Stora utbildningsbrister inom cybersäkerhet

Vi argumenterar ofta för vikten av en stark säkerhetskultur i organisationen. Det börjar alltid med företagsledningen som måste se cybersäkerheten som ett strategiskt prioriterat område. Det är därför lite oroande att en nyligen publicerad rapport från Ledarna visar att endast hälften av svenska arbetsplatser har utbildat sina medarbetare i cybersäkerhet.

Det känns nämligen som en fullständig omöjlighet att bygga en säkerhetskultur utan en ordentlig cybersäkerhetsutbildning.

Bara hälften av svenska arbetsplatser har utbildat sina medarbetare i cybersäkerhet

Säkerhet i praktiken

En intressant slutsats i rapporten är att även om arbetsplatser har strategier och regler för cybersäkerhet, saknas ofta det praktiska arbetet med att förankra säkerhet i vardagen.

En viktig aspekt av träning, och att omsätta detta i praktiken, är att få medarbetarna att känna ett personligt ansvar för cybersäkerheten och för säkerhetskulturen. Det är nämligen mycket vunnet när medarbetarna känner att de både förväntas och har möjlighet att ta ansvar för sitt eget digitala beteende men också för de system, rutiner, dokumentation och externa samarbeten som de ansvarar för.

Allt annat blir betydelselöst den dagen det smäller

Cyberhoten ökar men resurser saknas

Tidigare i år rapporterades det, även då i en rapport från Ledarna, att svenska chefer inte har tillräckligt med resurser för att möta ett ökat cyberhot samt att många företag redan har drabbats av cyberattacker.

Rapporten gav tydliga men oroande svar!

1. Cyberhotet ökar
60% uppger att cyberhotet ökat de senaste 3 åren och 41% uppger att de drabbats av en cyberattack under samma tidsperiod

2. Konsekvenserna är allvarliga
Tydliga siffror på de konsekvenser som cyberattackerna inneburit, bla hade 32% lett till avbrott i verksamheten, 22% sett en ökad rädsla eller oro bland anställda och 21% lidit ekonomiska förluster.

3. Resurser saknas för att bemöta cyberhotet
25% av cheferna helt saknar de säkerhetsresurser som krävs för att hantera riskerna och att 20% menar att de resurser som finns inte är tillräckliga.

25% uppger att de helt saknar de resurser som behövs

Cybersäkerhet - en ledningsfråga!

Cybersäkerheten måste som sagt vara en naturlig del av organisationers strategiska arbete och som vid allt annat ledningsarbete handlar det om att arbeta metodiskt, först strategisk och därefter operativt.

Några konkreta tips:

• Nulägesanalysera övergripande riskbedömning
• Identifiera och hantera era omedelbara riskområden
• Börja fostra en cybersäkerhetskultur, med tydligt ledarskap samt viktiga begrepp och principer
• Hjälp er organisation genom utbildning och genom att ställa rätt frågor och rätt krav
• Sätt en budget så att öronmärkta resurser finns att tillgå
• Utvärdera och förbättra kontinuerligt

Eftersom det är företagsledningen som sätter tonen för säkerhetskulturen i hela verksamheten finns möjligheter att snabbt skapa en positiv attitydförändring i organisationen. Detta är en avgörande faktor för att bygga en motståndskraftig cybersäkerhetskultur då det skapar engagemang och gör personalen till en del av företagets försvarsberedskap.

Vet du inte hur ni ska göra för att ta första steget – lugn, vi hjälper er!

 

Varför väljer vi urdåliga lösenord i stället för högre säkerhet?

Vi har sett det förr. Samma dåliga lösenord toppar listan på de mest använda och dessutom använder vi samma lösenord till flera konton, trots att en överväldigande majoritet sannolikt vet att det är förkastligt.

Valet står egentligen mellan säkerhet och lathet

Hur kommer det sig?

Som vi tidigare skrivit om så har sannolikt en stor majoritet av det svenska folket, som bevisat har en hög grad av IT-mognad, en mycket hög kännedom och medvetenhet om god lösenordshygien. Det är således slående att så många slarvar med sina lösenord, vilket de då sannolikt vet kan få allvarliga konsekvenser.

Vi återkommer nedan till problemet med svaga lösenord och börjar med ett annat vanligt problem, nämligen att man återanvänder samma lösenord.

