Förstå hoten

Sex angreppsformer som drabbar nordiska organisationer mest. Korta berättelser, vad du ska titta efter, vad som faktiskt skyddar.

Phishing — falska e-post och SMS

Så går det till Ni får ett mejl eller SMS som ser ut att komma från Microsoft, banken eller en kollega. Det ber er logga in eller bekräfta något via en länk. Sidan länken leder till ser identisk ut med originalet — men allt ni skriver in skickas till angriparen. Stulna inloggningsuppgifter används ofta inom timmar, ibland mitt i natten.

Tecken du kan upptäcka

  • Brådskande ton: "agera inom 24 timmar", "kontot låses"
  • Avsändaren ser ut som Microsoft eller banken men domänen är fel: microsoft-secure.com, bankid-verify.se
  • Länken visar något annat när du hovrar än vad det står i texten
  • Frågor om lösenord eller MFA-kod via mejl eller SMS — det gör ingen seriös aktör

Vad som skyddar dig

  • Tvingande tvåfaktorsautentisering (MFA) på alla konton
  • E-postfilter med URL-skanning (Microsoft Defender, Google Workspace m.fl.)
  • Säkerhetsmedvetandeträning för alla anställda — även styrelsen
  • Etablera regeln "alltid ring och kontrollera vid känsliga ärenden"
Från Norden Under 2024 var falska Outlook-inloggningar utskickade som "delade SharePoint-filer" en av de vanligaste vinklarna mot svenska organisationer. Angriparen efterliknar en kollegas namn — och offret kan vara avtappad inom minuter.

Ransomware — era filer låses och säljs tillbaka

Så går det till En angripare tar sig in i nätverket — oftast via stulna inloggningsuppgifter eller en sårbar VPN. De rör sig tyst i veckor, kartlägger var era backuper finns, kopierar interna filer för utpressning, och kör sedan en krypteringsmotor som låser allt på en helg. När ni märker det är prislappen redan satt.

Tecken du kan upptäcka

  • Konstig nätverkstrafik nattetid eller helger
  • Inloggningar från oväntade länder eller IP-adresser
  • Ovanliga PowerShell-skript som körs på era servrar
  • Filändelser som plötsligt blir .locked eller .encrypted

Vad som skyddar dig

  • Offline-backuper som inte går att skriva över från nätverket
  • MFA på all administrativ åtkomst — även konsolen
  • Begränsa lokal admin på arbetsstationer; angripare som inte är admin når inte krypteringen
  • Patcha brandvägg och VPN inom dagar, inte månader, när säkerhetsuppdateringar släpps
Från Norden En svensk kommun fick under 2023 sina IT-system krypterade efter att en gammal RDP-server med svagt lösenord lämnats exponerad mot internet. Återställning tog över sex veckor — och utbetalningar, lönesystem och bibliotek låg nere hela tiden.

VD-bedrägeri (BEC) — fakturor och löner som inte är riktiga

Så går det till Någon ringer eller mejlar er ekonomiavdelning och utger sig för att vara VD eller en leverantör. Tonen är brådskande och hemlig: "Det här är konfidentiellt, vi måste betala den här fakturan idag, jag är på resa." Pengarna går till ett konto som ser legitimt ut men är angriparens. Beloppen är ofta lagom stora för att inte väcka misstanke direkt — 50 000 till några miljoner.

Tecken du kan upptäcka

  • Avsändarens mejl ser ut som VDs men har en bokstav fel
  • Brådskande "betala idag"-ton i kombination med "berätta inte för någon"
  • Bankuppgifter som ändras strax före betalning
  • En leverantör mejlar in nytt kontonummer utan att vara påringd

Vad som skyddar dig

  • Fyrögonprincipen för alla utbetalningar över ett bestämt belopp
  • Regel: ändrade bankuppgifter verifieras alltid via telefonsamtal till en känd kontakt
  • MFA på ekonomi-systemen
  • Träna ekonomi-personalen specifikt — de är primärmål
Från Norden Ett norskt familjeföretag betalade under 2023 ut flera miljoner kronor till en falsk "leverantör". Angriparen hade läst företagets e-post i månader för att veta exakt när och hur en sådan faktura brukade komma.

