av Mikael Winterkvist | feb 6, 2026 | Bluesky, Säkerhet, Threads
E-post är fortfarande en av de viktigaste inkörsportarna för digitala angrepp. Säkerhetsteam tvingas dagligen hantera stora mängder skadliga meddelanden som ständigt byter skepnad. Samma kampanj kan generera tusentals mejl med små variationer i språk, struktur och leveransväg, vilket gör dem svåra att stoppa i tid.
Artificiell intelligens har nu placerat sig i centrum för den här utvecklingen. AI används inte längre bara för att formulera övertygande bluffmejl, utan även för att testa, justera och skala hela phishingkampanjer. Enligt analys av företagsinkorgar identifierades i genomsnitt ett skadligt mejl var nittonde sekund under 2025.
AI driver nästa våg av phishing
Phishingkampanjer återanvänder ofta samma tekniska infrastruktur, trots att mejl, länkar och bifogade filer ser olika ut varje gång. Den höga graden av variation gör att traditionella skydd, som signaturbaserade filter och e-postgatewayar, har svårt att hänga med. Volymen och förändringstakten överbelastar systemen.
Särskilt tydlig är utvecklingen av mer anpassningsbara phishingsidor. En och samma webbplats kan visa helt olika innehåll beroende på vilken enhet som besöker den. Windows-användare möts av körbara filer, macOS-användare av plattformsspecifika paket och mobilanvändare av skräddarsydda inloggningssidor.
Angrepp riktade mot Android ökade kraftigt under 2025 och översteg aktiviteten från de tre föregående åren sammantaget. Många av dessa kampanjer kan spåras till samma verktyg som traditionellt använts för fjärrstyrning av Windows-system. Sidorna imiterar ofta välkända företagsplattformar för dokumentdelning och samarbete, med ständiga variationer i layout och språk.
Phishingsidor samlar dessutom in detaljerad information om besökaren. Uppgifter om webbläsare, tillägg, skärmstorlek, språk och geografisk plats används för att anpassa både innehåll och nästa steg i attacken. Samma information används också för att undvika upptäckt. När analysverktyg identifieras kan sidorna visa felmeddelanden eller omdirigera trafiken.
Polymorfism blir standard
Variation är numera grundläge. Under 2025 förekom 76 procent av alla initiala infekteringslänkar endast en gång, trots att nästan alla byggde på tidigare känd infrastruktur. Samma mönster syns i skadliga filer, där varje fil får ett unikt fingeravtryck även när funktionen är densamma.
AI-baserade verktyg gör denna variation möjlig i stor skala. Resultatet blir tusentals indikatorer som inte återanvänds, vilket kraftigt minskar värdet av blocklistor och historiska träffar.
Samtidigt hämtar angripare öppet tillgänglig information för att göra sina mejl mer trovärdiga. Kontaktuppgifter, befattningar, organisationsstrukturer och aktivitet i sociala medier vävs in i lockbeten. Det minskar behovet av avancerade tekniska sårbarheter och ökar sannolikheten att mottagaren agerar.
Samtalsbaserade attacker ökar
En växande andel attacker sker helt utan länkar eller bilagor. I stället uppmanas mottagaren att svara på mejlet eller utföra en till synes rutinmässig affärsåtgärd. Under 2025 stod dessa samtalsbaserade angrepp för nära en femtedel av alla identifierade skadliga mejl.
AI-genererat språk har förbättrat ton, grammatik och kontext. Meddelandena utger sig ofta för att komma från chefer, leverantörer eller interna team och innehåller korrekta referenser till pågående arbete. Skillnaden mellan ett legitimt mejl och ett bedrägligt kan vara marginell och handla om timing eller sammanhang snarare än form.
Traditionella e-postskydd som fokuserar på länkar och bilagor ger begränsat skydd mot denna typ av angrepp. Upptäckt kräver i hög grad beteendeanalys och mänsklig granskning efter leverans.
Legitima verktyg utnyttjas
Allt fler angrepp använder etablerade fjärrstyrningsverktyg för att behålla åtkomst till infekterade system. Program som normalt används av IT-avdelningar för support och administration dyker upp som installationspaket i phishingkampanjer.
Missbruket av sådana verktyg ökade kraftigt under 2025. Trafiken ser ofta legitim ut, eftersom programmen är signerade och levereras via välkända molntjänster. Varningar från säkerhetssystem prioriteras därför ibland ned, eftersom verktygen redan används internt.
