Cloudahead - Oppdatert

Hvordan foregår et kontokapringsangrep?

Skrevet av Cloudahead | 15.7.2026

Over halvparten av cyberangrepene mot norske virksomheter i 2025 involverte menneskelige feil, ifølge Nasjonal sikkerhetsmyndighet. Og de mest effektive angrepene har en ubehagelig egenskap: de kommer rett forbi totrinnsverifisering. Grunnen er at moderne kontokapring ikke handler om å stjele passordet ditt. Den handler om å stjele selve den innloggede økten, og da hjelper det lite hvor sterkt passordet er.

Hvorfor totrinns ikke lenger er nok

Totrinnsverifisering har vært det viktigste enkelttiltaket mot innbrudd i mange år, og det er det fortsatt. Men angriperne har tilpasset seg. I stedet for å gjette eller stjele passordet ditt, lurer de deg til å logge inn helt riktig, på en side de sitter i midten av. Da får de ikke bare passordet, men også den digitale nøkkelen Microsoft gir deg etter at du har logget inn. Med den nøkkelen er de inne, uten å trenge passordet eller totrinnskoden en gang til.

Slik foregår angrepet, steg for steg

  1. Lokkemiddelet. Det starter med en e-post, ofte fra en kontakt som allerede er kapret, så den ser legitim ut. Den skaper hastverk («signer dette dokumentet», «fakturaen forfaller i dag») og inneholder en lenke, ikke et vedlegg, for å slippe forbi filtrene.
  2. Den falske innloggingssiden. Lenken tar deg til en side som ser helt lik Microsoft-innloggingen ut. Forskjellen er at den ligger som et mellomledd mellom deg og ekte Microsoft, og videresender alt du taster inn i sanntid.
  3. Du logger inn «helt riktig». Du skriver passordet og godkjenner totrinns på mobilen, akkurat som du pleier. Alt fungerer, fordi mellomleddet sender det videre til ekte Microsoft. Men i samme øyeblikk fanger angriperen den innloggede økten din, en såkalt informasjonskapsel som beviser at du er logget inn.
  4. Angriperen arver økten. Nå importerer de den stjålne nøkkelen i sin egen nettleser og er logget inn som deg, uten å trenge passord eller totrinns på nytt. For Microsoft 365 er dette spesielt alvorlig: én slik nøkkel låser opp e-post, SharePoint, OneDrive og Teams på én gang.
  5. De graver seg inn. For å beholde tilgangen legger de ofte til sin egen totrinnsmetode, lager e-postregler som skjuler svindelmeldingene fra deg, og bruker kontoen til å sende ny phishing internt eller jakte på fakturaer de kan omdirigere. Da er du ikke lenger offeret, men avsenderen.

Hvor du bryter kjeden

Det gode er at hvert steg har et forsvar som stopper angrepet.

  • Phishing-resistent pålogging (passkeys). Dette er det viktigste grepet. En passkey eller sikkerhetsnøkkel, som FIDO2 eller Windows Hello på PC-en, er kryptografisk bundet til den ekte Microsoft-adressen. Havner du på en falsk kopi, nekter den rett og slett å logge inn. Det bryter angrepet i steg 3. Men det er én felle: fjern eller stram inn de svakere reservemetodene (SMS, kode-app) for de samme kontoene samtidig, ellers går angriperen bare rundt passkeyen.
  • Betinget tilgang og enhetskrav. Krev at pålogging bare skjer fra kjente, administrerte enheter. Da er en stjålet nøkkel verdiløs på angriperens maskin. Det stopper steg 4.
  • Overvåking og varsler. Sett opp varsling på det angriperne gjør etterpå: ny totrinnsmetode lagt til, nye e-postregler, eller innlogging fra to land nesten samtidig. Det fanger steg 5 før skaden brer seg.
  • Opplæring. En ansatt som kjenner igjen hastverket og sjekker adressen i nettleseren før de taster, bryter kjeden allerede i steg 1. Det er ikke tilfeldig at over halvparten av angrepene i 2025 involverte menneskelige feil.

Hva du bør gjøre nå

Du trenger ikke gjøre alt på én gang. Start her:

  1. Rull ut phishing-resistent pålogging (passkeys) på de mest utsatte kontoene først: ledelse, økonomi og de som håndterer fakturaer.
  2. Fjern SMS og andre svake reservemetoder for de samme kontoene.
  3. Slå på betinget tilgang, så bare administrerte enheter slipper inn.
  4. Be den som drifter IT-en om å sette opp varsler på nye totrinnsmetoder og nye e-postregler.

Slik hjelper vi

Dette er grunnmuren vi bygger inn som standard i Microsoft 365-oppsettene våre: phishing-resistent pålogging, betinget tilgang og overvåking som fanger opp det unormale. Lurer du på hvor godt kontoene deres er sikret mot akkurat denne typen angrep? Ta en uforpliktende prat, så tar vi en gjennomgang.

Kilder

Nasjonal sikkerhetsmyndighet — Risiko 2026 (nsm.no)

Microsoft Security Blog — Multistage AiTM phishing and BEC campaign abusing SharePoint (jan 2026) (microsoft.com)

Group-IB — Adversary-in-the-Middle Attack Explained (group-ib.com)