av Mikael Winterkvist | feb 5, 2026 | Bluesky, Säkerhet, Threads
När FBI slog till mot hemmet hos en reporter på The Washington Post och tog flera elektroniska enheter i beslag stoppades myndighetens försök att komma åt innehållet i hennes iPhone. Orsaken var Apples låsningsläge Lockdown Mode.
Enligt uppgifter från 404 Media genomförde FBI i januari en husrannsakan hos journalisten Hannah Natanson inom ramen för en utredning om läckor av hemligstämplad information. Natanson bevakar frågor om hur Donald Trump har format om den federala statsapparaten och vilka följder det fått. Hon ingick dessutom i den grupp journalister som tilldelades Pulitzerpriset för samhällsnytta 2022, efter rapporteringen om stormningen av Kapitolium den 6 januari.
Tillslaget
Vid tillslaget beslagtogs flera digitala enheter, däribland en MacBook Pro och en iPhone 13. När FBI:s specialiserade analysgrupp för digital forensik försökte undersöka telefonen gick det dock inte att extrahera något innehåll. Telefonen var satt i Lockdown Mode, vilket enligt Apples egen beskrivning är utformat för att skydda mot extremt avancerade och ovanliga cyberangrepp.
I handlingar som lämnats in till domstol, och som motsätter sig att enheterna ska lämnas tillbaka, konstaterar myndigheten att analysgruppen inte kunde komma åt iPhonen just på grund av att låsningsläget var aktiverat. Dokumentet registrerades omkring två veckor efter husrannsakan. Uppgifterna visar att FBI under den perioden inte lyckades ta sig förbi skyddet. Någon information om huruvida myndigheten senare har fått tillgång till telefonen framgår inte av materialet.
Säkerhetsfunktion
Lockdown Mode är en frivillig säkerhetsfunktion som riktar sig till ett mycket begränsat antal användare. Funktionen är avsedd för personer som, på grund av sitt arbete eller sin roll, kan vara särskilt utsatta för avancerad digital övervakning eller spionprogram. För majoriteten av användare är skyddet varken nödvändigt eller avsett.
När Lockdown Mode aktiveras förändras hur enheten fungerar. Funktioner och anslutningar begränsas kraftigt för att minska den tekniska angreppsytan. Bland annat blockeras de flesta bilagor i meddelanden, vissa webbtekniker stängs av, FaceTime-samtal från okända kontakter begränsas och externa enheter kan inte anslutas när telefonen är låst. Profiler för konfiguration och fjärrhantering inaktiveras också.
Funktionen finns tillgänglig i nyare versioner av iOS, iPadOS, watchOS och macOS.
av Mikael Winterkvist | feb 5, 2026 | Bluesky, Säkerhet, Threads
Den 28 november 2025 följde säkerhetsexperter från Sysdigs Threat Research Team i realtid hur en angripare tog full kontroll över ett företags molnmiljö. Det som normalt beskrivs som långsamma och metodiska intrång gick här på minuter. Åtta stycken, för att vara exakt.
Inbrottet började med ett banalt misstag. Testuppgifter hade lämnats öppna i en publik molnlagring, en så kallad S3-bucket. Den fungerade som en öppen mapp på nätet och var dessutom märkt med namn som innehöll referenser till AI, vilket gjorde den lätt att hitta för den som letade efter något att utnyttja.
Kontot som kom på avvägar hade begränsade rättigheter, men det räckte. Med läsbehörighet kartlade angriparen hela miljön: databaser, nycklar, loggar och konfigurationer. Tjänster som Secrets Manager, RDS och CloudWatch användes systematiskt för att skapa en fullständig bild av systemet innan nästa steg togs.
Därefter följde ett mer avancerat angrepp. Genom kodinjektion riktades attacker mot Lambda-funktioner, små automatiserade kodsnuttar som körs i molnet. En funktion med namnet EC2-init ändrades upprepade gånger tills angriparen lyckades kapa ett konto kallat ”frick”. Därmed fanns fullständig administrativ kontroll.
Det som stack ut var inte bara hastigheten, utan sättet attacken genomfördes på. Sysdig bedömer att stora delar av arbetet automatiserades med hjälp av stora språkmodeller. Koden innehöll kommentarer på serbiska och skrevs i ett tempo som sannolikt överstiger vad en människa kan prestera manuellt.
Intrånget stannade inte vid kartläggning eller datastöld. Angriparen använde det kapade kontot för så kallad LLMjacking, där kraftfulla AI-modeller körs på offrets bekostnad. Bland annat nyttjades modeller som Claude 3.5 Sonnet, DeepSeek R1 och Amazon Titan. Försök gjordes även att starta en extremt resurskrävande maskin med namnet stevan-gpu-monster för att träna egen AI. Kostnaden hade överstigit motsvarande 18 000 pund i månaden om försöket inte stoppats.
