Hvor mye av phishing-trenden er drevet av AI?

Verizon DBIR 2025 fant at 16 prosent av alle databrudd starter med phishing og at 60 prosent av brudd involverer en menneskelig handling. Mengden phishing-forsøk har økt mest i kategoriene som er enklest å AI-automatisere: oversettelse til feilfri norsk, personalisering basert på LinkedIn og bedrifts-nettsider, og massegenerering av varianter. Proofpoint sin State of the Phish-serie peker på at AI-skrevne lokkemeldinger har målbart høyere klikk-rate enn manuelt skrevne, fordi de mangler de grammatikalske feilene de fleste ansatte er lært opp til å gjenkjenne.

Vi er åtte ansatte. Trenger vi virkelig kvartalsvis phishing-simulering?

Ja. NorSIS sin undersøkelse for 2024 viser at 30 prosent av nordmenn fikk formell digital sikkerhetstrening i 2024. 70 prosent fikk altså ingen. Den vanlige løsningen - et årlig e-læringskurs - er glemt innen tre måneder. Kvartalsvis simulering med tre-fem minutters mikrokurs for de som klikker, holder ferdigheten oppdatert. For åtte ansatte kan dette gjøres med gratis verktøy som GoPhish eller med en lett tjeneste som Hoxhunt eller KnowBe4 for cirka 300-500 kr per ansatt per år.

Hva er forskjellen på SMS-MFA og maskinvarenøkkel som YubiKey?

SMS-MFA stopper masse-phishing, men er sårbar for SIM-swap der angripere overtar telefonnummeret hos teleselskapet. Det skjer i Norge mot eksponerte enkeltpersoner som ledere og finansansvarlige. Authenticator-app (Microsoft Authenticator, Authy) er sterkere, fordi kodene genereres lokalt. Maskinvarenøkkel som YubiKey er sterkest fordi FIDO2/WebAuthn-protokollen er phishing-resistent på protokoll-nivå: nøkkelen vil ikke autentisere mot et falskt domene. For administrator-kontoer og finans-tilganger hopper du rett til maskinvarenøkkel, koster 600-900 kr per enhet.

Er quishing (QR-kode phishing) virkelig et problem i Norge?

Ja, og det vokser fordi det omgår mange tekniske kontroller. Når QR-koden ligger i et bilde, gjenkjenner ikke e-post-filteret URL-en. Når den åpnes på mobilen, gjelder ikke alltid bedriftens nettverks-policy. Mnemonic og andre nordiske security-leverandører har sett quishing i form av falske parkerings-bøter, falske leverandør-skannekoder for fakturaer, og falske MFA-onboarding-skjermer i lobbier og møterom. Beskyttelse: lær ansatte å zoome inn på URL-en QR-koden viser før de trykker, og blokker ukjente domener på bedrifts-VPN-en.

Hva er forskjellen på phishing og business email compromise?

Klassisk phishing prøver å få deg til å klikke en lenke og oppgi passord, ofte i stor skala. Business email compromise er mer målrettet: angriperen tar kontroll over en legitim e-post-konto, ofte hos en leverandør eller intern ansatt, og bruker den til å sende reell-utseende fakturaer med endret kontonummer eller hastebetalinger. Verizon DBIR har dokumentert at credential abuse var startpunkt i 22 prosent av brudd i nyere år, og en stor andel av disse munner ut i akkurat BEC-svindel. Beskyttelse: telefonbekreft alltid kontonummer-endringer for fakturaer over et terskelbeløp, uavhengig av hvor troverdig e-posten ser ut.

Hvor mye koster KnowBe4 vs Hoxhunt vs GoPhish for en SMB?