Angriparna automatiserar dessutom hanteringen med hjälp av skript och AI-stödda arbetsflöden, vilket gör det möjligt att kontrollera stora mängder system med minimal manuell insats.
Förändrade domänmönster
Kampanjer för stöld av inloggningsuppgifter visar också tydliga skiften i domänanvändning. Under början av 2025 ökade användningen av tidigare mindre vanliga toppdomäner kraftigt, däribland .es. Dessa domäner används ofta för mellanliggande steg i attacken, som omdirigeringar eller insamling av uppgifter.
Underdomänerna är ofta generiska och automatiskt skapade, vilket pekar på storskalig användning av färdiga phishingpaket. Mejl som leder till dessa sidor är visuellt genomarbetade och anpassade för att efterlikna intern företagskommunikation.
Sammantaget visar utvecklingen hur artificiell intelligens förändrat både ekonomin och effektiviteten bakom phishing. Angreppen blir billigare att producera, svårare att upptäcka och enklare att skala. För försvarssidan innebär det att gamla skyddsmodeller inte längre räcker.
Källa: Help Net Security
av Mikael Winterkvist | feb 5, 2026 | Bluesky, Säkerhet, Threads
När FBI slog till mot hemmet hos en reporter på The Washington Post och tog flera elektroniska enheter i beslag stoppades myndighetens försök att komma åt innehållet i hennes iPhone. Orsaken var Apples låsningsläge Lockdown Mode.
Enligt uppgifter från 404 Media genomförde FBI i januari en husrannsakan hos journalisten Hannah Natanson inom ramen för en utredning om läckor av hemligstämplad information. Natanson bevakar frågor om hur Donald Trump har format om den federala statsapparaten och vilka följder det fått. Hon ingick dessutom i den grupp journalister som tilldelades Pulitzerpriset för samhällsnytta 2022, efter rapporteringen om stormningen av Kapitolium den 6 januari.
Tillslaget
Vid tillslaget beslagtogs flera digitala enheter, däribland en MacBook Pro och en iPhone 13. När FBI:s specialiserade analysgrupp för digital forensik försökte undersöka telefonen gick det dock inte att extrahera något innehåll. Telefonen var satt i Lockdown Mode, vilket enligt Apples egen beskrivning är utformat för att skydda mot extremt avancerade och ovanliga cyberangrepp.
I handlingar som lämnats in till domstol, och som motsätter sig att enheterna ska lämnas tillbaka, konstaterar myndigheten att analysgruppen inte kunde komma åt iPhonen just på grund av att låsningsläget var aktiverat. Dokumentet registrerades omkring två veckor efter husrannsakan. Uppgifterna visar att FBI under den perioden inte lyckades ta sig förbi skyddet. Någon information om huruvida myndigheten senare har fått tillgång till telefonen framgår inte av materialet.
Säkerhetsfunktion
Lockdown Mode är en frivillig säkerhetsfunktion som riktar sig till ett mycket begränsat antal användare. Funktionen är avsedd för personer som, på grund av sitt arbete eller sin roll, kan vara särskilt utsatta för avancerad digital övervakning eller spionprogram. För majoriteten av användare är skyddet varken nödvändigt eller avsett.
När Lockdown Mode aktiveras förändras hur enheten fungerar. Funktioner och anslutningar begränsas kraftigt för att minska den tekniska angreppsytan. Bland annat blockeras de flesta bilagor i meddelanden, vissa webbtekniker stängs av, FaceTime-samtal från okända kontakter begränsas och externa enheter kan inte anslutas när telefonen är låst. Profiler för konfiguration och fjärrhantering inaktiveras också.
Funktionen finns tillgänglig i nyare versioner av iOS, iPadOS, watchOS och macOS.
av Mikael Winterkvist | feb 5, 2026 | Bluesky, Säkerhet, Threads
Den 28 november 2025 följde säkerhetsexperter från Sysdigs Threat Research Team i realtid hur en angripare tog full kontroll över ett företags molnmiljö. Det som normalt beskrivs som långsamma och metodiska intrång gick här på minuter. Åtta stycken, för att vara exakt.
