Phishing i krypto og gaming: slik fungerer kampanjene
Phishing er blitt en industri der ferdiglagde wallet drainers og AI-meldinger tømmer kryptolommebøker på sekunder. Vi forklarer metodene, de største sakene og hvordan du beskytter deg.
Hva er en phishing-kampanje, og hvorfor er kryptobrukere et hovedmål?
Phishing er sosial manipulasjon satt i system. Angriperen utgir seg for å være noen du stoler på, en kryptobørs, en lommebok-leverandør, en spillplattform eller til og med en venn, for å lure deg til å oppgi en hemmelighet eller signere noe du ikke forstår rekkevidden av. En phishing-kampanje er sjelden ett enkelt forsøk; det er en koordinert operasjon med hundrevis eller tusenvis av falske nettsteder, e-poster og meldinger som kjøres samtidig, ofte fra ferdige verktøysett som selges på lukkede forumer.
Hvorfor er nettopp kryptobrukere så utsatt? I vanlig nettbank kan banken reversere en svindeltransaksjon. På blokkjeden finnes ingen angrerett: en signert transaksjon er endelig, det finnes ingen kundeservice som kan trykke «angre», og verdiene forsvinner til en adresse angriperen kontrollerer. Kombinasjonen av selvforvaltning (self-custody), irreversible transaksjoner og pseudonyme mottakere gjør kryptolommebøker til et nesten perfekt mål.
Omfanget er enormt. Chainalysis anslår at svindel og bedrageri i kryptomarkedet stjal rundt 17 milliarder dollar (i størrelsesorden 175 milliarder kroner, regnet med en dollarkurs på rundt 10,40) i 2025, og at det gjennomsnittlige svindelbeløpet steg fra 782 dollar i 2024 til 2 764 dollar, snaut 29 000 kroner, året etter. Rapporten fra Chainalysis peker på at profesjonalisering og automatisering er hoveddriverne bak veksten.
Fra masseutsendt spam til AI-drevne presisjonsangrep
De tidlige phishing-kampanjene var lette å kjenne igjen: klønete e-poster fulle av skrivefeil, sendt til millioner i håp om at noen få bet på kroken. Det bildet er utdatert. I dag skreddersyr angriperne budskapet til det enkelte offeret, en teknikk kalt spear-phishing, og generativ AI gjør jobben både billig og skalerbar.
Kunstig intelligens skriver feilfri norsk, kloner stemmer og lager overbevisende falske profiler i stor skala. Ifølge de samme tallene fra Chainalysis hentet svindeloperasjoner med koblinger til AI-tjenester inn rundt 3,2 millioner dollar per operasjon, mot 719 000 dollar for dem uten slike koblinger, altså 4,5 ganger mer. Impersonasjonssvindel, der angriperen utgir seg for en kjent person eller en organisasjon, økte med over 1 400 prosent fra 2024 til 2025. For deg som bruker betyr det at «magefølelsen» for hva som ser mistenkelig ut, ikke lenger er nok.
Wallet drainers: phishing levert som en tjeneste
Den viktigste endringen de siste årene er industrialiseringen. En wallet drainer er et ferdiglaget skript som tømmer en lommebok automatisk så snart offeret godkjenner en transaksjon på et falskt nettsted. Utviklerne selger verktøyet som en tjeneste, drainer-as-a-service: kundene får programvare, ferdige phishing-sider og et kontrollpanel, mens utviklerne tar en andel, typisk 20 til 30 prosent, av alt som stjeles.
Modellen fungerer skremmende godt. Sikkerhetsselskapet Scam Sniffer registrerte at wallet drainers stjal rundt 494 millioner dollar (godt over 5 milliarder kroner) fra 332 000 lommebokadresser i 2024, en økning på 67 prosent fra året før. Scam Sniffers årsrapport viser at markedet domineres av noen få aktører med navn som Angel, Pink og Acedrainer.
Mest beryktet er Inferno Drainer. Den ble erklært «pensjonert» i 2023, men kom tilbake for fullt: Check Point Research anslår at den nye versjonen rammet over 30 000 lommebøker og tømte mer enn 9 millioner dollar (rundt 95 millioner kroner) mellom september 2024 og mars 2025, blant annet gjennom kaprede Discord-servere. Angrepene distribueres også via forsyningskjeden. I desember 2023 ble en tidligere Ledger-ansatt phishet, npm-kontoen ble kapret, og ondsinnet kode ble lagt inn i selskapets mye brukte Connect Kit, slik at en rekke desentraliserte apper plutselig serverte drainer-kode til intetanende brukere. Ledgers egen hendelsesrapport beskriver hvordan skadevaren, en variant kalt Angel Drainer, rakk å stjele anslagsvis 600 000 dollar (over 6 millioner kroner) før den ble stoppet.