GoPhish er gratis, åpen kildekode, og krever 4-8 timers IT-oppsett pluss løpende vedlikehold. Egner seg for bedrifter med intern IT-kompetanse som vil ha full kontroll. KnowBe4 er enterprise-løsningen, prising på forespørsel, men typisk 600-1000 kr per ansatt per år inkludert kurs-bibliotek. Hoxhunt fokuserer på kontinuerlig adaptive simuleringer og typisk 400-600 kr per ansatt per år. For en SMB med under 30 ansatte gir Hoxhunt eller KnowBe4 bedre forhold mellom innsats og resultat enn å bygge på GoPhish.

Vår leverandør sendte en mistenkelig e-post. Skal vi bare slette den?

Ikke slett, men ikke åpne vedlegg eller klikk lenker. Ring leverandøren på et telefonnummer du fant et annet sted enn i e-posten, og verifiser. Hvis e-posten er ekte og bare så rar ut: be leverandøren forbedre deres signatur eller forklare hva som skjer. Hvis e-posten er en kompromittert konto hos leverandøren: varsle dem, slik at de kan stoppe videre svindel mot andre kunder. Behold e-posten i en egen mappe i 30 dager som dokumentasjon i tilfelle saken eskalerer.

Hva er calendar-invite-phishing, og hvordan stopper vi det?

Angriperen sender en kalender-invitasjon med en lenke i beskrivelsen, ofte til en gjenkjennelig tjeneste som Zoom, Teams eller en delt fil. Når invitasjonen blir akseptert eller bare havner i kalenderen, vises lenken som om den kommer fra en betrodd avsender. Beskyttelse: i Microsoft 365 og Google Workspace kan dere stille inn at kalender-invitasjoner fra eksterne avsendere må godkjennes manuelt før de havner i kalenderen, og at lenker i invitasjons-beskrivelser skannes av Safe Links. Lær ansatte å ikke trykke på Zoom- eller Teams-lenker direkte fra kalenderen uten å sjekke avsender.

Publisert: 26. mai 2026 · Roy Morken, Datafolka

Phishing i 2026: 7 nye teknikker dine ansatte ikke vet om

Bærbar PC med hengelås og lys-spor - illustrasjon for phishing-beskyttelse og bedrifts-sikkerhet — Foto: FlyD på Unsplash

Verizon Data Breach Investigations Report 2025 fant at 16 prosent av alle databrudd starter med phishing, og at 60 prosent av brudd involverer en menneskelig handling. Mot små og mellomstore virksomheter er bildet enda skarpere: 88 prosent av SMB-brudd involverer løsepenge-programvare, mot 39 prosent for større virksomheter. Phishing er ikke et e-post-problem lenger. Det er den vanligste døra løsepenge-angrep går gjennom.

De fleste ansatte er trent på en versjon av phishing som ikke finnes lenger. «Sjekk om e-posten har grammatikkfeil» fungerte i 2018. I 2026 skriver angriperen feilfri norsk med ChatGPT, henter bilde og tittel fra LinkedIn, og refererer til en reell sak i siste kvartalsrapport. Klikket kommer ikke fra at ansatte er late. Det kommer fra at trening fra 2018 ikke gjenkjenner angrepet fra 2026.

Denne guiden går gjennom sju phishing-teknikker som har blitt vanlige de siste 18 månedene, hvordan de funker teknisk, hva en ansatt faktisk ser, og hva som beskytter. På slutten ligger en sammenligning av phishing-simulator-verktøy for SMB og en 24-timers respons-plan for når noen klikker - fordi noen kommer til å klikke.

Hvorfor 2026-phishing er annerledes

Tre teknologiske skift har endret hvordan phishing ser ut. Hvert skift er enkelt forklart, men kombinasjonen gjør at gamle gjenkjennings-regler ikke holder.

AI-generert tekst eliminerer grammatikk-tells. Den klassiske phishing-eposten med rare bøyninger, snodige tegnsetting og halvbrukne formuleringer ble produsert med Google Translate eller av en angriper uten norsk-kunnskap. ChatGPT, Claude og Gemini skriver feilfri norsk på sekunder. Proofpoint sin State of the Phish-serie har dokumentert at AI-skrevne lokkemeldinger målbart oppnår høyere klikkrate enn manuelt skrevne. Ansatte som leter etter språkfeil leter etter noe som ikke lenger er der.

