For et år siden blev det vurderet, at færdige phishing-kits ville stå for halvdelen af alle angreb på loginoplysninger ved udgangen af 2025 – en markant stigning fra omkring 30 procent året før. Resultatet blev endnu højere.

Samtidig blev antallet af kits fordoblet i løbet af året. Hver pakkeløsning kan anvendes til at iværksætte millioner af angreb og udvikles løbende for at blive mere avanceret og effektiv over tid. I løbet af året blev der gentagne gange rapporteret om flere af de mest udbredte værktøjer.

Dette venter i 2026: Phishing-kits 2.0

Både etablerede og nye phishing-kits forventes at anvende værktøjer til at opbygge detaljerede profiler af deres mål. Angribere vil benytte automatiserede metoder til at omgå beskyttelse som flerfaktorgodkendelse – for eksempel ved at stjæle tokens eller videresende legitimationsoplysninger via den rigtige hjemmeside. AI får en stadig større rolle i udviklingen og gør angrebene mere personligt tilpassede.

Forretningsmodellen for næste generations phishing-tjenester bliver mere struktureret med niveauopdelte abonnementer – fra basispakker til avancerede, AI-drevne kampagner.

Ved udgangen af 2026 forventes mere end 90 procent af alle indbrud med henblik på at stjæle loginoplysninger at komme fra phishing-kits, svarende til over 60 procent af alle netfiskeangreb.

Dynamiske metoder til at omgå opdagelse

Angribere bevæger sig væk fra statiske opsætninger og over mod fleksible, situationsbestemte angreb, hvor indholdet ændres afhængigt af enhed, brugeradfærd eller tidspunkt – alt sammen for at undgå at blive opdaget.

Metoder, der forventes at vinde frem:

• Skjult skadelig kode i billed- og lydfiler (steganografi)
• “ClickFix”, hvor brugeren lokkes til at køre en ondsindet kommando, som i hemmelighed er kopieret til udklipsholderen
• Flere delte og indlejrede QR-koder samt nye typer dynamiske QR-koder
• Mere omfattende misbrug af OAuth – det udbredte system til login uden adgangskode.
• Avancerede URL-teknikker, eksempelvis Blob-adresser, der køres lokalt i browseren og derfor er sværere at opdage
• Dynamisk kodeinjektion og fuldstændigt maskeret skadelig kode.

AI-tilpassede kampagner

• Angribere bruger generativ AI til at skabe individuelt målrettede beskeder i stor skala og hurtigt justere deres kampagner
• Angrebene kombinerer ofte kryptering, teknikker til at skjule kode og tilpasningsdygtige payloads
• Forsøg på at manipulere AI-baserede sikkerhedsværktøjer via prompt-injektion og angreb mod AI-agenter forventes at stige.

Tyveri af MFA-koder og nye manipulationer

• Angreb, der stjæler MFA-koder via netfiskeri, er stigende – blandt andet ved at udmatte brugere med gentagne krav om push-godkendelser
• Social engineering rettes mod funktioner som nulstilling af adgangskoder og andre metoder til kontogendannelse
• Angribere forsøger også at få brugere til at skifte til svagere autentificeringsmetoder, som er lettere at omgå.

Flere angreb, der udnytter Captcha

• Avancerede phishing-kampagner bruger Captcha til at skabe en falsk følelse af tryghed og skjule angrebets reelle formål. Ved udgangen af 2026 forventes over 85 procent af alle phishing-angreb at gøre dette
• Angribere går i stigende grad fra legitime Captcha-løsninger til helt falske varianter.

Mere polymorfe metoder

• Polymorfe angreb ændrer løbende indhold, data, leveringsmønstre eller tekniske kendetegn for at omgå signaturbaserede sikkerhedssystemer.
• Teknikker, der forventes at blive mere udbredte, omfatter tilfældige tegnstrenge i emnelinje og brødtekst, camouflerede afsenderadresser, usædvanligt lange overskriftsfelter, små variationer i links samt skiftende filnavne.

Fortsat misbrug af legitime platforme

• Omkring 10 procent af phishing-angrebene i 2025 udnyttede legitime tjenester – et niveau, der ser ud til at fortsætte i 2026
• AI-drevne, kodningsfri platforme gør det samtidig lettere for angribere hurtigt at opbygge og offentliggøre phishing-sider uden teknisk ekspertise.

Angreb mod URL-beskyttelse og maskering

• Misbrug af URL-beskyttelsestjenester, omdirigeringer, sporingslinks og legitimt udseende webadresser fortsætter med at stige. I 2025 indgik disse teknikker i omkring 25 procent af angrebene.

Mere avanceret skadelig software

• Skadelig software forventes at blive mere sofistikeret med flere filfri angreb, der skjuler sig i hukommelsen, samt polymorft indhold, der undgår traditionelle sikkerhedsløsninger
• Tjenester, hvor skadelig software tilbydes som en service, fortsætter med at vokse.

På trods af disse tendenser består velkendte svindelmetoder fortsat – herunder angreb relateret til HR og lønsedler, leverancer, falske MFA-advarsler, skatteoplysninger og fildeling.