Leverantörsangrepp — någon ni litar på är komprometterad

Så går det till Ni installerar en uppdatering från en programvara ni använder dagligen — bokföring, MDM, fjärrsupport, säkerhetslösning. Uppdateringen innehåller dold kod som ger angriparen tillgång till era system. Ni har gjort allt rätt i er egen process; svagheten finns hos en leverantör som ni inte hade möjlighet att granska.

Tecken du kan upptäcka

  • I förväg är det här ofta omöjligt att upptäcka
  • I efterhand: ovanlig nätverkstrafik från en leverantörs programvara
  • Branschnyheter om en leverantör som drabbats — agera snabbt om ni använder den

Vad som skyddar dig

  • Inventera vilka leverantörer och tjänster som har åtkomst till era system
  • Begränsa varje leverantörsverktygs behörigheter — minimum-principen
  • Aktivera nätverksloggning och larm för avvikande beteende
  • Ha en plan för vad ni gör om en kritisk leverantör drabbas
Från Norden SolarWinds-incidenten 2020 drabbade flera nordiska myndigheter. Angriparna kom in via en uppdatering till ett övervakningsverktyg och var i nätverken i månader innan de upptäcktes.

Lösenordsläckor — gamla lösenord vänds mot er

Så går det till Era anställda har sedan länge konton hos sajter som drabbats av dataintrång — LinkedIn, Adobe, Dropbox med flera. Listor med miljarder kombinationer av e-postadresser och lösenord cirkulerar. Angripare provar systematiskt era anställdas företagskonton med deras gamla privata lösenord. Återanvänder någon, kommer angriparen in.

Tecken du kan upptäcka

  • Många misslyckade inloggningsförsök på samma konto
  • Lyckade inloggningar från oväntade länder eller IP-adresser
  • En anställd får mejl om "ny inloggning från okänd enhet" som hen inte gjort

Vad som skyddar dig

  • MFA på allt — då fungerar inte stulna lösenord
  • Spärra inloggningar från länder ni aldrig arbetar från (geo-fencing)
  • Anslut Azure AD / Entra ID till "Have I Been Pwned"-checkar
  • Tvinga lösenordsbyte och MFA-rotation om ni vet att en användare läckts
Från Norden En undersökning av svenska kommunanställdas inloggningsuppgifter visade under 2024 att över hälften förekom i kända dataläckor. En betydande andel hade samma lösenord på flera olika tjänster.

Sårbar VPN och fjärrskrivbord — en öppen dörr ni glömt

Så går det till En VPN-tjänst eller fjärrskrivbordsserver som ni satte upp för pandemin glömdes kvar. Den är fortfarande nåbar från internet, men ingen har patchat den på ett år. Angripare har automatik som scannar internet dygnet runt och hittar precis sådana servrar. När en sårbarhet publiceras är de ofta inne inom timmar.

Tecken du kan upptäcka

  • Ni vet inte säkert vilka portar ni har öppna mot internet
  • Inloggningsförsök på VPN/RDP från konstiga länder
  • En brandvägg som inte fått uppdateringar på lång tid

Vad som skyddar dig

  • Inventera vad ni exponerar mot internet — t.ex. via Shodan eller en leverantörs sårbarhetsscan
  • Stäng av allt ni inte aktivt använder
  • MFA på all extern åtkomst, alltid
  • Patcha brandvägg och VPN inom 7 dagar när kritiska CVE släpps
  • Överväg att flytta från publik VPN till "zero trust"-lösningar (AlwaysOn VPN, Tailscale, Cloudflare Access m.fl.)
Från Norden Flera svenska sjukhus och kommuner har drabbats av ransomware via opatchade Fortinet- och Citrix-VPN under 2022–2024. Den gemensamma nämnaren är ofta densamma: en gammal sårbarhet och ingen MFA på inloggningen.

Vill du veta vad som gäller just er?

Tre snabba frågor om er IT-miljö visar exakt vilka av dagens säkerhetshål som faktiskt berör er.

Berörs jag? →