Inbrottet började med ett banalt misstag. Testuppgifter hade lämnats öppna i en publik molnlagring, en så kallad S3-bucket. Den fungerade som en öppen mapp på nätet och var dessutom märkt med namn som innehöll referenser till AI, vilket gjorde den lätt att hitta för den som letade efter något att utnyttja.
Kontot som kom på avvägar hade begränsade rättigheter, men det räckte. Med läsbehörighet kartlade angriparen hela miljön: databaser, nycklar, loggar och konfigurationer. Tjänster som Secrets Manager, RDS och CloudWatch användes systematiskt för att skapa en fullständig bild av systemet innan nästa steg togs.
Därefter följde ett mer avancerat angrepp. Genom kodinjektion riktades attacker mot Lambda-funktioner, små automatiserade kodsnuttar som körs i molnet. En funktion med namnet EC2-init ändrades upprepade gånger tills angriparen lyckades kapa ett konto kallat ”frick”. Därmed fanns fullständig administrativ kontroll.
Det som stack ut var inte bara hastigheten, utan sättet attacken genomfördes på. Sysdig bedömer att stora delar av arbetet automatiserades med hjälp av stora språkmodeller. Koden innehöll kommentarer på serbiska och skrevs i ett tempo som sannolikt överstiger vad en människa kan prestera manuellt.
Intrånget stannade inte vid kartläggning eller datastöld. Angriparen använde det kapade kontot för så kallad LLMjacking, där kraftfulla AI-modeller körs på offrets bekostnad. Bland annat nyttjades modeller som Claude 3.5 Sonnet, DeepSeek R1 och Amazon Titan. Försök gjordes även att starta en extremt resurskrävande maskin med namnet stevan-gpu-monster för att träna egen AI. Kostnaden hade överstigit motsvarande 18 000 pund i månaden om försöket inte stoppats.
För att undvika upptäckt roterades IP-adresser kontinuerligt och totalt användes 19 olika identiteter. Det kapade kontot var dessutom ett underkonto i en större organisation, och angriparen försökte ta sig vidare genom att gissa standardroller som ofta används internt.
I materialet hittades även spår av så kallade AI-hallucinationer. Skripten försökte ansluta till påhittade kontonummer, ett känt beteende när språkmodeller fyller i luckor utan faktisk information.
Sysdig beskriver attacken som ovanligt effektiv och tydligt AI-assisterad. Administrativa rättigheter uppnåddes på under tio minuter, ett stort antal identiteter komprometterades och både AI-tjänster och GPU-resurser missbrukades. Kombinationen av kod med språkliga spår, felaktiga kontonummer och referenser till icke-existerande resurser pekar sammantaget på automatiserade offensiva verktyg.
För att minska risken för liknande intrång pekar forskarna på grundläggande åtgärder. Åtkomstnycklar får aldrig lämnas publikt tillgängliga. Tillfälliga roller bör användas i stället för statiska uppgifter. Massiv kartläggning av system, där ett konto plötsligt försöker lista allt innehåll, är ett av de tydligaste varningstecknen och bör utlösa larm omedelbart.
Enligt flera säkerhetsexperter markerar händelsen ett skifte. Intrång som tidigare tog dagar eller veckor sker nu på minuter. Det handlar inte om nya tekniska sårbarheter, utan om att AI tar bort tvekan, tempo och friktion. När maskiner angriper maskiner räcker det med ett enda öppet misstag.
Källa: Hackread
Läs mer
FBI stänger ner RAMP – ett av de största ryska cyberbrottsforumen
OpenClaw: Ett säkerhetshaveri som blottar AI-agenternas baksida
av Mikael Winterkvist | feb 4, 2026 | Bluesky, Säkerhet, Threads
WhatsApp har i många år marknadsförts som en meddelandetjänst där innehållet skyddas av total kryptering. Både grundarna och nuvarande ägaren Meta har hävdat att så kallad end-to-end-kryptering används, vilket i praktiken innebär att ingen utanför själva chatten ska kunna läsa meddelandena. En ny grupptalan i USA ifrågasätter nu detta och påstår att Meta i själva verket har full insyn i all WhatsApp-kommunikation.
Kärnan i anklagelsen är att WhatsApps kryptering inte fungerar som utlovat. Enligt stämningen lagras krypterade meddelanden på ett sätt som gör dem tillgängliga för Metas anställda, och tillgången ska enligt visselblåsare kunna ges snabbt via interna förfrågningar. Påståendet är att Meta-personal, efter godkännande från ingenjörsteamet, ska kunna läsa användarnas meddelanden i nära realtid, även sådant som användaren tror sig ha raderat.
