Slike annonser er algoritmestyrte og innholdet er skreddersydd basert på data man har lagt igjen på nettet som for eksempel alder, kjønn, interesser og søkehistorikk. Annonsene kan også lede til falske nettbutikker, falske gamblingsider, eller falske sider for kryptoinvestering.
Denne typen blokkeringer inngår i kategorien ‘kjente svindelsider’ som er den nest største gruppen blokkeringer Telenor har gjort dette kvartalet. Sammen med skadevarekategorien utgjør ‘kjente svindelsider’ rundt 70 prosent av alle blokkeringer Telenors sikkerhetsfiltre har foretatt dette kvartalet.
Skadevare er et felles navn på programvare som skader, misbruker eller tar kontroll over enheter eller data. Denne kan ligge skjult i vanlige apper og programmer man laster ned, eller man kan starte innstallering ved å åpne falske filer, vedlegg eller trykke på lenker. Skadevare installeres med andre ord på mobil eller PC uten at brukeren er klar over det.
Skadevare brukes til:
å stjele passord eller annen personlig informasjon og innhold på mobil eller PC
låse datafiler og kreve betaling for å åpne dem
spore og overvåke hva du gjør på PC-en eller mobilen
ødelegge eller endre data
å angripe nye ofre
Phishingmetodene utvikler seg
Phishing er en svært utbredt form for digital kriminalitet. Det siste året har phishing-metodene utviklet seg mye og blitt langt mer avanserte.
Så langt i 2026 ser vi en økning i såkalt «device code phishing» (se egen faktaboks) der de kriminelle forsøker å skaffe seg kontroll over offerets konto. Målet er ofte å ta seg videre inn i en bedrifts nettverk og systemer. Dette gjøres ved å gå etter ansatte og stjele deres tilgang til arbeidsgivers systemer – for eksempel en jobbkonto hos Microsoft – som vil gi tilgang til e-post, teams, filer og i noen tilfeller flere av bedriftens systemer.
«Device code phishing» er et automatisert angrep der kriminelle gjennom flere steg, skaffer seg tilgang til såkalte «Access tokens» – dette kan sammenlignes med å ha en annen persons nøkkelkort. All informasjon om hvem eieren er, og hvilke rom de har tilgang til ligger i kortet. Uten at man trenger annen verifikasjon for å logge seg på.
Når de kriminelle har lykkes med å skaffe seg adgang til kontoen kan de bevege seg videre inn i nettverket, sende e-post fra betrodde adresser internt, få tilgang til sensitiv forretningsinformasjon, og i noen tilfeller ta kontroll over IT-infrastrukturen.
Denne type angrep har til nå vært vanskelig å utføre fordi den forutsetter en avansert digital infrastruktur som det har vært ressurskrevende å utvikle. Slik infrastruktur er nå tilgjengelig som en tjeneste man kan kjøpe på nett. Det kreves dermed langt mindre teknisk kompetanse for å angripe på denne måten sammenlignet med tidligere.
Grupper som driver med statsspionasje og organisert nettkriminalitet var de første som tok i bruk denne metoden mot virksomheter og offentlige etater. Metoden brukes nå også av vinningskriminelle i angrep mot bedrifter og privatpersoner.
Offeret mottar en phishing-epost med en lenke og trykker på den – for eksempel en e-post som gir seg ut for å være fra Microsoft.
I det offeret lander på de kriminelles nettside, snakker denne siden lynraskt (og automatisk) med Microsoft i bakgrunnen for å starte en pålogging. Microsoft genererer da en midlertidig kode.
De kriminelles nettside viser nå frem denne koden til offeret, sammen med en lenke til den ekte Microsoft-siden og en beskjed om å taste inn koden der.
Offeret klikker seg videre til Microsofts ekte tjenester. De taster inn koden og blir spurt om å tillate pålogging for en "ny enhet eller applikasjon". Offeret godkjenner dette med passord og tofaktorautentisering.
Siden det var de kriminelles system som startet prosessen i steg 2, er det de som nå automatisk får tildelt det gyldige "nøkkelkortet" (Access token) av Microsoft.
Alt ser normalt ut for offeret. Ingen feilmeldinger, ingen advarsel. De kriminelle kan nå lese e-posten din, laste ned filer, lese chatte-logger eller bevege seg videre i systemet. I de fleste tilfeller vil det ikke være nok å endre passord.
Metoden brukes både mot privatpersoner og bedrifter.
Anrop og SMS
I løpet av kvartalet har Telenor blokkert 5,5 millioner anrop og 5,5 millioner SMS.
Antall blokkerte anrop i første kvartal ligger på samme nivå som gjennom hele andre halvår i 2025. Mer enn 90 prosent av alle anrop Telenor blokkerer er spoofede utenlandsanrop.
Blokkerte SMS har i stor grad vist seg å være forsøk på phishing av betalingsdetaljer. Denne type SMS har vært i omløp i flere år. Kriminelle sender falske betalingsoppfordringer som tilsynelatende kommer fra selskaper som Nets, Autopass og Easypark. v
Kjennskap til digital kriminalitet
YouGov gjennomførte en landsrepresentativ spørreundersøkelse på vegne av Telenor i april.
I denne svarte 39 prosent av de spurte at de har besøkt nettsider som har vist seg å ha falskt innhold eller bli brukt i forsøk på svindel.
19 prosent av de spurte svarer at de daglig ser falskt innhold eller svindelannonser på nettsider eller i sosiale medier. 31 prosent sier de ser slikt innhold ukentlig.
Blant de tre kategoriene svindel og digital kriminalitet som Telenor oftest blokkerer, svarer 46 prosent at de er mest bekymret for phishing, 24 prosent er mest bekymret for skadevare og 20 prosent er mest bekymret for kjente svindelsider.
