NSR sendte 22. mai ut et bredt varsel om omfattende digital angrepsaktivitet mot norske bedrifter. Minst 1500 virksomheter er rammet hittil i 2026, over 350 av dem bare de siste ukene. Angrepene retter seg mot Microsoft 365-kontoer og omgår vanlig totrinnsverifisering.
Det er Næringslivets Sikkerhetsråd (NSR) som går ut med varselet, sammen med NSM og resten av det norske cybersikkerhetsmiljøet. Når en konto kompromitteres, får angriperne tilgang til e-post, dokumenter i SharePoint, Teams-møter og det meste annet som ligger i virksomhetens Microsoft 365-miljø. NSR opplyser at det også er store mørketall, og at antallet kompromitteringer har økt jevnt siden februar.
Hva angriperne faktisk kommer inn til
En kompromittert Microsoft 365-konto er sjelden bare en konto. Det er en inngang til hele bedriftens digitale liv. Angriperne kan lese intern e-post, se dokumenter i SharePoint og OneDrive, delta i Teams-møter, og bruke kontoen til å sende troverdige e-poster videre til kunder, leverandører og kolleger.
Det er den siste delen som gjør angrepene så effektive. Den neste phishing-e-posten kommer ikke fra en ukjent sender på Gmail. Den kommer fra en kollega du har snakket med i morges, i en tråd som allerede er i gang. Det kan være en Teams-invitasjon, et delt SharePoint-dokument eller en signeringsforespørsel som ser akkurat ut som den skal.
Hvorfor totrinnsverifisering ikke lenger holder alene
Den klassiske totrinnsverifiseringen er ikke lenger nok i seg selv. Phishingverktøyene som brukes nå fanger opp både passord og selve påloggingssesjonen i samme angrep. Dermed kan angriperne logge seg inn som deg, selv om du har totrinn aktivert i appen.
Den mest utbredte metoden er device code phishing. Brukeren lures til å taste en engangskode på Microsofts ekte innloggingsside, og koden brukes til å koble angriperens enhet eller sesjon til kontoen din. Siden mye av angrepet skjer på Microsofts egen infrastruktur, ser alt riktig ut for brukeren underveis. På toppen av dette bruker angriperne såkalte residential proxy-tjenester som sender trafikken via vanlige boligbredbånds-IPer, slik at mistenkelig pålogging blander seg inn i normaltrafikken. Og minst like ille: phishingverktøyene leser store mengder e-post fra de allerede kompromitterte kontoene, og bruker AI til å skrive tilbake meldinger på troverdig norsk, med riktig kontekst og tone.
Konsekvensen er at en bedrift kan ha fulgt rådene fra for to år siden, og likevel være eksponert i dag.
Hva NSM og NSR anbefaler
NSR ber alle norske bedrifter om å gjennomføre tiltak umiddelbart. Hovedlinjen er at autentiseringen må gjøres motstandsdyktig mot phishing, ikke bare mot gjettede passord. I praksis betyr det at totrinn med engangskoder via app eller SMS bør erstattes av passnøkler (FIDO2) eller Windows Hello for Business på alle som logger inn i Microsoft 365. Disse mekanismene er bygget slik at engangskoden ikke kan stjeles og brukes på nytt av en angriper, fordi den er knyttet til din enhet og din pålogging på Microsofts side.
Parallelt anbefaler både NSR og NSM å slå av device code-pålogging der det er praktisk mulig. De fleste bedrifter trenger den ikke i det hele tatt, og den kan skrus av sentralt i Entra ID. På samme måte bør pålogging begrenses til kjente enheter og lokasjoner gjennom conditional access, slik at innlogging fra ukjente enheter eller utenfor Norge krever ekstra trinn eller blokkeres helt.
Hvis det først smeller, vil du vite om angriperen har lest, slettet eller videresendt e-post. Revisjonsloggen for innbokser bør være slått på, og ansatte bør være kjent med at en troverdig e-post fra en kjent kollega ikke lenger er noen garanti for at den faktisk kommer derfra. For økonomi- og signeringsforespørsler er det igjen blitt aktuelt å bekrefte over telefon eller Teams før noe gjøres.
Usikker på om bedriften din er beskyttet mot den nye angrepsbølgen?
Kilder
NSR / Sikkert.no: Advarsel om stor digital angrepsaktivitet (publisert 22. mai 2026)