Skrivefeil er gått av mote: Tre tegn på AI-phishing du fortsatt kan se etter i 2026

De gamle rådene om å speide etter dårlig norsk og rare formuleringer fungerer ikke lenger. Microsoft måler at AI-genererte phishing-meldinger får 54 prosent klikkrate, mot 12 prosent for håndskrevne, opplyser selskapet i forbindelse med sin Digital Defense Report 2025. Det gjør AI-drevet svindel rundt 4,5 ganger mer effektiv enn tradisjonell phishing.

Angriperne kopierer ekte firmalogoer, henter kontekst fra LinkedIn og sosiale medier, og formulerer seg på flytende norsk. Resultatet er meldinger som ser ut, leser seg og oppfører seg som genuine henvendelser fra arbeidsgivere, banker og offentlige etater.

I Norge advarer Nasjonal sikkerhetsmyndighet (NSM) om at angrepene treffer både virksomheter og forbrukere hardere enn før. Microsoft 365-kontoer er spesielt utsatt, og i mange tilfeller fanger angriperne både passord og innloggingssesjon i samme angrep, slik at tofaktorautentisering omgås.

Tre tegn du fortsatt kan se etter

Selv når språket er blitt feilfritt, finnes det praktiske kontroller som fortsatt avslører de fleste angrep.

1. Domenet i avsenderadressen og lenkene

Hold musepekeren over avsenderens navn og over hver lenke før du klikker. AI kan generere overbevisende tekst, men kan ikke flytte angriperen til et ekte bankdomene. Phishing-adresser inneholder ofte et ekstra tegn, en bindestrek eller et avvikende toppdomene som «.co» eller «.app» i stedet for «.no». Sjekk særlig adresser som etterligner Posten, DNB, NAV og Skatteetaten. Ser noe rart ut i URL-en, så er meldingen falsk uansett hvor profesjonelt innholdet virker.

2. Press på tid og trusler om konsekvenser

AI-meldinger spiller bevisst på hastverk fordi det fungerer. «Kontoen din stenges innen 24 timer», «pakken returneres i morgen», «du må logge inn nå for å beholde tilgangen». Ekte banker, NAV og Skatteetaten gir deg alltid tid til å verifisere gjennom egne kanaler. Press er fortsatt det sterkeste enkeltsignalet på svindel, uansett hvor godt språket er.

3. Forespørsler om koder, passord eller BankID

Norske banker ber deg aldri logge inn med BankID via en SMS-lenke eller en e-post. F-Secure påpeker dette eksplisitt i sine sikkerhetsråd til norske forbrukere. BankID skal kun brukes i bankens egen app eller på bankens egen nettside, som du selv har åpnet. Det samme gjelder Vipps-bekreftelser og engangskoder fra det offentlige. Får du tilsendt en kode du ikke har bedt om, eller blir bedt om å oppgi den til noen som ringer, er det svindel.

Hvorfor de gamle tegnene forsvant

Inntil for et par år siden var dårlig norsk og merkelige formuleringer det enkleste varselssignalet. Det er borte. Telenor beskrev allerede høsten 2025 hvordan AI-genererte e-poster gjør det enkelt for kriminelle å lage profesjonelle, feilfrie og tilpassede meldinger. Selskapet blokkerte 539 millioner forsøk på digital kriminalitet i første kvartal av 2025, og 479 millioner i andre kvartal.

Trenden bekreftes i Microsofts årsrapport, som beskriver AI som den mest betydningsfulle endringen i phishing det siste året. Selskapet rapporterer også at 97 prosent av identitetsangrepene de observerer er passordangrep, og at angrepene mot identitet økte med 32 prosent i første halvår av 2025.

Slik styrker du beskyttelsen i 2026

Tradisjonell tofaktorautentisering med SMS-koder er ikke lenger nok. NSM anbefaler norske virksomheter å gå over til såkalt phishing-resistent autentisering, blant annet passnøkler og FIDO2, fordi angriperne i økende grad fanger både passord og aktiv sesjon i samme operasjon.

For privatpersoner gir passnøkler i Apples nøkkelring eller Google-konto, eventuelt en fysisk sikkerhetsnøkkel som Yubikey, betydelig høyere beskyttelse enn engangskoder på SMS. Microsoft oppgir at phishing-resistent flerfaktorautentisering kan blokkere over 99 prosent av identitetsangrep.

Tallene fortsetter å vokse

FBI rapporterte i sin årsrapport for 2025 om 20,9 milliarder dollar i samlet tap fra nettkriminalitet, en økning på 26 prosent fra året før. For første gang i rapportens historie fikk kunstig intelligens en egen seksjon, med 22 364 anmeldelser og nær 893 millioner dollar i påviste tap. Tap fra såkalt business email compromise alene utgjorde over 3 milliarder dollar.

Med høy digital tillit, utbredt bruk av nettbank og Vipps, og en befolkning som tar imot SMS-er fra både banken, Posten og det offentlige flere ganger i uken, er Norge et særlig attraktivt mål. Det er ikke teknologien som svikter først — det er tilliten. Og når AI gjør det umulig å høre forskjellen på en ekte og en falsk avsender, blir det desto viktigere å sjekke domenet, motstå hastverket og aldri oppgi en BankID-kode via lenke i en melding.