Den nye svindelmetoden som omgår alle filtre: Slik virker callback-phishing

I løpet av julesesongen 2025 til 2026 økte andelen AI-genererte phishing-eposter fra fire til 56 prosent, en fjortendobling som har endret hvordan digital svindel ser ut. Tallene kommer fra det finske sikkerhetsselskapet Hoxhunt, som overvåker millioner av brukerrapporterte forsøk.

Men det største skiftet ligger ikke i selve eposten. Det ligger i hva eposten ber deg om å gjøre.

Stadig flere svindeleposter inneholder verken lenker eller vedlegg. Bare et telefonnummer. Metoden kalles callback-phishing, og industridata viser at slike kampanjer økte med 500 prosent i fjerde kvartal 2025. Mer enn fire av ti angrep mot bedrifters e-post inneholder nå en oppfordring om å ringe tilbake.

Hvorfor metoden fungerer

E-postfiltre er bygget for å fange opp ondsinnede lenker, mistenkelige vedlegg og kjente malware-signaturer. Et telefonnummer ligner ingen av delene.

Sikkerhetsanalytikere kaller varianten TOAD, en forkortelse for telephone-oriented attack delivery. Forskjellen fra tradisjonell vishing, der svindleren ringer deg, er avgjørende. I et TOAD-angrep er det offeret som selv tar kontakt, i troen på at det henvender seg til et legitimt selskap.

E-posten er bevisst nøytral. Et finansielt språk, en hastestempel, et nummer. Ingenting å klikke på, ingen tekniske spor for filtrene å fange.

Når offeret ringer, møter det et scriptet call-center med ventemusikk, falsk anrops-ID og operatører som spiller kundeservice, IT-support eller bankrådgiver. Målet er nesten alltid det samme: å få offeret til å installere fjernstyringsprogramvare som Zoho Assist eller AnyDesk, eller å oppgi kortdata for å avbryte trekket.

Slik gjenkjenner du forsøket

Fem tegn går igjen i kampanjene sikkerhetsfirmaene har kartlagt:

1. En faktura eller et abonnement du ikke kjenner igjen. Falske fakturaer og abonnementsfornyelser utgjør drøyt en fjerdedel av callback-epostene, og en like stor andel utgir seg for å være PayPal, Venmo eller andre finansaktører. 2. Et lite beløp. FBI har advart om at gruppen Silent Ransom utgir seg for å være tjenester som Duolingo og Masterclass og bruker små beløp som ikke vekker mistanke. Lite nok til at du ikke ringer banken, stort nok til at du vil kansellere. 3. Et telefonnummer som eneste handling. Ingen lenke, ingen vedleggsknapp. Bare en oppfordring til å ringe for å avbestille. 4. Tidspress. Som regel innen 24 timer eller samme dag, før trekket gjennomføres. 5. Polert språk og logo. AI-verktøy har fjernet de gamle skrivefeilene. Nye varianter bruker også PDF-vedlegg som etterligner Microsoft og DocuSign, der callback-nummeret er gjemt i selve dokumentet.

Hva nordmenn må være obs på

Nordmenn er vant til svindel via SMS og lenker. Telia og Phonero stoppet 95,1 millioner svindelanrop til norske mobilkunder i 2025, og selskapene advarer om at kunstig intelligens gjør både språk, etterligning av merkevarer og troverdighet i svindelforsøk betydelig vanskeligere å avsløre inn i 2026. Callback-phishing er en metode norske banker foreløpig ikke har advart spesifikt om.

Har du allerede ringt nummeret, legg på umiddelbart. Har du lastet ned programvare på beskjed fra supporten, koble enheten fra nettet og fjern programmet. Bytt passord på kontoer du har vært logget inn på i samme periode, og varsle banken hvis du har gitt fra deg kortinformasjon. Mistenkelige SMS-er og e-poster kan videresendes til 7726, som går rett til operatørenes svindelavdeling.

Den enkleste regelen er den eldste: en epost som ber deg ringe for å avbestille noe du aldri har bestilt, er en epost du ikke skal stole på.