En kraftig ökning av nätfiskeförsök präglade det första kvartalet 2026, visar en ny lägesbild från Cisco Talos.
Andvändningen av AI-modeller för att utföra mer sofistikerade och verklighetstrogna bedrägerier ökar också.
I rapporten Incident Response Trends Q1 2026 sammanfattar Cisco Talos, Ciscos organisation för cyberhotanalys och forskning, det rådande läget kring cyberattacker.
Den starkaste trenden under första kvartalet 2026 är en stor ökning av nätfiskeattacker. Av de attacker som ledde till att obehöriga lyckades göra intrång inleddes fler än en tredjedel med nätfiske.
De mest utsatta branscherna globalt var, för tredje kvartalet i rad, offentlig förvaltning och hälsovård. Totalt drabbades dessa två industrier för nära hälften av den totala mängden attackförsök.
Många av dessa verksamheter blir extra attraktiva mål eftersom de ofta använder ålderstigen infrastruktur. De har också ofta tillgång till känslig data och drabbas av svåra konsekvenser vid driftstopp.
I ett exempel på en nätfiskekampanj mot offentlig förvaltning utnyttjade angriparna Softr, ett AI-baserat verktyg för utveckling av webbapplikationer, för att generera en sida som samlade in autentiseringsuppgifter från användarnas Microsoft Exchange- och Outlook Web Access (OWA)-konton.
Även om det är första gången Cisco Talos har dokumenterat användningen av ett specifikt AI-verktyg i en incident, fins indikationer på att hotaktörer har använt Softrs AI-drivna plattform för att skapa webbapplikationer sedan maj 2023, och att detta sker i allt större utsträckning.
”Denna incident visar hur AI-verktyg kan sänka inträdesbarriären för mindre sofistikerade aktörer och/eller påskynda hastigheten för nätfiske- och insamlingskampanjer för autentiseringsuppgifter. Med hjälp av en formulärmall och ”vibe coding” kan en nätfiskesida som den som används i denna attack snabbt skapas med några få AI-prompter och utan kod. Nätfiskesidor byggda med Softr kan dirigera data till ett externt datalager för engångsbruk, till exempel Google Sheets, och skicka aviseringar om nya datainsamlingar via e-post – allt utan kod”, skriver rapportförfattarna.
Hotaktörer missbrukar AI-modeller både för att underlätta utvecklingen av sofistikerade och personligt anpassade lockbeten och för att skapa malware. DDoS-as-a-service-aktörer använder i allt större utsträckning AI-algoritmer för försvarsundvikande och orkestrering av attacker.
Rapporten bygger på anonymiserad information inhämtad från Cisco Talos. Bolaget övervakar telemetri från fler än 46 miljoner enheter i 193 länder, och tar in information om fler än 880 miljarder säkerhetshändelser – varje dag.
