Lektion 05 — Phishing & social engineering

Phishing är inte teknik. Det är psykologi. Tekniken är bara verktyget som levererar lögnen — den som ska gå på den är du, inte din dator.

01Vad phishing är, kort sagt

Någon låtsas vara en sajt eller person du litar på (banken, Postnord, Microsoft, din chef) och ber dig om något: ditt lösenord, en BankID-signering, en överföring, en klick på en länk. Inramningen är gjord för att du ska agera utan att tänka.

02De tre psykologiska tricken

Brådska. "Logga in inom 24 timmar annars stängs ditt konto." När du är stressad slår du inte på reflexen att kolla saker.
Auktoritet. "Skatteverket", "din chef", "Polisen". Vi är uppfostrade att lyssna på myndigheter — phishing utnyttjar det.
Rädsla eller girighet. "Du har fått en återbetalning på 4 380 kr" / "Det finns en obetald skuld på ditt namn". Båda får dig att klicka snabbt.

03Vanliga former i Sverige (2024-2026)

Bank-imitation: "Misstänkt aktivitet på ditt konto — bekräfta identitet med BankID."
Leverans-imitation: "Postnord/DHL: ditt paket väntar på tullavgift." Klassiker.
Skatteverket: "Du har 8 426 kr att hämta. Klicka för att överföra." Skatteverket skickar inte SMS.
Microsoft/Google: "Ditt konto är upplåst" eller "ovanlig inloggning". Riktade mot Office-konton.
BankID-bedrägeri: någon ringer, låtsas vara polisen/banken, och övertalar dig att signera med BankID "för att skydda dig". Du signerar i själva verket en överföring.

04Träna ögat — spotta dem nedan

Här är fyra exempel. Klicka på phishing eller äkta innan du läser förklaringen. Det är bättre att gissa fel här än i mejlinkorgen.

📧 mejl-inkorg 1 av 4

Från: Postnord Sverige <notice@postnord-sverige.com>

Ditt paket väntar — betala tullavgift 49 kr

Hej,

Vi har försökt leverera ditt paket men det finns en obetald tullavgift på 49 kr. Klicka på länken nedan inom 24 timmar annars returneras paketet.

https://postnord-sverige.com/leverans/betala?id=4f2a

Med vänliga hälsningar,
Postnord

vad är det?

Phishing. Markerna:

Domän är postnord-sverige.com — Postnord äger postnord.se. "-sverige.com" finns inte hos dem.
Brådska: "inom 24 timmar".
Pengar in i bilden: 49 kr är medvetet lågt för att kännas "inte värt att stoppa".
Postnord skickar oftast spårningsmail, inte tullkrav. Tullavgifter går via tullverket.

📱 SMS 2 av 4

Avsändare: Skatteverket

Hej! Vi har granskat din deklaration och fastslagit att du har 8 426 kr att få tillbaka. Bekräfta dina kontouppgifter inom 48 timmar:

skatteverket-aterbetalning.se/bankid

vad är det?

Phishing. Markerna:

Skatteverket skickar inte SMS med länk. Aldrig. Återbetalningar går till det konto du angett, inte via "bekräfta".
Domän är skatteverket-aterbetalning.se — Skatteverket äger skatteverket.se. Bindestreck-fusk är ett klassiskt tecken.
Brådska + pengar = standardrecept.
Avsändarnamnet "Skatteverket" är trivialt att förfalska i SMS (SMS-sender-spoofing kräver inte myndighetsbehörighet).

📧 mejl-inkorg 3 av 4

Från: Spotify <no-reply@spotify.com>

Din kvittans för Spotify Premium

Hej Ari!

Tack för din månadsbetalning. Här är din kvittans:

Spotify Premium — 119 kr
Faktureringsperiod: 1 maj – 31 maj 2026

Du kan se alla dina kvittanser i ditt konto: spotify.com/account/order-history

Frågor? Svara på det här mejlet eller besök support.spotify.com.

vad är det?

Äkta. Tecknen som tyder på det:

Domän är spotify.com — den faktiska. Inte spotify-billing.com eller spotify-se.com.
Ingen brådska, inga hot, ingen "klicka här".
Länkar går till officiella undersidor på samma domän.
Det är en kvittans efter en betalning du faktiskt gjorde — inte ett "bekräfta din identitet"-meddelande.
Caveat: mejl som ser ut såhär kan förfalskas. Är du osäker — logga in själv via spotify.com, inte via mejl-länken.

📞 telefonsamtal 4 av 4

Telefonen ringer. På andra änden:

"Hej, jag ringer från Swedbanks bedrägeriavdelning. Vi har upptäckt försök att överföra 18 000 kr från ditt konto. För att stoppa det behöver jag att du signerar med BankID nu — bara klicka Identifiering så stoppar vi överföringen."

vad är det?

Phishing — varianten heter vishing (voice-phishing). Markerna:

Bank ringer inte och ber dig signera BankID. Aldrig. När du signerar "för att stoppa en överföring" så godkänner du i själva verket en överföring till bedragaren.
Brådska + auktoritet ("Swedbanks bedrägeriavdelning") + rädsla ("18 000 kr försvinner") — alla tre samtidigt.
Lägg på. Ring banken på numret som står på deras officiella sajt, inte ett nummer som ringt dig.
2024-2026 är det här Sveriges vanligaste bedrägeriform. Brottsskadeersättning betalas inte ut om du själv signerat med BankID.