Deepfake-stemmer er produksjons-klare. En 30-sekunders lydprøve fra et podcast-intervju, en YouTube-presentasjon eller en LinkedIn-video er nok til å klone stemmen til en daglig leder eller økonomidirektør med åpen kildekode-verktøy. Vishing - voice phishing - kan dermed ringe en fakturasjef med daglig leders stemme som ber om en hasteoverføring. Mnemonic og andre nordiske threat-intel-aktører har gjentatt at dette er aktivt i Norge mot CFO-er og regnskapsledere.

OSINT er automatisert. Det som tidligere krevde en time research per offer - hvem jobber sammen, hvem rapporterer til hvem, hvilke leverandører bruker bedriften, hvilke prosjekter er aktive - kan nå skrapes fra LinkedIn, bedrifts-nettsider og offentlige kontrakter på et minutt. Resultatet er at hver phishing-mail kan personaliseres til en spesifikk rolle i en spesifikk bedrift uten at angriperen bruker mer tid på det. Mass-spear-phishing er ikke en motsigelse lenger.

De 7 nye teknikkene

Hver teknikk er beskrevet med hvordan den ser ut for ansatte, hvordan den funker teknisk, og hva som beskytter. Rekkefølgen er etter hvor utbredt teknikken er for norske SMB i 2025-2026.

1. AI-spear-phishing med LinkedIn-scraping

Angriperen henter LinkedIn-profilen til en ansatt, identifiserer rolle, leder og kollegaer, og henter også bedriftens nyeste kunde-case eller pressemelding fra nettsiden. ChatGPT genererer en e-post som ser ut til å komme fra lederen, refererer til den faktiske saken, ber om hjelp med en rask oppgave, og inkluderer en lenke til et delt dokument.

Ansatte ser en e-post fra en kjent avsender, med en relevant kontekst, og en lenke som ser ut som SharePoint eller Google Drive. Det er ingen typografiske feil. Hilsen-frasen matcher hvordan lederen faktisk skriver, fordi AI-en har trent på offentlige eksempler.

Teknisk mekanikk: Avsender-adressen er som regel en lookalike-domene (datafoLka.no med stor L, eller datafolka.co), eller en kompromittert konto hos en leverandør. Lenken peker til en falsk M365-login-side eller en Google-Workspace-spoof som fanger passord og MFA-kode i sanntid.

Beskyttelse: DMARC, DKIM og SPF på alle domener gjør at lookalike-mails ofte havner i søppel - men ikke alltid. FIDO2-maskinvarenøkler er den eneste virkelig phishing-resistente kontrollen, fordi nøkkelen ikke autentiserer mot et falskt domene. Trening: lær ansatte å sjekke avsender-domene tegn for tegn, ikke bare visningsnavn.

2. Quishing - phishing med QR-koder

QR-koden ligger i e-posten som et bilde. E-post-filteret skanner tekst og URL-er, men ikke alltid bildets innhold. Ansatt skanner koden med mobilen for å unngå å skrive lange URL-er, og lander på en phishing-side - som ikke alltid er underlagt bedriftens nettverks-kontroller, fordi mobilen kjører på 4G eller hjemme-Wi-Fi.

Vanlige fasader: falske parkerings-bøter, falske leverandør-skannekoder for fakturaer, falske MFA-onboarding-skjermer i lobbier eller møterom, falske billett-skannekoder. Mnemonic og andre nordiske security-leverandører har sett alle disse variantene i Norge siste 18 måneder.