Integritestskandal
Skulle detta visa sig stämma vore det en av de största integritetsskandalerna i teknikbranschen. WhatsApps hela identitet bygger på löftet om att ingen, inte ens företaget självt, kan ta del av innehållet i konversationer.
Mot bakgrund av detta har kryptografiprofessorn Matthew Green vid Johns Hopkins University analyserat anklagelserna i ett längre resonemang. Han konstaterar att WhatsApp visserligen bygger sin kryptering på samma principer som Signal-protokollet, men att själva implementationen är stängd. Det gör att oberoende granskning av koden inte är möjlig på samma sätt som med öppna projekt.
Trots detta menar Green att det är ytterst osannolikt att anklagelserna stämmer. Hans bedömning bygger på flera faktorer. Ett sådant system skulle förr eller senare avslöjas, spår av det skulle sannolikt gå att hitta i applikationens kod, och konsekvenserna för Meta skulle vara förödande både juridiskt och affärsmässigt. Även om källkoden inte är offentlig finns det många äldre versioner av WhatsApp-appen som kan analyseras genom dekompilering, något som skulle göra ett systematiskt bedrägeri mycket riskfyllt.
Förtroende
Green pekar också på att absolut säkerhet aldrig existerar. All digital kommunikation bygger i någon form på förtroende. Frågan är därför inte om man litar på någon, utan vem och vad man väljer att lita på. I avsaknad av konkreta bevis anser han att det är rimligt att utgå från att WhatsApp inte bedriver ett av de största bedrägerierna i teknikens historia, särskilt med tanke på den globala granskning som följer med en tjänst som används av miljarder människor.
Samma resonemang gäller även andra slutna system som bygger på end-to-end-kryptering, exempelvis Apples egna kommunikationstjänster. Även där är implementationen stängd, och användarna förväntas acceptera ett visst mått av förtroende i utbyte mot säker kommunikation i stor skala.
Källa: 9 to 5 Mac
av Mikael Winterkvist | feb 2, 2026 | Bluesky, Säkerhet, Threads
När Googles säkerhetsteam började se märklig nätverkstrafik sprida sig över miljontals uppkopplade enheter var det något som skavde. Mönstren stämde inte med kända former av skadlig kod. Trafiken såg inte ut som attacker, kapningar eller klassiska botnät. Bilden som växte fram var något annat. Ett enormt distribuerat reläsystem där privata mobiltelefoner, datorer och smarta hem-enheter i tysthet flyttade data åt någon annan.
Den någon visade sig vara ett kinesiskt bolag med namnet IPIDEA.
Upptäckten ledde till det som Google själva beskriver som den största nedstängningen av ett så kallat residential proxy-nätverk hittills. Med stöd av ett federalt domstolsbeslut slog bolaget av domäner och backend-infrastruktur som höll hela systemet samman. I ett samordnat ingrepp stängdes ett nätverk ned som hade varit aktivt i åratal, till stora delar osynligt för de användare vars enheter utnyttjades.
Cynism
Metoden var enkel, nästan elegant i sin cynism. IPIDEA byggde in sina utvecklingsbibliotek i hundratals till synes harmlösa appar och datorprogram. Gratis spel. Verktygsappar. Produktivitetsprogram. Den typ av mjukvara du laddar ned utan att tänka efter särskilt länge. När biblioteken väl fanns installerade förvandlades din enhet i bakgrunden till en utgångspunkt för någon annans internettrafik.
Ett sådant proxy-system fungerar som ett digitalt relä. Förfrågningar skickas vidare via en annan enhet, vilket döljer den ursprungliga avsändaren. Tekniken används legitimt i integritetstjänster och företagsmiljöer. IPIDEA valde en annan väg. Ramverket använde privata användares enheter som täckmantel för stora datamängder. Vid sin topp uppskattar Google att nätverket omfattade över nio miljoner Android-telefoner världen över.
IPIDEA hävdade i intervjuer att nätverket användes för legitima affärsändamål. Googles granskning visar hur snabbt sådana system kan glida över i ren exploatering. Över 600 olika appar identifierades med versioner av IPIDEA:s bibliotek som kunde fungera som proxy.
