Næringslivets Sikkerhetsråd (NSR) har varslet over 1400 norske bedrifter om digitale angrep det siste året. Det mest ubehagelige er ikke tallet i seg selv, men at mange ikke visste at de allerede var kompromittert. Og dette rammer bredt: NSR beskriver at 82 % av de varslede er små og mellomstore bedrifter, i 177 kommuner og på tvers av bransjer.
En stor andel av sakene handler om AiTM-angrep mot Microsoft 365 – en angrepsmetode som ofte omgår vanlig tofaktor (MFA).
AiTM står for Adversary-in-the-Middle. Tenk deg dette:
Du kommer til det du tror er resepsjonen i et bygg. Alt ser riktig ut – logo, skilt, folk, rutiner. Du viser ID, får “adgangskortet” ditt aktivert, og går videre. Bare at resepsjonen var falsk. De lot deg gjøre alt “riktig” – men de kopierte adgangskortet ditt i prosessen.
Det er AiTM i praksis: Du blir sendt til en falsk innloggingsside som ser ut som Microsoft 365. Når du logger inn, blir innloggingen din sendt videre til ekte Microsoft i bakgrunnen (som en “mellomstasjon”), og angriperen får tak i påloggingsinformasjon og sesjonsdata (typisk en “session cookie”). Det er den sesjonen som gjør at angriperen kan være “logget inn som deg” – selv etter at du har brukt MFA. Microsoft beskriver dette som session cookie hijacking i AiTM-phishing. NSR beskriver et typisk forløp slik:
e-post fra en “kjent avsender”
lenke for å åpne en fil i SharePoint/OneDrive/Adobe/Dropbox
en falsk M365-pålogging som ser legitim ut
angriperen får tak i innloggingsdata og sesjon, og kan bruke kontoen videre
Dette er ikke “Hollywood-hacking”. Det er praktisk kriminalitet som utnytter hverdagen i små og mellomstore bedrifter.
NSR peker på at kompromitterte M365-kontoer brukes til fakturasvindel, og at bedrifter har tapt hundretusenvis av kroner.
Hvorfor fungerer det? Fordi svindelen kommer fra en ekte konto, gjerne midt i en ekte dialog med leverandør eller kunde. Da hjelper det lite at ansatte “ser etter rare avsendere”.
Typisk effekt for SMB: feil kontonummer i faktura, “hastebetaling”, eller endring av betalingsdetaljer i siste liten.
NSR understreker at det mest alvorlige ofte ikke er pengene, men at noen kan få åpen tilgang til e-post og dokumenter.
For SMB betyr det ofte:
tilgang til tilbud og prisgrunnlag
kontrakter, lønn, HR, kundeinfo
regnskapsbilag, purringer, bankdialog
Det er ekstra kritisk for regnskap, advokat, konsulent og andre som sitter på mye sensitivt.
Når angriperen først har en legitim konto, kan de bruke den til å sende nye “helt troverdige” e-poster internt eller til kunder/leverandører: “Se dokumentet her”, “kan du godkjenne dette”, “logg inn for å lese”. NSR beskriver nettopp at e-postene kan se helt legitime ut, også teknisk.
Typisk effekt for SMB: én kompromittert konto blir til flere, og tilliten i leverandørkjeden misbrukes.
Dette er den farlige antagelsen. MFA er bra, men ikke en garanti mot AiTM når angriperen stjeler sesjonen din.
I 2026-språk: MFA stopper mange angrep. AiTM er laget for å komme rundt “vanlig MFA” ved å snappe sesjonen etter at du har godkjent.
NSR anbefaler at bedrifter går gjennom egne sikkerhetsinnstillinger og viser til veiledere fra Helse- og KommuneCERT for herding og håndtering.
Her er en praktisk prioritering som faktisk lar seg gjennomføre:
Beskytt de viktigste brukerne først
Start med økonomi, ledelse, admin-kontoer og de som godkjenner betalinger. Det er der skaden blir størst.
Stram inn innlogging i Microsoft 365 med Conditional Access
Poenget er ikke “mer sikkerhet på papiret”, men å gjøre det vanskeligere å bruke stjålne sesjoner fra feil sted/feil måte. Helse- og KommuneCERT har egne herdeguider for dette.
Gå mot phishing-resistent innlogging der det teller mest
Passkeys/FIDO2 er typisk mye vanskeligere å phishe enn passord + engangskode. HelseCERT omtaler phishing-resistent autentisering som et sentralt tiltak.
Ha en enkel “konto kompromittert”-plan
Når en konto er tatt, taper du tid hvis du må finne opp prosessen i samme øyeblikk. NSR peker på at Helse- og KommuneCERT har guider for håndtering av kompromittert M365-konto.
Hvis du vil, kan Cloudahead ta en rask gjennomgang av Microsoft 365-oppsettet deres med AiTM-briller: hva som er bra, hva som er hull, og en kort prioritert tiltaksplan dere faktisk kan gjennomføre.
Kilde (NSR): https://www.nsr-org.no/aktuelt/over-1400-bedrifter-varslet-om-digitale-angrep