AI förändrar phishing i grunden – hoten blir snabbare och svårare att stoppa

av | feb 6, 2026

E-post är fortfarande en av de viktigaste inkörsportarna för digitala angrepp. Säkerhetsteam tvingas dagligen hantera stora mängder skadliga meddelanden som ständigt byter skepnad. Samma kampanj kan generera tusentals mejl med små variationer i språk, struktur och leveransväg, vilket gör dem svåra att stoppa i tid.

Artificiell intelligens har nu placerat sig i centrum för den här utvecklingen. AI används inte längre bara för att formulera övertygande bluffmejl, utan även för att testa, justera och skala hela phishingkampanjer. Enligt analys av företagsinkorgar identifierades i genomsnitt ett skadligt mejl var nittonde sekund under 2025.

AI driver nästa våg av phishing

Phishingkampanjer återanvänder ofta samma tekniska infrastruktur, trots att mejl, länkar och bifogade filer ser olika ut varje gång. Den höga graden av variation gör att traditionella skydd, som signaturbaserade filter och e-postgatewayar, har svårt att hänga med. Volymen och förändringstakten överbelastar systemen.

Särskilt tydlig är utvecklingen av mer anpassningsbara phishing­sidor. En och samma webbplats kan visa helt olika innehåll beroende på vilken enhet som besöker den. Windows-användare möts av körbara filer, macOS-användare av plattformsspecifika paket och mobilanvändare av skräddarsydda inloggningssidor.

Angrepp riktade mot Android ökade kraftigt under 2025 och översteg aktiviteten från de tre föregående åren sammantaget. Många av dessa kampanjer kan spåras till samma verktyg som traditionellt använts för fjärrstyrning av Windows-system. Sidorna imiterar ofta välkända företagsplattformar för dokumentdelning och samarbete, med ständiga variationer i layout och språk.

Phishingsidor samlar dessutom in detaljerad information om besökaren. Uppgifter om webbläsare, tillägg, skärmstorlek, språk och geografisk plats används för att anpassa både innehåll och nästa steg i attacken. Samma information används också för att undvika upptäckt. När analysverktyg identifieras kan sidorna visa felmeddelanden eller omdirigera trafiken.

Polymorfism blir standard

Variation är numera grundläge. Under 2025 förekom 76 procent av alla initiala infekteringslänkar endast en gång, trots att nästan alla byggde på tidigare känd infrastruktur. Samma mönster syns i skadliga filer, där varje fil får ett unikt fingeravtryck även när funktionen är densamma.

AI-baserade verktyg gör denna variation möjlig i stor skala. Resultatet blir tusentals indikatorer som inte återanvänds, vilket kraftigt minskar värdet av blocklistor och historiska träffar.

Samtidigt hämtar angripare öppet tillgänglig information för att göra sina mejl mer trovärdiga. Kontaktuppgifter, befattningar, organisationsstrukturer och aktivitet i sociala medier vävs in i lockbeten. Det minskar behovet av avancerade tekniska sårbarheter och ökar sannolikheten att mottagaren agerar.

Samtalsbaserade attacker ökar

En växande andel attacker sker helt utan länkar eller bilagor. I stället uppmanas mottagaren att svara på mejlet eller utföra en till synes rutinmässig affärsåtgärd. Under 2025 stod dessa samtalsbaserade angrepp för nära en femtedel av alla identifierade skadliga mejl.

AI-genererat språk har förbättrat ton, grammatik och kontext. Meddelandena utger sig ofta för att komma från chefer, leverantörer eller interna team och innehåller korrekta referenser till pågående arbete. Skillnaden mellan ett legitimt mejl och ett bedrägligt kan vara marginell och handla om timing eller sammanhang snarare än form.

Traditionella e-postskydd som fokuserar på länkar och bilagor ger begränsat skydd mot denna typ av angrepp. Upptäckt kräver i hög grad beteendeanalys och mänsklig granskning efter leverans.

