Phishing 2026: Nya hot och skyddsåtgärder

Phishing har utvecklats från klumpiga mejl med stavfel till sofistikerade, AI-genererade attacker som är svåra att skilja från legitim kommunikation. 2026 ser vi tre tydliga trender: AI-genererad text, QR-kods-attacker (quishing) och deepfake-baserade röstsamtal.

AI-genererad phishing

Stora språkmodeller har eliminerat de språkliga barriärerna för angripare. Phishing-mejl skrivna av AI saknar de stavfel och grammatikbrister som tidigare var varningssignaler. De anpassas till mottagarens bransch, roll och företag med en precision som tidigare krävde manuell research.

Konsekvensen: du kan inte längre lita på att "dålig svenska" avslöjar phishing. Istället behöver du fokusera på andra indikatorer: avsändaradress (kontrollera domänen noggrant), oväntade bilagor, brådskande tonfall och uppmaningar att klicka på länkar.

Quishing — QR-kods-attacker

QR-koder har blivit vardagliga sedan pandemin — och angriparna har anpassat sig. Quishing innebär att skadliga QR-koder placeras i mejl, fysiska platser (parkering, restauranger) eller till och med i falska officiella brev.

Problemet: QR-koder kringgår traditionella e-postfilter eftersom de är bilder, inte klickbara länkar. Mottagaren skannar koden med sin privata telefon som ofta saknar företagets säkerhetslösningar.

Vishing med deepfake-röst

AI kan nu klona en röst från några sekunders inspelning. Angripare använder detta för att ringa medarbetare och utge sig för att vara VD, ekonomichef eller IT-avdelningen. "Hej, det är Karin från ekonomi. Jag behöver att du gör en brådskande överföring."

Flera svenska företag har rapporterat sådana attacker under 2025-2026. Summan av framgångsrika deepfake-bedrägerier globalt översteg 2 miljarder kronor under 2025.

Tekniskt skydd

■DMARC, DKIM och SPF — Förhindrar att angripare kan skicka mejl som ser ut att komma från din domän. Alla tre ska vara konfigurerade.
■Tvåfaktorsautentisering — Även om lösenordet stjäls via phishing behövs en andra faktor. FIDO2-nycklar (YubiKey) är phishing-resistenta — TOTP-koder är det inte helt.
■Conditional Access — Blockera inloggningar från ovanliga platser, okända enheter eller högrisk-IP:er.
■E-postfiltrering — Moderna lösningar (Proofpoint, Mimecast, Microsoft Defender) analyserar länkar, bilagor och avsändarbeteende.

Organisatoriskt skydd

Verifieringsrutiner: Inför en rutin att alltid verifiera ovanliga förfrågningar via en separat kanal. Om "chefen" ringer och begär en överföring — ring tillbaka på det kända numret, inte det som ringde.

Simulerade phishing-tester: Regelbundna tester ger mätbar data på organisationens motståndskraft och identifierar medarbetare som behöver extra utbildning. Genomsnittlig klickfrekvens sjunker från 30% till under 5% efter 12 månaders träning.

Rapporteringskultur: Gör det enkelt att rapportera misstänkt phishing (en knapp i Outlook/Gmail). Belöna rapportering — bestraffa aldrig. En medarbetare som klickar och rapporterar är bättre än en som klickar och döljer det.

Sammanfattning

Phishing 2026 är sofistikerad och svår att upptäcka med blotta ögat. Tekniska skydd (DMARC, 2FA, e-postfilter) fångar majoriteten, men det mänskliga försvaret — utbildning, verifieringsrutiner och rapporteringskultur — är avgörande för resten.