Om man använder sig av samma lösenord på många konton så ökar man sin sårbarhet för att bli multihackad. Detta eftersom samma inloggning då fungerar på tex mail, sociala medier, mm. Detta är ju speciellt allvarligt om man använder samma lösenord på ett känsligt konto och ett annat, säg oviktigt konto, som hanteras med låg säkerhet. Det är mångas mardröm att bli hackad så att bjuda på en multihackning känns både vårdslöst helt omotiverat.

Använd aldrig samma lösenord på två eller flera ställen

Dessutom blir det ännu värre

Som om det inte är nog att vi använder samma lösenord på flera konton så kan man, med bekymmersam blick, läsa de 10 vanligaste lösenorden i Sverige (Nordpass 2025):

1. admin
2. Sweden9000
3. 123456
4. password
5. 12345678
6. Design33
7. 888888
8. bikini88
9. 12345
10. Blecke666

Andra noterbara lösenord på top 20 är "Husmusen1", "shopping" och "Aaaa1111".

Några goda råd, utöver användning av unika lösenord:

• Kontrollera om dina lösenord finns med i någon dataläcka – byt isf omedelbart
• Använd med fördel lösenfraser som typiskt är både lättare att komma ihåg och svårare för en hacker att knäcka
• Förlita dig inte på endast lösenord, använd multifaktorsautentisering, helst nätfiskeresistent
• Sluta slarva - agera enligt den kunskap du faktiskt har gällande lösenord. Läs på eller ring oss om du är osäker

2025 - admin, 123456, password!!

Ett globalt problem, med lokal twist

Nordpass 2025 visar inte bara vilka som är de mest vanliga lösenorden. Det är även intressant att läsa om globala trender men också hur länder skiljer sig åt.

Passwordöversättningar
“Password” är med på många länders top 10 och således även på den globala toplistan. "Password" på lokalt språk som "heslo" (Svk), "salasana" (Fin), "motdepasse" (Fra) och "contraseña" (Esp) tar också topplaceringar i olika länders listor över de vanligaste lösenorden.

Varumärken
Teknikvarumärken som tex Cisco, Motorola, Telstra, Vodafone, Turktelekom, Apple, Panasonic, Netflix rapporteras också som mycket vanliga lösenord. Vodafone är det mest populära varumärket som lösenord och totalt sett det 105e vanligaste lösenordet i världen.

Patriotism
Namnet på ditt hemland eller hemstad är också vanligt förekommande lösenord. Samma fenomen men såklart olika lösenord i olika länder. I befolkningsrika länder, som tex Indien, kan denna typ av lösenord nå en topplacering även globalt. Så är det med ”India@123” som är på 70e plats globalt.

Sport och hobby
Fotboll är den enskilt vanligaste källan bland sporter och hobbys när det gäller att välja lösenord. Namn på spelare och favoritklubb används flitigt och det är såklart vanligast förekommande i de stora fotbollsregionerna i Sydamerika och Sydeuropa.

Dags att sluta vara lat!

Vi och alla andra i branschen kan skriva allsköns tips och råd gällande starka lösenord, flerfaktorsautentisering och andra rekommendationer.
Men det handlar i slutändan om mänskligt beteende och valet mellan ökad säkerhet och bekvämlighet.

Det är du som väljer!

Vi kan hjälpa er med cybersäkerheten men valet är alltid ditt – säkerhet, bekvämlighet eller rent av lathet?

Nätfisket ökar överallt, bl.a på Linkedin

Nätfisket fortsätter inte bara att öka, det finner ständigt nya vägar och tar mer och mer sofistikerade former. Det är otroligt viktigt att förstå att nätfiske inte längre bara är länkar i mail och att det inte är ovanligt att det kombineras med olika former av social manipulation.

Tredubbling i klickandet på nätfiskelänkar

Nätfisket ökar - ansträngningarna till trots

Det görs redan väldigt mycket för att stärka vår motståndskraft mot nätfiske. Tyvärr visar rapporter att nätfisket bara fortsätter att öka, tex en som säger att vi hade en tredubbling av klickandet på nätfiskelänkar under förra året. Anledningen är att nätfisket tar nya former och att nätfiskelänkarna exponeras, placeras och distribueras på nya sätt.