För att undvika upptäckt roterades IP-adresser kontinuerligt och totalt användes 19 olika identiteter. Det kapade kontot var dessutom ett underkonto i en större organisation, och angriparen försökte ta sig vidare genom att gissa standardroller som ofta används internt.
I materialet hittades även spår av så kallade AI-hallucinationer. Skripten försökte ansluta till påhittade kontonummer, ett känt beteende när språkmodeller fyller i luckor utan faktisk information.
Sysdig beskriver attacken som ovanligt effektiv och tydligt AI-assisterad. Administrativa rättigheter uppnåddes på under tio minuter, ett stort antal identiteter komprometterades och både AI-tjänster och GPU-resurser missbrukades. Kombinationen av kod med språkliga spår, felaktiga kontonummer och referenser till icke-existerande resurser pekar sammantaget på automatiserade offensiva verktyg.
För att minska risken för liknande intrång pekar forskarna på grundläggande åtgärder. Åtkomstnycklar får aldrig lämnas publikt tillgängliga. Tillfälliga roller bör användas i stället för statiska uppgifter. Massiv kartläggning av system, där ett konto plötsligt försöker lista allt innehåll, är ett av de tydligaste varningstecknen och bör utlösa larm omedelbart.
Enligt flera säkerhetsexperter markerar händelsen ett skifte. Intrång som tidigare tog dagar eller veckor sker nu på minuter. Det handlar inte om nya tekniska sårbarheter, utan om att AI tar bort tvekan, tempo och friktion. När maskiner angriper maskiner räcker det med ett enda öppet misstag.
Källa: Hackread
Läs mer
FBI stänger ner RAMP – ett av de största ryska cyberbrottsforumen
OpenClaw: Ett säkerhetshaveri som blottar AI-agenternas baksida
av Mikael Winterkvist | feb 4, 2026 | Bluesky, Säkerhet, Threads
WhatsApp har i många år marknadsförts som en meddelandetjänst där innehållet skyddas av total kryptering. Både grundarna och nuvarande ägaren Meta har hävdat att så kallad end-to-end-kryptering används, vilket i praktiken innebär att ingen utanför själva chatten ska kunna läsa meddelandena. En ny grupptalan i USA ifrågasätter nu detta och påstår att Meta i själva verket har full insyn i all WhatsApp-kommunikation.
Kärnan i anklagelsen är att WhatsApps kryptering inte fungerar som utlovat. Enligt stämningen lagras krypterade meddelanden på ett sätt som gör dem tillgängliga för Metas anställda, och tillgången ska enligt visselblåsare kunna ges snabbt via interna förfrågningar. Påståendet är att Meta-personal, efter godkännande från ingenjörsteamet, ska kunna läsa användarnas meddelanden i nära realtid, även sådant som användaren tror sig ha raderat.
Integritestskandal
Skulle detta visa sig stämma vore det en av de största integritetsskandalerna i teknikbranschen. WhatsApps hela identitet bygger på löftet om att ingen, inte ens företaget självt, kan ta del av innehållet i konversationer.
Mot bakgrund av detta har kryptografiprofessorn Matthew Green vid Johns Hopkins University analyserat anklagelserna i ett längre resonemang. Han konstaterar att WhatsApp visserligen bygger sin kryptering på samma principer som Signal-protokollet, men att själva implementationen är stängd. Det gör att oberoende granskning av koden inte är möjlig på samma sätt som med öppna projekt.
Trots detta menar Green att det är ytterst osannolikt att anklagelserna stämmer. Hans bedömning bygger på flera faktorer. Ett sådant system skulle förr eller senare avslöjas, spår av det skulle sannolikt gå att hitta i applikationens kod, och konsekvenserna för Meta skulle vara förödande både juridiskt och affärsmässigt. Även om källkoden inte är offentlig finns det många äldre versioner av WhatsApp-appen som kan analyseras genom dekompilering, något som skulle göra ett systematiskt bedrägeri mycket riskfyllt.
Förtroende
Green pekar också på att absolut säkerhet aldrig existerar. All digital kommunikation bygger i någon form på förtroende. Frågan är därför inte om man litar på någon, utan vem och vad man väljer att lita på. I avsaknad av konkreta bevis anser han att det är rimligt att utgå från att WhatsApp inte bedriver ett av de största bedrägerierna i teknikens historia, särskilt med tanke på den globala granskning som följer med en tjänst som används av miljarder människor.