05Regler som faktiskt funkar

Klicka aldrig på länkar i mejl/SMS — gå dit själv. Skriv banken.se i webbläsaren manuellt.
Tre sekunders paus innan BankID. Stanna upp. Fråga: varför signerar jag det här just nu?
Avsändarnamn är inte adress. Mejl kan visa "Skatteverket" men komma från vad som helst.
Banker, Skatteverket, Polisen, Försäkringskassan — ringer aldrig och ber om signering eller lösenord. Aldrig.
Använd 2FA via app, inte SMS (lektion 8). Phishing-sajter kan ofta fånga SMS-koder live.

Den klassiska phishing-sajten — statisk kopia + formulär — är 2010-tals teknik. Moderna phishing-kits är realtidsproxy som vidarebefordrar varje steg till äkta site, fångar både lösenord och session cookies, och kringgår de flesta 2FA-implementationer.

01Klassisk vs modern phishing-arkitektur

Klassisk: en statisk kopia av login-sidan. Användaren skriver in lösenord, formuläret postas till anfallarens server, sidan visar "fel lösenord, försök igen" och redirectar till äkta sajt. Anfallaren får lösenordet, användaren märker inget — men 2FA stoppar attacken.

Adversary-in-the-middle (AiTM): phishing-sajten är en realtidsproxy. Användaren skriver lösenord → proxy vidarebefordrar till äkta sajt → äkta sajt skickar 2FA-prompt → användaren svarar → proxy fångar både svaret OCH den autentiserade session-cookien. Resultat: anfallaren kan logga in som användaren även med 2FA aktiverat.

Populära kit: evilginx2, Modlishka, Muraena. Standardverktyg i röda teamet 2022+, vanligt även i kriminella aktioner.

02Domän-tricks

Typosquatting: registrera goggle.com, microsft.com. Användare som typar fel hamnar där.
Subdomain abuse: swedbank.com.evilsite.ru. Användaren ser "swedbank.com" först, men topdomänen är ru.
Bindestreck: skatteverket-aterbetalning.se. Är inte en subdomän, är en ny registrering.
IDN homograph (Punycode): kyrilliska а ser likadan ut som latinska a. аpple.com (med kyrillisk a) renderas i webbläsaren som xn--pple-43d.com — moderna webbläsare visar Punycode för att avslöja det, men inte alla.
TLD-fusk: microsoft.support, microsoft.security — Microsoft äger inte alla TLDs.

03Browser-in-the-browser (BITB)

2022-teknik publicerad av mr.d0x. En phishing-sajt renderar ett falskt webbläsarfönster som ser ut att vara ett popup-fönster med URL-fältet "accounts.google.com". I själva verket är allt HTML/CSS — användaren ser en URL men det är text på en sida, inte ett riktigt webbläsarfönster.

Effektivt mot "logga in med Google/Facebook"-flöden. Användaren tror sig se en äkta OAuth-popup men den är ritad i HTML på phishing-sidan.

Försvar: titta efter äkta webbläsar-chrome — fönstret går att dra ut ur den nuvarande sidan om det är riktigt. Falska BITB-fönster är fångade i sidan.

04Spear phishing & BEC

Spear phishing: riktad attack mot specifik person eller organisation. Anfallaren har OSINT — vet titel, kollegor, projekt. Mejl ser ut att komma från CEO till CFO med specifik faktura.

Business Email Compromise (BEC): spear phishing med fokus på att lura ekonomi-personal att betala fakturor till bedragar-konton. FBI rapporterar ~$50 miljarder globalt 2024. Vanligaste vektorn: kompromettera en e-postkedja och svara med "ny" bankuppgifter i en pågående konversation.

Försvar i organisationer: DMARC/SPF/DKIM på e-postdomäner (förhindrar enklast spoofing), verbal verifiering (ringa, inte mejla) för stora utbetalningar, segregation av attest-roller.

05Psykologin (kort)

Cialdini's Influence (1984) listar sju påverkansprinciper. Phishing utnyttjar oftast tre av dem:

Reciprocity: "vi skickar dig en återbetalning" — gör mottagaren villig att "ge något tillbaka".
Authority: myndighet, chef, expert.
Scarcity/urgency: "24 timmar", "begränsat antal".

Den fjärde är likability — mejl från "kollegan Anna" eller LinkedIn-meddelande från en "rekryterare" som verkar känna dig. Den fungerar specifikt mot mer erfarna mottagare som genomskådar de andra tre.

06Försvar med teknik

Phishing-resistent 2FA: hardware security keys (FIDO2/WebAuthn) signerar med originaldomänen. En phishing-sajt på google-secure.com får inte ut en giltig signatur från en YubiKey som registrerats för google.com. TOTP-koder och SMS kan fortfarande proxas via AiTM.
Passkeys (lektion 9) bygger på samma princip.
Password managers som fyller i lösenord bara på korrekt domän. Om Bitwarden inte föreslår ditt sparade lösenord på en sida som ser ut som banken — då är det inte banken.
DNS-baserat filter (NextDNS, Pi-hole + phishing-listor): blockerar kända phishing-domäner på nätverksnivå.

Phishing & social engineering.

01Vad phishing är, kort sagt

02De tre psykologiska tricken

03Vanliga former i Sverige (2024-2026)

04Träna ögat — spotta dem nedan

05Regler som faktiskt funkar

01Klassisk vs modern phishing-arkitektur

02Domän-tricks

03Browser-in-the-browser (BITB)

04Spear phishing & BEC

05Psykologin (kort)

06Försvar med teknik

Snabb-koll — tre frågor

Lektion 06 — Credential stuffing — varför återanvändning dödar