Vi har tidigare berättat om två metoder som ökar kraftigt. Malvertising, onlineannonser mer skadlig kod, och Sökmotorförgiftning där hackers manipulerar resultatet från sökmotorer så att falska hemsidor med onda uppsåt hamnar överst bland sökresultaten. Därtill levereras nätfiskelänkar i meddelandetjänster, kommentarsfält, sociala medier, SMS, mm.

Nätfisket tar nya former och distribueras på nya sätt

Varningar för nätfiske på Linkedin

Enligt en artikel finns indikationer på att nätfiskeattacker ökar kraftigt på Linkedin vilket är skäl till oro. Det känns kanske enkelt att vifta bort detta problem med argumentet att på Linkedin har man sitt privata konto. Dock kan man snabbt konstatera att detta är ett säkerhetsproblem för organisationen, om anställda loggar in på Linkedin från jobbdator och arbetstelefon. Det finns fler aspekter som är intressant, vilka togs upp i en nyligen publicerad en artikel.

Rundar säkerhetsverktyg.
Många organisationer har tex e-mailfilters installerade för att fånga upp nätfiske men direktmeddelanden på tex Linkedin fångas inte upp av dessa filter.

Det är en enkel och billig attackmetod
Det går snabbt och enkelt att sätta upp förutsättningar för att kontakta via sociala plattformar jämfört med lyckosamma attacker via e-mail. Därtill så finns möjlighet att hacka och använda legitima konto genom läckta inloggningsuppgifter, som typiskt samlats in av infostealers. Då får att hackers en språngbräda att attackera ifrån vilket såklart är otroligt effektivt.

Enkel kartläggning
Det är väldigt lätt att skaffa sig en överblick av en organisation och se vilka personer som sitter i ledande befattningar genom att titta på Linkedin. Detta gäller sannolikt inte bara vem som blir målgruppen utan också som input i planering av attacker som kombineras med social manipulation.

Ligger i verktygets natur
Förväntningarna på en tjänst som Linkedin är nätverkande, dvs att komma i kontakt med nya människor och nya organisationer. Det är således inte är det minsta förvånande när en främling kontaktar oss på en sådan plattform – det ligger så att säga i verktygets natur. Ännu värre är det så klart när en befintlig kontakt, och kanske nära kontakt får sitt konto hackat. Då är varningsklockorna sannolikt inte påslagna och det är enkelt att på att klicka på en länk som skickas direkt meddelande.

Jackpot när nätfisket funkar
Att man kan sikta på specifika personer och befattningar innebär att lyckat nätfiske mot en person i ledande befattning gör att en hackare kan få en ingång som har hög IT- och informationsbehörighet, vilket såklart kan leda till stora och allvarliga problem. Dock är det så klart allvarligt oavsett på vilken nivå nätfisket lyckas.

Linkedin är toppen, men var medveten och uppmärksam

Utveckling innebär nya utmaningar

Digitaliseringen innebär enorma fördelar och vi utvecklar ständigt nya sätt att effektivisera och förbättra arbetssätt och hur vi integrerar system, informationskällor, mm. Men digitaliseringen innebär också en kraftig ökning av våra sårbarheter.
När vi utöver detta även använder privata tjänster på våra arbetsdatorer och arbetstelefoner så ökar såklart riskerna ytterligare.

Så vi måste bli mer uppmärksamma på att nätfiske ständigt tar sig nya former. Storskaligt nätfiske bedrivs överallt, på sociala medier, i kommentarsfält, onlineforum, via SMS och såklart via e-mail. Linkedin är toppen, men var medveten och uppmärksam på att nätfisket breder ut sig och att vi måste vara på tå, överallt!

Lägger vi dessutom till AI-driven social maipulation så kan vi konstatera att komplexiteten ökar, även för denna förhållandevis enkla cyberattacksmetod.

Vill du veta mer om hur cybersäkerhetsutbildning kan stärka er motståndskraft?

Utbildning av personalen för att öka både riskmedvetenheten och kunskapen om nätfiskeutvecklingen är ett ypperligt sätt att öka er motståndskraft, speciellt när det kombineras med toppmoderna cybersäkerhetsverktyg.

Hör av dig om du också vill ha större cybertrygghet – varje dag, året runt och på alla dygnets timmar.

Cybersäkerheten måste utvecklas snabbare än AI

Användningen av AI ökar kraftigt då det för många fortfarande är en förhållandevis ny företeelse. Det stora genombrottet kom först när generativ AI gjordes tillgänglig på bred front och nu verkar det som att alla vill vara med i AI-racet.