Signaturphishing: én signatur kan tømme lommeboken
Mange tror de er trygge så lenge de aldri oppgir seed phrase (gjenopprettingsfrasen) eller privatnøkkelen sin. Det stemmer ikke. De farligste angrepene ber deg aldri om hemmeligheten din; de ber deg signere noe. I Ethereum-økosystemet gir en approval-signatur en smart contract lov til å flytte tokens på dine vegne. Godkjenner du en ondsinnet kontrakt, via funksjoner som setApprovalForAll eller Permit, kan angriperen tømme den aktuelle tokenen når som helst senere, uten flere klikk fra deg.
Teknikken kalles gjerne ice phishing: lommeboken viser en signaturforespørsel som ser ufarlig ut, ofte uten et tydelig beløp, og offeret godkjenner i god tro. Konsekvensene kan være enorme. Scam Sniffer dokumenterte at ett enkelt offer i august 2024 mistet rundt 55 millioner dollar (rundt 570 millioner kroner) i stablecoinen DAI etter å ha signert en setOwner-forespørsel som overførte eierskapet til en proxy-kontrakt til angriperen. Ingen privatnøkkel skiftet hender; det holdt med én uforsiktig signatur.
Address poisoning: faren gjemmer seg i de midterste tegnene
Address poisoning (adresseforgiftning) utnytter en enkel menneskelig vane: vi kontrollerer som regel bare de første og siste tegnene i en lang lommebokadresse. Angriperen genererer en adresse som starter og slutter likt som en du nylig har brukt, og sender deg en liten transaksjon, ofte med null verdi, slik at «deres» adresse dukker opp i transaksjonshistorikken din. Neste gang du kopierer en adresse fra historikken, risikerer du å lime inn angriperens i stedet.
Kostnaden kan være svimlende. I mai 2024 sendte et offer 1 155 WBTC, verdt rundt 68 millioner dollar (rundt 700 millioner kroner), til en forgiftet adresse som lignet på en de nettopp hadde brukt, ifølge CoinDesk. Saken fikk en uvanlig lykkelig slutt: angriperen returnerte midlene etter en drøy uke, trolig etter press fra blokkjedeetterforskere, men beholdt gevinsten fra kursoppgangen. Chainalysis beskriver metoden som fullstendig automatisert, med skript som forgifter tusenvis av adresser om gangen i håp om at noen få bommer.
Gaming i skuddlinjen: falske spilltester og Discord-feller
Phishing rammer ikke bare DeFi-veteraner. Gamere er et voksende mål, ikke minst fordi mange har både verdifulle spillkontoer og en kryptolommebok på samme maskin. En utbredt kampanje er «Try My Game»-svindelen: du får en direktemelding på Discord eller Steam fra en «utvikler» som ber deg teste et nytt spill. Lenken leder til en overbevisende kopi av en Steam-side eller en Discord-server full av automatiserte kontoer, og «installasjonsfilen» er i virkeligheten en info-stealer, ifølge Malwarebytes.
Skadevare som Nova Stealer, Hexon Stealer og Vidar Stealer 2.0 tømmer nettleserens lagrede passord, session-cookies og kryptolommebøker på sekunder. Sikkerhetsselskapet Kaspersky har anslått over 19 millioner forsøk på å spre spillrelatert skadevare i 2024 og 2025, og i ett tilfelle mistet en NFT-kunstner verdier for 170 000 dollar (rundt 1,8 millioner kroner) i løpet av få timer, melder Bitdefender.
At angrep mot spillbransjen kan få enorme følger, viser Ronin-hacket. Broen bak det populære spillet Axie Infinity ble tømt for rundt 540 millioner dollar (rundt 5,6 milliarder kroner) i mars 2022 etter at en senioringeniør i Sky Mavis ble lokket med et falskt jobbtilbud på LinkedIn og åpnet et infisert PDF-dokument, ifølge The Block. USAs finansdepartement knyttet angrepet til den nordkoreanske Lazarus-gruppen. Ett phishet menneske var alt som skulle til.