Teknisk mekanikk: QR-koden viser en URL kun når den skannes. Mobil-nettleseren forhåndsviser noen ganger URL-en før åpning, men ikke alltid. Hvis bedrifts-VPN-en ikke er aktiv på mobilen, omgår man også content-filteret som ville stoppet domenet på en bedrifts-PC.

Beskyttelse: Tving ansatte til å bruke bedrifts-mobil med MDM (Microsoft Intune, Jamf, Workspace ONE) som ruter all trafikk gjennom bedrifts-DNS med phishing-filter. Trening: skann ALDRI en QR-kode i en e-post uten å zoome inn på URL-forhåndsvisningen først. Hvis URL-en er kortet (bit.ly, t.co): ikke åpne. For fysiske QR-koder på vegg eller bord: sjekk om koden er klistret over en eldre kode (vanlig overtagelse-trick).

3. MFA-fatigue og push-bombing

Angriperen har allerede passordet, ofte fra en datalekkasje eller credential-stuffing. Verizon DBIR 2025 dokumenterte at 22 prosent av brudd startet med credential abuse. MFA er nest siste skanse. Angriperen logger inn igjen og igjen, og hver innlogging sender en push-notifikasjon til ansattes telefon. Til slutt godkjenner ansatte for å gjøre meldingen vekk, eller fordi de tror det er en bug.

Variant: angriperen ringer ansatt etter første push og sier «hei, dette er IT, vi tester MFA-systemet, kan du godkjenne push-en din». Det er social engineering kombinert med teknisk angrep. Klassisk eksempel var Uber-bruddet i 2022, men det skjer fortsatt mot SMB-er hvor IT er en intern person eller en ekstern leverandør som ansatte ikke kjenner stemmen til.

Teknisk mekanikk: Angriperen prøver login uten å se MFA-koden. Push-baserte MFA-implementasjoner (Microsoft Authenticator standard, Duo) sender bare en «godkjenn/avvis»-melding uten nummer-matching. Hvert ja godkjenner innloggingen.

Beskyttelse: Aktiver «number matching» i Microsoft Authenticator (krever at ansatt skriver en kode fra påloggings-skjermen inn i appen). Sett opp risiko-basert pålogging i Microsoft Entra Conditional Access - blokker innlogging fra ukjent land, ukjent enhet, eller etter flere mislykkede forsøk i kort tid. For administrator-kontoer: bytt ut push-MFA med FIDO2-nøkkel. Trening: «hvis IT ringer og ber deg godkjenne en MFA-push, avvis og ring tilbake på et nummer du finner i bedriftens katalog».

Person ved bærbar PC som leser e-post på kontor - illustrasjon for ansatte som vurderer mistenkelig e-post — Foto: Glenn Carstens-Peters på Unsplash

4. Vendor email compromise

Angriperen kompromitterer en e-post-konto hos en leverandør - typisk en mindre underleverandør eller en regnskapsfører som ikke har MFA. Derfra sendes en faktura eller en betalings-instruks til kunder, med riktig avsender, riktig signatur, og en endring av bankkonto i siste detalj. Kunden betaler i god tro.

Dette er den vanligste varianten av business email compromise. Verizon DBIR-serien har dokumentert at en betydelig andel av økonomi-tap i databrudd kommer fra akkurat denne mekanikken. NSM Risiko 2025 påpeker også at forsyningskjede-angrep ofte begynner med en mindre underleverandør som mangler grunnsikkerhet.

Teknisk mekanikk: Leverandørens konto er reell og kompromittert, så DMARC, DKIM og SPF gir grønt lys. E-postfilteret kan ikke se forskjell på en ekte og en svindel-mail fra samme avsender. Selv MFA-resistent maskinvare hos kunden hjelper ikke - det er ikke kundens konto som ble kompromittert.