Legitima verktyg utnyttjas

Allt fler angrepp använder etablerade fjärrstyrningsverktyg för att behålla åtkomst till infekterade system. Program som normalt används av IT-avdelningar för support och administration dyker upp som installationspaket i phishingkampanjer.

Missbruket av sådana verktyg ökade kraftigt under 2025. Trafiken ser ofta legitim ut, eftersom programmen är signerade och levereras via välkända molntjänster. Varningar från säkerhetssystem prioriteras därför ibland ned, eftersom verktygen redan används internt.

Angriparna automatiserar dessutom hanteringen med hjälp av skript och AI-stödda arbetsflöden, vilket gör det möjligt att kontrollera stora mängder system med minimal manuell insats.

Förändrade domänmönster

Kampanjer för stöld av inloggningsuppgifter visar också tydliga skiften i domänanvändning. Under början av 2025 ökade användningen av tidigare mindre vanliga toppdomäner kraftigt, däribland .es. Dessa domäner används ofta för mellanliggande steg i attacken, som omdirigeringar eller insamling av uppgifter.

Underdomänerna är ofta generiska och automatiskt skapade, vilket pekar på storskalig användning av färdiga phishingpaket. Mejl som leder till dessa sidor är visuellt genomarbetade och anpassade för att efterlikna intern företagskommunikation.

Sammantaget visar utvecklingen hur artificiell intelligens förändrat både ekonomin och effektiviteten bakom phishing. Angreppen blir billigare att producera, svårare att upptäcka och enklare att skala. För försvarssidan innebär det att gamla skyddsmodeller inte längre räcker.

Källa: Help Net Security


Mikael Winterkvist

Fyrabarns-far, farfar, morfar och egen företagare i Skellefteå med kliande fingrar. Jag skriver om fotografering, sport, dataprylar, politik, nöje, musik och film. Vid sidan av den här bloggen så jobbar jag med med det egna företaget Winterkvist.com. Familjen består av hustru, fyra barn (utflugna) och fem barnbarn.

Jag har hållit på med datorer sedan tidigt 1980-tal och drev Artic BBS innan Internet knappt existerade. Efter BBS-tiden har det blivit hemsidor, design, digitala medier och trycksaker. Under tiden som journalist jobbade jag med Mac men privat har det varit Windows som har gällt fram till vintern 2007. Då var det dags att byta och då bytte vi, företaget, helt produktionsplattform till macOS. På den vägen är det.

_____________________________________________________________________________________

Anmäl dig till Magasin Mackens nyhetsbrev

Du får förhandsinformation om Macken, våra planer och du får informationen, först och direkt till din mail. Vi lovar att inte skicka din information vidare och vi lovar att inte skicka ut mer än max ett nyhetsbrev per månad.

Anmäl dig här

_____________________________________________________________________________________

Magasin Macken använder AI för att samla in information och underlag för de texter som publiceras. Vi använder även AI för att skapa bilder och illustrationer. Dessa märks alltid med att det är AI-bilder om bilderna är fotorealistiska. I förekommande fall så läggs även till länkar till källa och referenser till i texterna som alltid kontrolleras av en mänsklig skribent - som är den som skriver och redigerar alla texter till alla väsentliga delar.

Vill du kommentera den här texten, komma med förslag, kritik eller ställa frågor så gör du det enklast i något av de sociala medier som jag och Magasin Macken finns med i. Länkarna hittar du nedan.

  • Facebook
  • Instagram
  • Bluesky
  • Threads
  • Mastodon
  • LinkedIn
  • YouTube
  • Vimeo
  • Twitter
  • RSS
  • E-Mail

De senaste inläggen:

Vad är VPN och varför behöver du en VPN-tjänst?

Vad är VPN och varför behöver du en VPN-tjänst?

VPN står för virtuellt privat nätverk (Virtual Private Network) och innebär att all trafik krypteras och skickas via en VPN-server. Så varför skulle du behöva en sådan tjänst och varför ska du betala för den? VPN används inte sällan för…

läs mer