Følg oss her

Teknologi

Google advarer: Ny svindelteknikk tapper kontoen din selv med tofaktorautentisering

Angriperne ser innloggingen din i sanntid og stjeler sesjonen etter at koden er tastet.

Publisert

d.

Google advarer: Ny svindelteknikk tapper kontoen din selv med tofaktorautentisering

Google har i sin ferske svindelrapport for juni 2026 varslet om en angrepsform som gjør vanlig tofaktorautentisering utilstrekkelig for norske bank- og netthandlere. Teknikken kalles Adversary-in-the-Middle, forkortet AITM, og retter seg mot selve sesjonen etter at brukeren har logget inn korrekt.

Metoden vokser raskt i omfang. Sikkerhetsselskapet Proofpoint har dokumentert at AITM-verktøy plasserer seg mellom brukeren og den ekte tjenesten ved hjelp av en såkalt omvendt proxy, altså en mellomtjener som videresender all trafikk til den ekte innloggingssiden mens angriperen leser med.

Slik virker angrepet i praksis

Se for deg at du klikker på en lenke i en e-post som ser ut til å komme fra banken din. Siden du havner på er en tro kopi av bankens innlogging, men ligger på en falsk adresse angriperen kontrollerer. Du taster inn brukernavn, passord og til slutt engangskoden fra BankID eller autentiseringsappen. Innloggingen går gjennom, og du kommer inn på kontoen din.

Problemet er at angriperen sitter i samme sekund og fanger både passord, engangskode og sesjonsinformasjonen som beviser at du er innlogget. Sistnevnte kalles en sesjonsinformasjonskapsel, en liten datapakke nettleseren din holder på i bakgrunnen som forteller tjenesten at du allerede har bekreftet identiteten din.

Med den kapselen i hånd kan angriperen fortsette å opptre som deg uten å bli spurt om ny engangskode. Tofaktorautentiseringen er ikke brutt, den er omgått.

Hvorfor gamle koder ikke er nok

SMS-koder og koder fra autentiseringsapper som Google Authenticator ble utviklet for å hindre at et stjålet passord alene er nok. De hjelper lite når hele sesjonen kapres etter innlogging. Google skriver i sitt tekniske arbeid mot sesjonstyveri at sesjonstyveri typisk skjer når en bruker uforvarende laster ned skadevare på enheten sin, men proxybaserte AITM-angrep oppnår samme resultat uten at noe blir installert.

Nettleseren Chrome har derfor begynt å rulle ut en teknologi kalt Device Bound Session Credentials, som binder sesjonen kryptografisk til den fysiske enheten via en sikkerhetsbrikke i maskinen. Google-utviklerne beskriver at nøkkelparet genereres ved innlogging og lagres i en TPM-brikke, altså en egen chip på hovedkortet som beskytter kryptografiske nøkler. En stjålet sesjonskapsel blir da verdiløs på en annen maskin.

Milliardtap ligger bak advarselen

Google-varselet kommer på et tidspunkt der digital svindel eksploderer i omfang. Amerikanske forbrukere alene tapte 9,3 milliarder dollar til kryptorelatert svindel i 2024, viser FBIs årlige internettkriminalitetsrapport. Byrået mottok 149 686 anmeldelser med kryptovaluta som element, en økning på 66 prosent fra året før.

Amerikanere over 60 år står for den største andelen av tapene, med 2,8 milliarder dollar i kryptotap. Google peker i sin rapport også på en økende bruk av kunstig intelligens til å produsere svindelmateriell og til falske politihenvendelser der ofre får beskjed om at de er under etterforskning og må betale for å slippe unna.

Tre grep som faktisk hjelper

For norske brukere finnes det håndgripelige forsvarstiltak. Ta i bruk passnøkler, på engelsk kalt passkeys, der tjenesten støtter det. Teknologien er bundet til domenet den ble opprettet for, og fungerer ikke på en falsk kopi av innloggingssiden.

Bruk fysiske sikkerhetsnøkler, som en YubiKey, på kontoer med sensitiv informasjon. Nøkkelen nekter å svare på en tjener som ikke matcher det opprinnelige domenet, og gjør AITM-metoden ubrukelig i praksis.

Hold Chrome, Edge eller Safari oppdatert. Nyere versjoner ruller ut sesjonsbinding automatisk for stadig flere tjenester, og en gammel nettleser mister denne beskyttelsen.

Sources: - [FBI Releases Annual Internet Crime Report](https://www.fbi.gov/news/press-releases/fbi-releases-annual-internet-crime-report) - [2024 IC3 Annual Report](https://www.ic3.gov/AnnualReport/Reports/2024_IC3Report.pdf) - [Crypto Crime Losses in the U.S. Jumped to $9.3B in 2024, FBI Says](https://www.coindesk.com/markets/2025/04/24/fbi-says-americans-lost-usd9-3b-to-crypto-scams-in-2024)

Annonse