Beskyttelse: Lag en intern policy om at endring av bankkonto for en leverandør alltid verifiseres telefonisk på et nummer du finner i bedriftens leverandør-register, ikke fra signaturen i e-posten. Sett en grense for utbetalinger som krever dobbelt-godkjenning. Bruk e-post-merking i M365 eller Google Workspace som flagger e-poster fra eksterne avsendere tydelig - mange ansatte glemmer at en e-post fra en kjent leverandør likevel er ekstern teknisk sett. Tren regnskapsavdelingen: enhver bank-detalj-endring som kommer per e-post verifiseres med telefon.

5. Vishing med deepfake-stemme

Vishing - voice phishing - er ikke nytt. Det nye er at angriperen ringer med en klonet stemme. 30 sekunder offentlig lyd er nok å trene på. En ansatt får et anrop fra «daglig leder» som ber om en hasteoverføring til en ny leverandør, fordi en kunde er i ferd med å gå tapt. Stemmen stemmer. Bakgrunns-støyen passer (kjøre-støy, kafé). Trykket på å handle raskt er reelt.

Dette har vært dokumentert i mange jurisdiksjoner og er ikke en hypotetisk trussel. For SMB-er i Norge har Mnemonic og andre nordiske security-team rapportert det aktivt - særlig mot CFO-er, regnskapsledere og fakturasjefer i bedrifter under 50 ansatte hvor toppleder-stemmen er lett gjenkjennelig men hvor det ikke finnes formelle bekreftelses-prosedyrer.

Teknisk mekanikk: Stemmesyntese fra offentlig lyd er åpent tilgjengelig. ElevenLabs og lignende verktøy genererer overbevisende kloner. Spoofing av oppringings-nummer (caller ID) gjør at telefonen viser kjent navn fra kontaktboken.

Beskyttelse: Etabler en fast prosedyre for hasteoverføringer - all utbetaling over et avtalt beløp (typisk 50 000 kr) krever to godkjenninger, og minst én av godkjenningene kommer ansikt-til-ansikt eller via en bekreftet kanal som ikke er det samme anropet. Avtal et passord eller en sikkerhetsfrase som brukes muntlig i hastetilfeller. Tren ansatte: «hvis daglig leder ringer og ber om hasteoverføring, si at du må sjekke i regnskapssystemet og ringer tilbake på nummeret som ligger der». Ekte daglig leder vil aldri ta det ille opp.

6. Browser-in-the-browser

Ansatt åpner en lenke. En popup vises som ser ut som et standard innloggings-vindu for Microsoft, Google eller en annen kjent tjeneste. Adresse-feltet sier microsoft.com eller google.com. Logoen er riktig. Sertifikat-ikonet er der.

Det er ikke et reelt popup-vindu. Det er et HTML-element på den originale phishing-siden som tegnes til å se ut som et popup-vindu, inkludert et falskt adressefelt. Brukerens passord og MFA-kode skrives inn i en form som sendes til angriperen, ikke til Microsoft.

Teknisk mekanikk: JavaScript og CSS gjør at en div-container ser ut som et operativsystem-popup. Brukeren kan ikke dra «popup-en» ut av nettleser-fanen, men det legger få mennesker merke til. Pass-managers som autofyller passord vil ikke autofylle her, fordi de gjenkjenner faktisk domene - som er angriperens domene, ikke microsoft.com.

Beskyttelse: Bruk passord-manager (1Password, Bitwarden, Microsoft Edge, browser-native) for alle pålogginger. Hvis passord-manageren ikke tilbyr autofyll, er siden ikke ekte. Lær ansatte å aldri skrive passord manuelt. Sett opp Conditional Access som krever FIDO2 for administrator-kontoer - browser-in-the-browser-trick funker ikke mot hardware-keys.

7. Calendar-invite-phishing

Angriperen sender en kalender-invitasjon i Outlook eller Google Calendar. Beskrivelsen inneholder en lenke til «forberedelses-dokument», «agenda» eller «Zoom-rom». Hvis ansatt bare aksepterer invitasjonen havner den i kalenderen, og lenken ser ut som om den kommer fra en kjent kollega - fordi det er kalenderen som viser den, ikke en e-post fra ukjent.