Användningsområdena ökar också snabbt och generativ AI implementeras på otaliga ställen i våra verksamheter, från kundtjänstchattrobotar till marknadsföringskampanjer. Med ökad effektivitet och utveckling av AI kommer tyvärr också nya säkerhetsrisker. Många företag upptäcker att de varken är medvetna om eller förberedda för de säkerhetsutmaningar som AI skapar.

I en nyligen publicerad rapport, där flera tusen IT- och säkerhetsexperter har svarat på frågor, framkommer det tydligt att användningen av AI ställer nya krav på företagens säkerhetsprioriteringar.

Hög användning av AI och det ökar snabbt

En tredjedel av företagen i undersökningen har idag integrerat generativ AI i sin verksamhet samt har nått den punkt där den förändrar deras affärsprocesser. Denna förändring sker snabbt. Tyvärr rör sig många organisationer snabbt framåt med sina AI-projekt utan att varken förstå hur cyber- och informationssäkerheten påverkas av den snabba utvecklingen eller hur säkerheten ska kunna tryggas.

I rapporten svarade nästan 70 % av respondenterna att det snabbt föränderliga ekosystemet för generativ AI är deras största säkerhetsbekymmer. Komplexiteten och svårighet att överblicka säkerhetsriskerna är svårt och det som nämns är både AI-baserade SaaS-tjänster och alltmer autonoma AI-agenter som hanterar känslig data.

Snabba förändringar inom generativ AI är det största säkerhetsbekymret

Därtill finns mycket stor oro för att cyberbrottslingar fokuserar på att manipulera den data som AI-verktygen arbetar med. Denna risk rankas som mycket allvarlig och det kan sannolikt bero både på den potentiella skada som föreligger när AI-verktyg, speciellt autonoma, matas med medvetet manipulerad data men förmodligen också då detta är svårt att upptäcka.

Cybersäkerhet är en grundläggande framgångsfaktor för AI

Generativ AI är beroende av stora mängder data och information. Det är naturligtvis fördelaktigt när informationen är av hög kvalitet men framför allt måste informationen såklart vara tillförlitlig. Om den minsta osäkerhet finns gällande tillförlitlighet så faller trovärdigheten av AI-verktygets output vilket skulle äventyra de positiva effekter som AI är implementerade för att bidra med

Risk för manipulation av data som AI-verktygen arbetar med

Generativ AI kommer att fortsätta växa, och mycket av dess värde beror på kvaliteten och skyddet av den information som AI-verktygen använder som input. Cyber- och informationssäkerhet måste därför vara väldigt högt prioriterade, både för att kunna stå emot det allmänna cyberhotet, och för att säkerställa företags förmåga att dra nytta av alla fördelar med AI.

Policys och utbildning för en ansvarsfull användning av AI

Med ökade risker kopplat till användning av AI så behöver alla företag vara tydliga i sina riktlinjer gällande användning av AI. Med tydliga policys och återkommande utbildning av personalen kan man minska sina risker genom att skapa den nödvändiga kulturen för en ansvarsfull användning av AI genom hela företaget.

Företagsledningen måste leda arbetet och dessutom föregå med gott exempel!

 

Hör av dig så hjälper vi er att skapa både en större motståndskraft och en ökad cybertrygghet!

Hackare använder betrodda plattformar för att undvika upptäckt

En färsk rapport visar att cyberbrottslingar i allt högre grad utnyttjar legitima plattformar, tex för e-postmarknadsföring, för att genomföra sofistikerade nätfiskekampanjer. Man utnyttjar helt enkelt etablerade tjänsters anseende och position för att kringgå säkerhetsfilter och med det försöka lura sina offer.

Utnyttjar ett inneboende förtroende

Även om det är svårt att bedöma omfattningen av denna typ av nätfiske, så är det likafullt en bekymrande utveckling inom nätfisketaktik eftersom den utnyttjar det inneboende förtroende som användare har för erkända marknadsföringsplattformar.

Genom att omdirigera till skadliga webbadresser via betrodda domäner skapar cyberbrottslingarna en falsk känsla av legitimitet, som hjälper deras nätfiskemejl att undvika upptäckt av traditionella säkerhetssystem.

