När din app blir en angreppsyta

2026-03-01, Söndagar kl.15:

Det är lätt att tro att cyberangrepp främst riktas mot ministrar, generaler eller storbolags-VD:ar.

Men den tyska säkerhetstjänsten (BfV) och den federala IT-säkerhetsmyndigheten (BSI) har nyligen varnat för något mer subtilt: statligt stödda aktörer har riktat in sig på personer i nyckelpositioner via appar som Signal – utan malware och utan att utnyttja tekniska sårbarheter.

Angreppen bygger i stället på social ingenjörskonst. 

Det är användaren – under stress – som aktiverar funktionen.

Vad händer? 

Två huvudsakliga metoder har identifierats:

1. Falsk support och kontokapning

Angriparen utger sig för att vara support och lurar offret att lämna PIN-kod eller verifieringskod. Kontot registreras på angriparens enhet och offret låses ute.

2. QR-kod och tyst övervakning

Offret övertalas att skanna en QR-kod som kopplar kontot till angriparens enhet via funktionen för länkade enheter. Resultatet: full insyn i chattar och kontaktlistor.

Liknande metoder har observerats även mot WhatsApp. 

Inga tekniska buggar. Ingen avancerad kod. Bara manipulation.

Och vad har detta med Sverige att göra? 

I vårt nätverk finns många som arbetar med energi, produktion, infrastruktur och tekniksystem. Man kanske inte känner sig som en “nyckelperson”. Men ur ett samhällsperspektiv är många av oss det.

Svensk polis och säkerhetsaktörer har återkommande också varnat för kapade Facebook-konton som används för bedrägerier, vidare intrång och kartläggning. Metoden är densamma: phishing, falska supportmeddelanden eller länkade enheter som användaren själv godkänner.

Facebook är särskilt attraktivt eftersom:

• Kontaktlistor och nätverk är omfattande

• Messenger används även för yrkesrelaterade samtal

• Identiteten i sig är värdefull för vidare manipulation

Det handlar alltså inte bara om privata bilder – utan om relationer och strukturer.

Varför är detta relevant för oss? 

1. Låg kostnad – hög skalbarhet. Social ingenjörskonst är billig och kan riktas brett.

2. Gruppchattar ger systeminsyn. Projekt, tekniska diskussioner och organisationsinformation finns ofta i appar.

3. Industri är strategisk infrastruktur. Informationsinhämtning behöver inte vara dramatisk för att vara värdefull.

Vad bör vi göra? 

1. Dela aldrig autentiseringsuppgifter - PIN-koder, verifieringskoder och engångskoder är nycklar. Ingen seriös plattform ber dig skicka dem via meddelande.

2. Aktivera extra inloggningsskydd - Använd tvåfaktorsautentisering eller motsvarande skydd där det finns. Det är ett av de mest effektiva sätten att stoppa kapning.

3. Kontrollera anslutna enheter regelbundet - Se vilka datorer, telefoner eller surfplattor som är kopplade till ditt konto.Ta bort enheter du inte känner igen.

4. Var skeptisk mot brådskande uppmaningar - ”Ditt konto stängs om 5 minuter” är en klassisk stress-trigger. Stress är en varningssignal – inte en handlingssignal.

5. Använd unika och starka lösenord - Återanvändning är en av de vanligaste orsakerna till kontokapning.

6. Granska tredjepartsappar och behörigheter - Ta bort kopplingar du inte längre använder eller känner igen.

7. Skanna inte QR-koder eller klicka på inloggningslänkar på uppmaning av okända kontakter - Många moderna angrepp utnyttjar legitima funktioner.

De flesta moderna kontokapningar sker inte genom att någon “hackar sig in”. De sker genom att vi själva – under tidspress eller förtroende – öppnar dörren. Det här är inte en teknisk fråga. Det är en beteendefråga.

Och det gör den relevant för oss alla.

Digital hygien är en del av resiliens 

Vi har tidigare talat om källtillit. Nu behöver vi också tala om plattformstillit – att förstå hur verktygen fungerar och var den mänskliga svagheten finns.

Tekniken är i grunden robust. Men inget system är starkare än omdömet hos den som använder det.

Vi kan inte eliminera risk. Men vi kan höja tröskeln.

Och i en tid där informationsinhämtning är billig och skalbar är just höjd tröskel ett konkret bidrag till robust industri och ett fungerande samhälle.

Ta fem minuter i veckan och se över dina inställningar. Det är en liten investering – med potentiellt mycket hög avkastning.

Vi fortsätter bygga både teknik och omdöme tillsammans.

/HenricVD för Sustainability Circle

 ---------------------------------------------------------------------------------------------------------

Vill du läsa mer?

Transparens är en del av digital resiliens. Här är de källor som ligger till grund för texten:

• Polismyndigheten – Nätfiske (phishing)

• Bundesamt für Sicherheit in der Informationstechnik (BSI) & Bundesamt für Verfassungsschutz (BfV) – Gemensam säkerhetsvarning om phishing via meddelandetjänster (PDF)

#Nyhetsbrev #Driftsäkerhet #Hållbarhet #Phishing #Cybersäkerhet