Samma resonemang gäller även andra slutna system som bygger på end-to-end-kryptering, exempelvis Apples egna kommunikationstjänster. Även där är implementationen stängd, och användarna förväntas acceptera ett visst mått av förtroende i utbyte mot säker kommunikation i stor skala.
Källa: 9 to 5 Mac
av Mikael Winterkvist | feb 2, 2026 | Bluesky, Säkerhet, Threads
När Googles säkerhetsteam började se märklig nätverkstrafik sprida sig över miljontals uppkopplade enheter var det något som skavde. Mönstren stämde inte med kända former av skadlig kod. Trafiken såg inte ut som attacker, kapningar eller klassiska botnät. Bilden som växte fram var något annat. Ett enormt distribuerat reläsystem där privata mobiltelefoner, datorer och smarta hem-enheter i tysthet flyttade data åt någon annan.
Den någon visade sig vara ett kinesiskt bolag med namnet IPIDEA.
Upptäckten ledde till det som Google själva beskriver som den största nedstängningen av ett så kallat residential proxy-nätverk hittills. Med stöd av ett federalt domstolsbeslut slog bolaget av domäner och backend-infrastruktur som höll hela systemet samman. I ett samordnat ingrepp stängdes ett nätverk ned som hade varit aktivt i åratal, till stora delar osynligt för de användare vars enheter utnyttjades.
Cynism
Metoden var enkel, nästan elegant i sin cynism. IPIDEA byggde in sina utvecklingsbibliotek i hundratals till synes harmlösa appar och datorprogram. Gratis spel. Verktygsappar. Produktivitetsprogram. Den typ av mjukvara du laddar ned utan att tänka efter särskilt länge. När biblioteken väl fanns installerade förvandlades din enhet i bakgrunden till en utgångspunkt för någon annans internettrafik.
Ett sådant proxy-system fungerar som ett digitalt relä. Förfrågningar skickas vidare via en annan enhet, vilket döljer den ursprungliga avsändaren. Tekniken används legitimt i integritetstjänster och företagsmiljöer. IPIDEA valde en annan väg. Ramverket använde privata användares enheter som täckmantel för stora datamängder. Vid sin topp uppskattar Google att nätverket omfattade över nio miljoner Android-telefoner världen över.
IPIDEA hävdade i intervjuer att nätverket användes för legitima affärsändamål. Googles granskning visar hur snabbt sådana system kan glida över i ren exploatering. Över 600 olika appar identifierades med versioner av IPIDEA:s bibliotek som kunde fungera som proxy.
Blockera
Googles säkerhetsskydd i Play Store kan numera identifiera och blockera dessa bibliotek. Appar som installeras från externa appbutiker förblir däremot sårbara.
Det som gjorde nätverket särskilt svårfångat var att det inte byggde på skadlig kod i traditionell mening. Lösningen utnyttjade behörigheter som redan finns inbyggda i Androids arkitektur. Upplägget gjorde det svårt att upptäcka, åtminstone tills forskarna såg den extrema mängden utgående trafik som passerade helt vanliga bostads-IP-adresser.
Problemen slutade inte där. Redan innan Googles ingripande hade IPIDEA:s nätverk kapats av andra aktörer. Under 2025 utnyttjades en sårbarhet som gav angripare kontroll över infrastrukturen. Miljontals enheter bakades då in i ett botnät som användes för överbelastningsattacker.
IPIDEA har i efterhand medgett att kriminella aktörer missbrukade plattformen. Bolaget följde samtidigt inte domstolsbeslutet om att själva avveckla tjänsten. Den centrala infrastrukturen som styrde trafiken mellan IP-adresser på olika kontinenter har nu stängts ned av Google.
Exolatering
Händelsen pekar på ett mer besvärligt problem i mobil säkerhet. Gränsen mellan legitim nätverksfunktion och otillåten exploatering är suddig. Proxy-bibliotek, analysverktyg och annonsnätverk bygger alla på delad datatrafik mellan utvecklare och tredje parter. I den gråzonen blir det svårt att avgöra var normal funktion slutar och missbruk börjar.
För dig som användare är slutsatsen obekväm men tydlig. Nedladdning av gratisappar eller modifierade versioner från tveksamma källor innebär i praktiken ett lotteri. Din enhet kan bli en del av någon annans infrastruktur utan att du märker det. Androids inbyggda skydd fångar mycket, men SDK-baserad exploatering passerar ofta under radarn eftersom den inte ser ut som klassisk skadlig kod.
av Mikael Winterkvist | jan 31, 2026 | Bluesky, Säkerhet, Threads, Twitter
Ett nytt bedrägeriförsök sprids just nu via mejl och bygger på en enkel men effektiv metod: du får ett kvitto för ett köp du aldrig har gjort och uppmanas att agera snabbt för att stoppa en påstådd betalning.