Användningen av betrodd infrastruktur innebär betydande utmaningar för cybersäkerheten, eftersom beprövade svartlistningsmetoder riskerar att bli ineffektiva.

Skapar en falsk känsla av legitimitet

Personifiering

Angriparna visar dessutom en hög anpassningsförmåga och kombinerar utvecklade former av nätfiske med avancerade och dynamiska metoder där företagsinformation och logotyper hämtas för att personanpassa nätfiskeattackerna så att de uppfattas som helt legitima av de företag/personer som attackeras.

Verkningsfulla motmedel

Det finns ett antal olika sätt att öka sin motståndskraft som tex en genomarbetad och implementerad cyberssäkerhetspolicy, säkerhetsutbildad personal, moderna och uppdaterade IT-system, tydlig lösenordspolicy med MFA, osv.

Man måste jaga hot, stoppa intrång och hantera incidenter - alla dagar, dygnet runt

Den enskilt vassaste vapnet är dock att övervaka hela sin IT-miljö i realtid och ha en 24/4 beredskap för att jaga hot, stoppa intrång och hantera incidenter.

 

Hör av dig så hjälper vi er att skapa både en större motståndskraft och en ökad cybertrygghet!

Många nyanställda faller för nätfiske

Nyanställda är mer benägna att falla för nätfiskeattacker och social manipulation än de som varit anställda en längre tid. Enligt en nyligen publicerad rapport är det speciellt kritiskt under de första tre månaderna av anställningen.

Nyanställda är mer benägna att falla för nätfiskemail och social manipulation

En fråga om timing

Under lång tid fokuserades uppmärksamheten och utbildningsinsatser kopplade till nätfiske på att få personalen att inte klicka på okända länkar i mail. Tyvärr så har de nyanställda inte hunnit få sin säkerhetsmedvetenhetsutbildning och därtill är de extra sårbara under sin introduktionsutbildning, när det kan kännas rimligt att bli kontaktad av VD, HR- eller IT-avdelningen som ber dig klicka på länkar för att bli välkomnad, få information samt för att sätta upp konto eller logga in de gemensamma systemen.

Nästan 3 av 4 av nyanställda klickar på nätfiskemejl inom 3 månader

Nyanställda är enklare måltavlor för nätfiskeattacker

Många nyanställda är inte bekanta med företagets policys eller detaljer gällande utseende på ett internt mail och kan därför lätt missta nätfiskemejl för riktiga förfrågningar. Onboarding- och introduktionsprocessen kan dessutom vara överväldigande, vilket gör det lätt kan kännas stressande, vilket ökar risken för misstag och felaktiga beslut. Nyanställda tenderar också att vilja göra ett gott intryck, särskilt om meddelandet verkar komma från någon ansvarig, och följer således de instruktioner som de får – även falska.

Typiskt tillvägagångssätt

Vanliga tillvägagångssätt för ”internt nätfiske” inkluderar falska meddelanden från VD, falska HR-portaler, falska fakturor och falsk teknisk support. Man utnyttjar alltså den nyanställdas vilja att följa instruktioner och deras brist på kunskap om företagets processer och rutiner.

Utbildning stärker er motståndskraft!

Otillräckligt med säkerhetsutbildning under introduktionen men även avsaknad av generell erfarenhet gör att de nyanställda utgör en extra stor risk. Enligt rapporten kan företag som använder säkerhetsmedvetenhetsutbildning, med tex nätfiskesimuleringar, se en tydligt minskad risk.

Även om effekten av utbildning kanske är störst bland de nyanställda så är det vår tydliga rekommendation att stärka er motståndskraft genom att öka hela personalstyrkans riskmedvetenhetenhet, kunskap om nätfiske och social manipulation. Speciellt eftersom hotens karaktär och cyberbrottslingarnas tillvägagångssätt ständigt utvecklas och förändras.

Hör av er så hjälper er med smarta och kostnadseffektiva säkerhetsutbildningar!

 

Vattenhålsattack upptäckt på hackad resesajt

Cybersäkerhetsforskare har identifierat en tidigare okänd ClickFix-metod på en hackad resesajt, som lurar användaren att ladda ner en infostealer, som sedan stjäl känslig information från användarens dator.