Vanlig variant: invitasjon fra ekstern «kunde» eller «partner» med Teams- eller Zoom-lenke. Når ansatt klikker for å bli med, lander de på en falsk login-side. Eller invitasjon med «agenda.pdf»-vedlegg som inneholder makro-trojaner.

Teknisk mekanikk: ICS-format støtter rik tekst og lenker i beskrivelsen. Mange e-post-klienter aksepterer kalender-invitasjoner uten å skanne lenkene like grundig som vanlige e-poster. Outlook viser invitasjonen ved siden av inboxen, ikke i den, så e-post-filteret kommer ikke alltid til.

Beskyttelse: I Microsoft 365 og Google Workspace: krev manuell godkjenning av kalender-invitasjoner fra eksterne avsendere. Aktiver Safe Links eller tilsvarende skanning av lenker i kalender-beskrivelser. Trening: lær ansatte å sjekke avsender på kalender-invitasjoner like nøye som på e-post, og å ikke trykke på lenker i invitasjons-beskrivelse uten å bekrefte avsender.

Hva som FAKTISK fungerer mot moderne phishing

Etter sju teknikker er det lett å føle seg overveldet. Den gode nyheten er at fire tekniske kontroller sammen stopper de fleste angrep - selv de AI-drevne.

FIDO2 / maskinvarenøkler over SMS-MFA

YubiKey og lignende FIDO2-enheter er phishing-resistent fordi protokollen ikke vil autentisere mot et falskt domene. Browser-in-the-browser-tricket og lookalike-domener faller på dette ene tekniske faktum. For administrator-kontoer, finans-tilgang, og kontoer med tilgang til kundedata bør FIDO2 være standard. Kost: 600-900 kr per nøkkel, og hver person bør ha to (én primær, én backup).

Conditional Access og risiko-basert pålogging

Microsoft Entra (tidligere Azure AD) og Google Workspace har begge støtte for å nekte pålogging basert på risiko-signaler: pålogging fra ukjent land, ukjent enhet, etter flere mislykkede forsøk, eller fra TOR-nettverk. Aktivér disse policy-ene for administrator-kontoer først, deretter for alle ansatte. M365 Business Premium inkluderer dette uten ekstra kost. Google Workspace Business Plus inkluderer tilsvarende.

DMARC, DKIM og SPF på alle domener

Disse tre står for autentisering av e-post på avsender-domene-nivå. SPF angir hvilke servere som har lov til å sende fra ditt domene. DKIM signerer e-poster kryptografisk. DMARC binder sammen SPF og DKIM og forteller mottakende servere hva de skal gjøre med e-post som ikke passerer kontroll. Konfigurert riktig betyr det at angripere ikke kan sende e-post som ser ut til å komme fra @dittfirma.no. Sjekk konfigurasjonen på dmarcian.com. Mange SMB har SPF men ikke DKIM eller DMARC. Det er en halv konfigurasjon.

Kvartalsvis phishing-simulering, ikke årlig kurs

Ansatte er den siste linjen, ikke den første. Treningen må holdes ved like. NorSIS-undersøkelsen for 2024 viser at 30 prosent av nordmenn fikk formell digital sikkerhetstrening det året, og at 65 prosent av disse mente ferdighetene ble bedre etterpå. De som ikke fikk trening, ble ikke bedre. Kvartalsvis simulering med tre-fem minutters oppfølgings-mikrokurs for de som klikker, gir mer effekt enn en time årlig e-læring.

Phishing-simulator-verktøy sammenlignet

Tre alternativer dekker det meste av SMB-behovet. Valget avhenger av intern IT-kompetanse, budsjett og hvor mye dere vil ha automatisert.

