Microsoft beskrev nylig en pågående angrepsbølge som tar over Microsoft 365-kontoer på en ny måte: i stedet for å stjele passordet ditt, lurer angriperne deg til å godkjenne deres innlogging. Du gjør alt riktig: passord, kode, totrinnsverifisering. Men du gjør det på vegne av angriperen, ikke deg selv.
Metoden treffer særlig små og mellomstore bedrifter, og kampanjen bruker kunstig intelligens for å lage troverdige e-poster i stort volum. Det er ikke et fremtidsscenario, det skjer nå.
Det er ikke passordet de er ute etter lenger
Vi har lært ansatte å være på vakt mot phishing i flere år. Ikke klikk på rare lenker. Ikke oppgi passordet ditt. Sjekk avsenderen. Det har virket, og derfor må angriperne finne på noe nytt.
Det de har funnet på, er at de slipper å stjele passordet i det hele tatt. Du blir lurt til å godkjenne en innlogging som ikke er din egen, men angriperens. Du oppdager ikke forskjellen, fordi det ser ut akkurat som når du logger på din egen konto.
E-postene treffer rollen din. Kampanjen bruker kunstig intelligens for å lage troverdige e-poster i stort volum, skreddersydd til hvem du er. Regnskapsføreren får faktura-saker. Prosjektlederen får anbudsforespørsler. Daglig leder får dokumenter til signering. Skrivefeilene og de rare formuleringene som var phishingens kjennemerke før, er borte.
Det går fort etter første klikk. Microsoft observerte at angriperne automatisk plukker ut de mest interessante kontoene, altså de med tilgang til penger, kontrakter eller systemer, og setter opp regler i innboksen som skjuler deres egne meldinger. En falsk faktura kan ligge i banken før noen oppdager noe.
Preventive tiltak vi anbefaler og kan hjelpe med
Her er grepene som kan stoppe og begrense denne typen angrep:
Snakk med de ansatte om akkurat denne typen lure. De fleste vet at de ikke skal oppgi passord på rare sider. Færre vet at de heller ikke skal lime inn en kode de fikk i en e-post, selv om de havner på en helt ekte innloggingsside. Regelen er enkel: en kode du har fått tilsendt hører ikke hjemme i en innlogging du selv ikke har bedt om.
Skru av innloggingsmetoder dere ikke bruker. Microsoft 365 har flere innloggingsmetoder, og noen av dem trengs bare for spesielle apparater de fleste små bedrifter ikke har. Akkurat den metoden som blir misbrukt nå, er en sånn metode. Får du den slått av, finnes ikke angrepsflaten lenger.
Bytt fra kode til ansikt eller fingeravtrykk der det er mulig. Kodene fra SMS eller Authenticator-appen kan limes inn på feil sted. Det kan ikke ansiktet ditt eller fingeravtrykket ditt, og moderne telefoner og PC-er støtter dette i dag. Det er litt arbeid å sette opp, men det fjerner hele klassen av angrep vi snakker om her.
Ha en rutine for å se etter merkelig aktivitet. Hvis kontoen blir tatt over, etterlater det spor: en ny enhet logger på fra et uvanlig sted, eller det dukker opp regler i innboksen som flytter eller skjuler meldinger. Det trenger ikke være avansert. En kort sjekk månedlig, og en lavere terskel for å si fra hvis noe virker rart, fanger opp mye.
Det er grunnmuren som avgjør
Denne typen angrep viser noe vi ser igjen og igjen: god sikkerhet handler ikke om å kjøpe ett magisk produkt. Det handler om at de grunnleggende tingene er på plass og henger sammen. Standardisert oppsett, sikker identitet, jevnlig opplæring og oversikt over hvem som har tilgang til hva. Når grunnmuren er solid, er denne typen angrep mye lettere å stoppe, ofte før de når brukeren i det hele tatt.
Vil du ha en grunnmur som tåler at noe går galt?
Kilder
Microsoft Defender Security Research: Inside an AI-enabled device code phishing campaign (microsoft.com, 6. april 2026)