Store phishing-hendelser i kryptohistorien
Tabellen under oppsummerer noen av de mest lærerike sakene, og hva de forteller oss om hvordan angriperne faktisk jobber.
| Hendelse | År | Metode | Anslått tap | Kilde |
|---|---|---|---|---|
| Ronin Bridge (Axie Infinity) | 2022 | Spear-phishing (falskt jobbtilbud) | rundt 5,6 mrd. kr | The Block |
| Ledger Connect Kit | 2023 | Forsyningskjede og Angel Drainer | over 6 mill. kr | Ledger |
| Address poisoning (WBTC) | 2024 | Adresseforgiftning | rundt 700 mill. kr (tilbakeført) | CoinDesk |
| setOwner-signatur (DAI) | 2024 | Signaturphishing / ice phishing | rundt 570 mill. kr | Scam Sniffer |
| Inferno Drainer (comeback) | 2025 | Drainer-as-a-service | rundt 95 mill. kr | Check Point |
Fellesnevneren er tydelig: nesten alle sakene starter med at et menneske blir lurt, ikke med at kryptografien blir knekt.
Finanstilsynet, Skatteetaten og det norske trusselbildet
Også norske forbrukere rammes. Finanstilsynet advarer på sine egne sider om kryptosvindel mot at svindlere bruker phishing, falske annonser og sosial manipulasjon for å lokke folk inn i såkalte kryptoinvesteringer. Mønsteret er velkjent: du klikker på en falsk annonse der en kjent nordmann tilsynelatende anbefaler en plattform, du blir bedt om å investere et lite beløp (typisk rundt 300 euro, om lag 3 500 kroner), og deretter ringer en «rådgiver» med et «svært godt tilbud».
Sammen med de europeiske tilsynsmyndighetene har Finanstilsynet advart om at kryptoeiendeler er svært risikable, og gjentar en gyllen regel: gi aldri fra deg BankID-informasjonen din. Ingen seriøs aktør vil kreve den. Fra 2025 gjelder EUs kryptoregelverk MiCA i Norge gjennom EØS-avtalen, noe som stiller strengere krav til registrerte tjenestetilbydere (CASP-er), men et regelverk stopper ikke phishing-sider som opererer helt utenfor loven.
Husk også skattesiden: kryptobeholdning og realiserte gevinster skal rapporteres i skattemeldingen til Skatteetaten, og blir du frastjålet krypto, bør du dokumentere hendelsen grundig og søke råd om den skattemessige behandlingen. Anmeld alltid forholdet til politiet, og varsle børsen din umiddelbart, slik at midlene i beste fall kan spores eller fryses før de forsvinner videre.
Slik beskytter du deg mot phishing
Det finnes ingen brannmur mot menneskelig tillit, men noen enkle vaner reduserer risikoen dramatisk.
- Bruk en hardware wallet (for eksempel Ledger eller Trezor), og les alltid det som vises på selve enheten før du bekrefter. «Clear signing» viser hva du faktisk godkjenner.
- Del aldri seed phrase, privatnøkkel eller BankID. Ingen seriøs støtteavdeling ber om dette, uansett hvor troverdig henvendelsen virker.
- Skriv inn adresser til børser og lommebøker manuelt, eller bruk bokmerker. Ikke klikk på lenker i e-post, direktemeldinger eller annonser.
- Kontroller hele mottakeradressen, ikke bare de første og siste tegnene, for å unngå address poisoning.
- Gå gjennom og trekk tilbake gamle token-godkjenninger jevnlig, for eksempel med verktøy som revoke.cash, slik at en gammel signatur ikke kan misbrukes senere.
- Vær ekstra skeptisk til uoppfordrede spilltester, airdrops og «gratis» tilbud på Discord, Steam og X. Offisielle kampanjer kontakter deg sjelden i en privat melding.
- Bruk en egen brenner-lommebok med lite verdi når du kobler deg til nye eller ukjente apper.
- Hold operativsystem, nettleser og lommebok-programvare oppdatert, og vurder en egen enhet kun for kryptohandel.
Phishing er den svakeste lenken i kryptosikkerhet nettopp fordi angrepet retter seg mot mennesket, ikke mot koden. Den beste beskyttelsen er en sunn skepsis: stopp opp, verifiser gjennom en kanal du selv velger, og husk at på blokkjeden finnes det ingen angreknapp.
Av HOGE Wire-redaksjonen.