Verktøy	Kost	Oppsett	Best for
GoPhish (åpen kildekode)	0 kr lisens, intern tid	4-8 timer + løpende vedlikehold	Bedrifter med intern IT-kompetanse som vil ha full kontroll
Hoxhunt	400-600 kr per ansatt per år	1-2 timer onboarding	Bedrifter som vil ha kontinuerlig adaptive simuleringer med minimal admin
KnowBe4	600-1000 kr per ansatt per år	2-4 timer onboarding	Bedrifter med behov for stort kurs-bibliotek og compliance-rapporter

For en SMB på under 30 ansatte gir Hoxhunt eller KnowBe4 vanligvis bedre forhold mellom innsats og resultat enn GoPhish. Den interne tiden GoPhish krever er fort verdt mer enn lisenskosten hos en kommersiell tjeneste.

24-timers respons-plan når noen klikker

Forutsetning: noen kommer til å klikke. Det er ikke et spørsmål om om, men om når. Forskjellen på en hendelse som tar to dager og en hendelse som tar tre uker er ofte hva som skjer i de første timene. HowTo-listen øverst i artikkelen oppsummerer planen i sju steg. Her er utdypingen.

Første time: Isolér maskinen. Trekk Ethernet, slå av Wi-Fi. Ikke skru av - hukommelses-data trengs for forensikk. Bytt passord fra en annen, ren enhet. Tving ut alle sesjoner. Hvis MFA var aktiv: regenerér recovery-koder og sjekk autoriserte enheter.

Første dag: Sjekk e-post-regler og videresendinger på den kompromitterte kontoen. Angripere oppretter ofte stille videresending eller filter-regler som flytter IT-svar og bank-bekreftelser rett i søppel. Slett ukjente regler. Varsle bank og viktige leverandører om at e-post fra deg skal verifiseres per telefon før betaling utløses de neste 48 timene.

Innen 72 timer: Hvis personopplysninger kan være kompromittert, varsle Datatilsynet etter GDPR artikkel 33. Guiden om Datatilsynet for SMB forklarer hvordan og hva som faktisk må stå i meldingen. Du kan oppdatere meldingen senere når du vet mer.

Etterpå: Skriv ned hendelsen. Tidsstempel, hva ble klikket, hvilke konti var aktive, hva ble gjort først, hva tok lengst tid. Bruk loggen i neste kvartals phishing-trening og i neste års IR-plan-revisjon. Hendelser som ikke dokumenteres glemmes på seks måneder, og samme feil gjentas.

Hva nå

Phishing i 2026 ser ikke ut som phishing i 2018. AI gjør angrep språklig usynlige. Deepfake gjør stemmer upålitelige. QR-koder omgår filtre. Calendar-invitasjoner snikinnstaller seg. Det er ikke ansattenes feil at de ikke gjenkjenner angrep de aldri er vist.

De fire tekniske kontrollene - FIDO2-nøkler, Conditional Access, DMARC/DKIM/SPF og kvartalsvis trening - stopper de fleste angrep. De fire er ikke avanserte og kan implementeres på 4-6 uker for en standard SMB. For en bredere sjekkliste over cybersikkerhets-tiltak prioritert etter risk-reduction per krone, se guiden om åtte tiltak du faktisk må gjøre i 2026.

Datafolka kan hjelpe med oppsett av Conditional Access, DMARC-konfigurasjon, FIDO2-utrulling, og phishing-simulering for norske SMB. Se IT-sikkerhets-tjenestene våre eller ta kontakt for en gratis IT-sjekk.

Roy Morken driver Datafolka AS i Stavanger - en lokal IT-partner som hjelper små og mellomstore bedrifter med IT-sikkerhet, Privat AI og digitale løsninger. Datakilder for denne artikkelen: Verizon Data Breach Investigations Report 2025, NSM Risiko 2025, Proofpoint State of the Phish, Mnemonic threat intelligence, Microsoft Digital Defense Report 2024, NorSIS digital sikkerhetskultur 2024.