Vad är ClickFix

ClickFix är en form av social manipulation och ett snabbt växande problem. En ClickFix är typiskt en falsk dialogruta, som presenterar både ett falskt ”problem” och ett enkelt sätt att lösa det (click to fix). Det kan vara krav på att installera en nödvändig uppdatering eller verifiera att du är en människa (tex CAPTCHA, I’m not a robot) eller rakt på sak en Fix it-knapp som kan kännas bekant och tryggt att klicka på, även för en hyfsat observant användare. För att komma vidare och således lösa ”problemet”, luras användaren att, utan sin vetskap, installera en infostealer eller annan skadlig programvara.

Metoden är ytterst effektiv eftersom användaren inte är medveten om vad denne gör, men framför allt för att handlingen i många fall inte upptäcks av säkerhetssystemen.

Vad är en infostealer?

Kortfattat kan man beskriva Infostealers som en skadlig programvara som i hemlighet infekterar datorer och system med ett enda egentligt syfte – att kopiera värdefull information utan att det upptäcks. När informationen är stulen har Infostealern slutfört sitt uppdrag och nästa steg för den cyberkriminelle är att sälja eller utnyttja den stulna informationen.

Vattenhålsattacker kan göras ännu mer framgångsrika med malvertising

Hackad resesajt – en typisk vattenhålsattack

En vattenhålsattack är en riktad cyberattack som fokuserar på att infektera en utvald webbsida som ofta besöks av en specifik målgrupp eller företag. Cyberbrottslingen hackar webbplatsen och infekterar denna med skadlig kod, som sedan smittar datorerna hos intet ont anande besökare på webbplatsen. Det är som ett rovdjur som väntar vid ett vattenhål i det vilda, där djur kommer för att dricka, och attackerar dem när de är sårbara.

Attacken riktad mot välbärgade reseköpare

Att i dessa tider, när många söker och köper semesterresor, kan man väl tycka att det var typiskt med en vattenhålsattack via en resesajt, som därtill kan göras ännu mer framgångsrik via falsk/skadlig onlineannonsering, malvertising. Cyberbrottslingarna har ingen kontroll över vem som kommer att besöka webbplatsen och bli smittade men i det aktuella exemplet hade man dock fokuserat attacken mot ett väldigt exklusivt resmål. Detta kan tyda på att målgruppen var individer som är tillräckligt rika för att söka en dyr semester, tex företagsledare, från vilka både känslig information och inloggningsuppgifter till användarkonton med stora behörigheter i företagets IT-system kan stjälas.

Vill du veta mer om hur cybersäkerhetsutbildning kan stärka er motståndskraft?

Utbildning av personalen för att öka både riskmedvetenheten och kunskapen om social manipulation, malvertising, ClickFix, mm. Det är ett ypperligt sätt att öka er motståndskraft, speciellt när det kombineras med toppmoderna cybersäkerhetsverktyg.

Vi berättar gärna mer!

Tre sekunder ljud räcker för att AI-klona din röst!

I en cybersäkerhetsartikel konstateras att det räcker med en tre sekunder lång ljudupptagning för att cyberkriminella ska kunna klona en persons röst. En så kort ljudsnutt skulle kunna hämtas från ett videoklipp som delas på sociala medier eller kopieras från ditt svarsmeddelande på din voicemail.

Röstkapning genom AI-kloning: kan du lita på dina öron?

Många tror sig säkert kunna känna igen en AI-klonad röst. Tyvärr verkar det som att man inte ska känna sig alltför säker på den saken.
Ett exempel som nämns är en amerikansk mamma som nästan blev offer för ett virtuellt kidnappningsbedrägeri, där en klonad röst på ett övertygande sätt härmade hennes dotters rop på hjälp. Ett hänsynslöshet exempel på AI-bedrägeri, där en form av social manipulation tar sig den fulaste formen.

Social manipulation av den fulaste formen

Växande hot mot företag

Bedrägerier med röstkapning genom AI har hittills mest inriktat sig mot privatpersoner, speciellt mot de äldre, där bedrägerier görs genom att man imiterat familjemedlemmar. Trenden är dock att AI-klonade röstbedrägerier är ett växande hot även mot företag.

En anställd på ekonomiavdelningen kan falla offer för ett samtal som denne tror kommer från VD:n, särskilt eftersom dessa typer av bedrägerier typiskt görs genom att skapa en känsla av auktoritet och brådska så att behovet av att agera snabbt blir viktigt.