Mejlen ser ofta äkta ut. Logotyper, layout och formuleringar efterliknar PayPal och mottagaren informeras om att en större summa kommer att dras från kontot om inte kundtjänst kontaktas omedelbart. I många fall finns ett telefonnummer i mejlet där bedragarna väntar på att du ska ringa.
Metoden är välkänd. Säkerhetsexperter har varnat för att bedragare utnyttjar PayPals faktura- och prenumerationsfunktioner för att skicka trovärdiga mejl som pressar mottagaren att agera snabbt. Syftet är att få dig att lämna ut känsliga uppgifter eller ge bedragarna tillgång till ditt konto.
Liknande bluffar har redan drabbat hundratals personer. Falska fakturor skickas ut i stor skala och mottagaren uppmanas att ringa ett nummer som inte har någon koppling till PayPal.
Språket i mejlen är nästan alltid brådskande. Påståenden om att en debitering sker inom kort eller att en länk håller på att löpa ut är klassiska knep för att stressa mottagaren till ett förhastat beslut.
I ett uppmärksammat fall ringde en mottagare numret i ett falskt kvitto och blev av med motsvarande hundratusentals kronor efter att bedragarna tagit kontroll över kontot.
Så skyddar du dig
Ring aldrig telefonnummer som anges i misstänkta mejl.
Klicka inte på länkar i oväntade kvitton eller betalningsbekräftelser.
Logga alltid in direkt via PayPals officiella app eller webbplats för att kontrollera om en betalning verkligen finns.
Rapportera misstänkta mejl och radera dem.
Bedrägeriet bygger på en enkel psykologisk mekanism: rädsla för att pengar ska dras från kontot. Den som stannar upp några sekunder och kontrollerar uppgifterna slipper nästan alltid bli nästa offer.
Läs mer
Här är julens fulaste fällor: Bedragarnas knep för att lura dig på pengar och BankID
Två lås på dörren: Så skyddar du e-post och sociala medier med 2FA
Varning: Läckta data från Instagram missbrukas av bedragare – kolla ditt konto
av Mikael Winterkvist | jan 29, 2026 | Bluesky, Säkerhet, Threads
I ett hårt slag mot den internationella undre världen har amerikanska myndigheter tagit kontroll över domänerna för RAMP (Ramp4u.io). Forumet har varit en central mötesplats för ryska cyberkriminella, utvecklare av skadlig kod och grupper som ägnar sig åt utpressningstrojaner (ransomware).
Besökare på både den öppna webben och darknet möts nu av FBI:s officiella beslagsmeddelande. Insatsen genomfördes av FBI i samarbete med justitiedepartementet och lokala åklagarmyndigheter i Florida.
Från drogmarknad till center för utpressning
Namnet RAMP har en brokig historia i den digitala underjorden. Det ursprungliga nätverket stängdes ner av ryska myndigheter 2017 och var då främst fokuserat på narkotikahandel.
Den version som nu har oskadliggjorts dök upp sommaren 2021. Denna gång var inriktningen helt annorlunda. Medan många andra forum förbjöd diskussioner om utpressningsvirus på grund av ökat tryck från polisen, valde RAMP att profilera sig som den enda platsen där sådan verksamhet var tillåten. Detta lockade till sig farliga aktörer som rekryterade partners för attacker mot företag och myndigheter.
Forumet bekräftas vara förlorat
På det konkurrerande forumet XSS har en användare med namnet Stallman, som tros ha insyn i RAMP:s ledning, bekräftat att myndigheterna tagit kontroll över sajten. Han beskrev händelsen som förlusten av ”världens friaste forum” och meddelade att han inte planerar att bygga upp verksamheten på nytt.
Myndigheterna har lyckats med följande:
-
Domänkontroll: Alla domäner pekar nu mot FBI:s servrar.
-
Information: FBI uppmanar personer med kännedom om aktiviteten på sidan att lämna tips via IC3.gov.
-
Splittring: Genom att stänga ner en av de få plattformar som tillät ransomware-diskussioner försvåras samarbetet mellan olika kriminella grupper.
Det finns ännu inga officiella uppgifter om några gripanden i samband med tillslaget. Operationen följer dock ett mönster av allt fler framgångsrika internationella insatser mot ryska cyberkriminella plattformar.
Källor:
Bleeping Computer
Hackread
Läs mer
Här hackas den iranska stats-tv:n
Nike utreder omfattande dataläcka – 1,4 terabyte filer läckta
Miljontals SoundCloud-användare drabbade av dataintrång