Blockera
Googles säkerhetsskydd i Play Store kan numera identifiera och blockera dessa bibliotek. Appar som installeras från externa appbutiker förblir däremot sårbara.
Det som gjorde nätverket särskilt svårfångat var att det inte byggde på skadlig kod i traditionell mening. Lösningen utnyttjade behörigheter som redan finns inbyggda i Androids arkitektur. Upplägget gjorde det svårt att upptäcka, åtminstone tills forskarna såg den extrema mängden utgående trafik som passerade helt vanliga bostads-IP-adresser.
Problemen slutade inte där. Redan innan Googles ingripande hade IPIDEA:s nätverk kapats av andra aktörer. Under 2025 utnyttjades en sårbarhet som gav angripare kontroll över infrastrukturen. Miljontals enheter bakades då in i ett botnät som användes för överbelastningsattacker.
IPIDEA har i efterhand medgett att kriminella aktörer missbrukade plattformen. Bolaget följde samtidigt inte domstolsbeslutet om att själva avveckla tjänsten. Den centrala infrastrukturen som styrde trafiken mellan IP-adresser på olika kontinenter har nu stängts ned av Google.
Exolatering
Händelsen pekar på ett mer besvärligt problem i mobil säkerhet. Gränsen mellan legitim nätverksfunktion och otillåten exploatering är suddig. Proxy-bibliotek, analysverktyg och annonsnätverk bygger alla på delad datatrafik mellan utvecklare och tredje parter. I den gråzonen blir det svårt att avgöra var normal funktion slutar och missbruk börjar.
För dig som användare är slutsatsen obekväm men tydlig. Nedladdning av gratisappar eller modifierade versioner från tveksamma källor innebär i praktiken ett lotteri. Din enhet kan bli en del av någon annans infrastruktur utan att du märker det. Androids inbyggda skydd fångar mycket, men SDK-baserad exploatering passerar ofta under radarn eftersom den inte ser ut som klassisk skadlig kod.
av Mikael Winterkvist | jan 31, 2026 | Bluesky, Säkerhet, Threads, Twitter
Ett nytt bedrägeriförsök sprids just nu via mejl och bygger på en enkel men effektiv metod: du får ett kvitto för ett köp du aldrig har gjort och uppmanas att agera snabbt för att stoppa en påstådd betalning.
Mejlen ser ofta äkta ut. Logotyper, layout och formuleringar efterliknar PayPal och mottagaren informeras om att en större summa kommer att dras från kontot om inte kundtjänst kontaktas omedelbart. I många fall finns ett telefonnummer i mejlet där bedragarna väntar på att du ska ringa.
Metoden är välkänd. Säkerhetsexperter har varnat för att bedragare utnyttjar PayPals faktura- och prenumerationsfunktioner för att skicka trovärdiga mejl som pressar mottagaren att agera snabbt. Syftet är att få dig att lämna ut känsliga uppgifter eller ge bedragarna tillgång till ditt konto.
Liknande bluffar har redan drabbat hundratals personer. Falska fakturor skickas ut i stor skala och mottagaren uppmanas att ringa ett nummer som inte har någon koppling till PayPal.
Språket i mejlen är nästan alltid brådskande. Påståenden om att en debitering sker inom kort eller att en länk håller på att löpa ut är klassiska knep för att stressa mottagaren till ett förhastat beslut.
I ett uppmärksammat fall ringde en mottagare numret i ett falskt kvitto och blev av med motsvarande hundratusentals kronor efter att bedragarna tagit kontroll över kontot.
Så skyddar du dig
Ring aldrig telefonnummer som anges i misstänkta mejl.
Klicka inte på länkar i oväntade kvitton eller betalningsbekräftelser.
Logga alltid in direkt via PayPals officiella app eller webbplats för att kontrollera om en betalning verkligen finns.
Rapportera misstänkta mejl och radera dem.
Bedrägeriet bygger på en enkel psykologisk mekanism: rädsla för att pengar ska dras från kontot. Den som stannar upp några sekunder och kontrollerar uppgifterna slipper nästan alltid bli nästa offer.
Läs mer
Här är julens fulaste fällor: Bedragarnas knep för att lura dig på pengar och BankID
Två lås på dörren: Så skyddar du e-post och sociala medier med 2FA
Varning: Läckta data från Instagram missbrukas av bedragare – kolla ditt konto