Bedrägerier med generativ AI, kan innebära förluster på 40 miljarder dollar

Ett aktuellt exempel, från tidigare i år, hände i Italien där en framstående affärsman blev lurad i en deepfake där man AI-klonat försvarsministerns röst som bad om pengar för snabb hjälp att befria kidnappade journalister. Affärsmannen förde över 1 miljon euro men då bedrägeriet upptäcktes i tid kunde polisen spärra kontot och pengarna återtas.

Även om dessa typer av exempel finns så kan man tycka att det känns orimligt att så väldigt många ska kunna bli lurade och i stor skala. Studier från USA förutspår dock att detta och andra bedrägerier med generativ AI, kan innebära att företag i USA förlorar upp mot 40 miljarder dollar fram till 2027.

Biometrisk röstautentisering räcker inte

Aktörer inom den finansiella sektorn har använt röstbiometri ett tag för att identifiera kunder som tex kontaktar deras kundtjänst. Nu finns indikationer på att även denna metod blir omsprungen av AI-klonade röster. För att ligga i framkant behöver man sannolikt kombinera röstautentisering med en integrerad multifaktorsautentisering.

Kombinera röstautentisering med integrerad MFA

Framtidens och nutidens skydd mot AI-klonad röstkapning

Teknik
Det behövs mer avancerad röstautentiseringsteknik som kontrollerar fler aspekter av en persons röst, som ton och rytm. Att bara utgå från röstkaraktär räcker snart inte längre.

Om man dessutom kombinerar röstigenkänning med beteendeanalys, som tittar på talmönster som pauser, tonskiften och stress, ökar svårighetsgraden för AI-kloning. Vi har alla subtila variationer som är ytterst svåra för AI att efterlikna.

Beteende
I en tid av sociala medier kan det kanske kännas svårt för många att begränsa mängden personlig information som delas online, speciellt ljud- och videoklipp. Men då brottslingar kan använda dessa källor för att klona både röst och bild för att utföra bedrägerier och deepfake så vore det nog klokt att försöka vara mer restriktiva.

Dock är ett av de kraftfullaste verktygen för att bygga motståndskraft klart inom räckhåll. Att utbilda er personal på ett bra sätt ökar medvetenheten gällande både förekomsten av bedrägerier och social manipulation och att vara uppmärksam på just AI-driven deepfake och röstkloning. Att personalen är medveten om, och förstår hur bedragare kan använda AI för att replikera röster i syfte att luras och manipulera, gör att man lättare får dem att ifrågasätta alla ovanliga förfrågningar, särskilt de som rör pengar eller känslig information.

 

Hör av dig så hjälper vi er att skapa både en större motståndskraft och en ökad cybertrygghet!

Falsk AI-plattform skickar virus istället för video

Nu sprids nyheter om ett nytt cyberhot kopplat till AI, nämligen fake-AI, där användare presenteras med ett verktyg som för generativ AI som kan skapa en video av en bild. Men istället för en videofil så laddar användaren ner skadlig programvara.

Välkänd risk för dataläckage genom felaktigt använd AI

När vi tydligt ser hur AI blir en naturlig del både av arbetslivet och privatlivet, finns ett växande oro för felanvändning, vilket kan resultera till oavsiktlig spridning av känslig information.
I en cybersäkerhetsrapport ses felaktigt använd AI som en av 2025-års stora risker. Det tydligaste riskområdet är dataläckage och händer när företagets personal delar konfidentiell information, med AI-verktyg för att skapa rapporter och göra analyser, utan att vara medveten om att någon obehörig kan få tillgång till och lagra den känsliga informationen.

Felaktigt använd AI ses som en av 2025-års stora risker

Ny risk med fake-AI: ett finurligt lurendrejeri som ny attackmetod

Då vi ser att användning av AI-verktyg blir vardagsmat för många så använder sig millioner människor dagligen av AI för att skapa innehåll. Detta ger nu cyberkriminella en möjlighet att lansera en ny, och extremt finurlig, attackmetod, fake-AI.

Ett aktuellt exempel som marknadsförs genom annonser på vanliga sociala medier, tex Meta, erbjuder en fantastiskt spännande och tillsynes legitim AI-tjänst för att generera video från bild. Man uppmanas att ladda upp tex en bild, under intrycket att de använder riktig AI, för att generera ett filmklipp där bilden används.

Exempel på annons

 

Laddar ner skadligt program istället för film

När filmen ”skapats av AI-verktyget” instrueras användarna att ladda ner sin genererade film. Tyvärr laddar offren då omedvetet ned en skadlig programvara som ser ut som en mediafil. I en ZIP-fil (arkiv) finns en fil i ett förväntat filformat, tex .mp4 men som i själva verket är en infostealer eller annan skadlig programvara som då installeras av användaren när denne tror sig öppna sitt AI-genererade filmklipp.
Med den skadliga programvaran installerad kan hackaren stjäla känslig information eller fjärrstyra datorn för att åstadkomma annan skada i IT-systemet.

Kommer säker fler varianter

I den här specifika kampanjen känns det skadliga AI-verktyget igen under namn typ VideoDreamMachine, men nya falska verktyg kommer sannolikt att dyka upp, utöver andra liknande kampanjer/tjänster som redan kan vara lanserade...

Policys och utbildning för en ansvarsfull användning av AI

Med ökade risker kopplat till användning av AI så behöver alla företag vara tydliga i sina riktlinjer gällande användning av AI. Med tydliga policys och återkommande utbildning av personalen kan man minska sina risker genom att skapa den nödvändiga kulturen för en ansvarsfull användning av AI genom hela företaget.

Företagsledningen måste leda arbetet och dessutom föregå med gott exempel!

World Password Day

Första torsdagen i maj är det World Password Day, som inte ska förväxlas med ”fössta tossdan i mass” som ju är något helt annat 😉

Lösenord – både en grundläggande komponent och ett problem

Lösenord är både en grundläggande och en ytterst viktig komponent av cybersäkerheten. Paradoxalt nog är lösenord också ett av problemen som cybersäkerheten brottas med.

Intel skapade World Password Day 2013 för att öka medvetenheten om vilken betydelse starka lösenord har för att stärka den digitala säkerheten. Sedan dess har det utvecklats till att vara ett av de mest omtalade händelserna i cybersäkerhetskalendern tillsammans med Cybersecurity Awareness Month i oktober och andra viktiga händelser som Change Your Password Day och Data Privacy Week.

Starka lösenord har stor betydelse för den digitala säkerheten

Uppmärksamhet viktig!

Att lyfta fram vikten av god lösenordshygien är mycket viktig. Nationellt Cybersäkerhetsscenter uppmärksammade World Password Day och deras inlägg ger en värdefull och viktig summering, som är gångbar både för företag och privatpersoner:

World Password Day, en dag för att uppmärksamma vikten av starka och säkra lösenord. Bra lösenord kan vara svåra att skapa och komma ihåg, med de är viktiga för att skydda ditt digitala privatliv mot otillåten åtkomst. Här kommer därför, dagen till ära, några tips:

1. Skapa långa komplexa lösenord. Du kan med fördel skriva ihop en mening som är lätt för dig att komma ihåg men svår för någon annan att gissa, såsom ”jagtyckeromattbadaihavet”.
2. Använd flerfaktorsautentisering. Ju fler faktorer, desto säkrare identifiering.
3. Ha olika lösenord, använd inte samma på flera ställen.
4. Samla dina lösenord i en digital lösenordshanterare.
5. Dela inte dina lösenord med någon annan. Tänk på att myndigheter, banker och seriösa företag aldrig kommer be dig att lämna ut dina lösenord.

Dåligt samvete…?

Det finns många tecken på att kunskapen gällande rekommenderad lösenordshygien är mycket god i Sverige. Dock finns det också rapporter om att väldigt många människor och organisationer inte lever upp till sin egen säkerhetskunskap. Med det kommer en skam runt att man är högst medveten om att man använder och hanterar lösenord på ett undermåligt sätt, vilket tyvärr gör att man skjuter problemet framför sig, vilket då tenderar till att ytterligare förvärra säkerhetsrisken.

Hälften av alla svenskar använder samma lösenord till flera konton, trots att en överväldigande majoritet sannolikt vet att det är förkastligt

Addera erbjuder snabb och praktisk hjälp

Vi hjälper er organisation att implementera en god lösenordshygien och sköter allt det praktiska med allt från nätfiskeresistent tvåfaktorsautentisering till rekommendationer för lösenordshanterare. 

Så slipper ni ha dåligt samvete...