Domene-overvåkning i 2026: vit hva som skjer med navnet ditt

Tenk deg at du driver et regnskapsbyrå med domenet regn-byraa.no. En morgen ringer en kunde forvirret. De har akkurat betalt en faktura på 84.000 kr fra dere, men nå har de fått purring. Du ser på fakturaen de mottok. Den ser nøyaktig riktig ut. Samme logo, samme kontonummer-format, samme signatur. Men avsender-adressen er fakturering@regn-byrå.no, ikke regn-byraa.no. Forskjell? Én bokstav, og en kunde med 84.000 kr mindre på konto.

Sammenlikning av ekte domene regn-byraa.no og look-alike-domenet regn-byrå.no, registrert av angriper. Forskjellen er aa mot å, men visuell likhet er 92 prosent. — Klassisk look-alike: «aa» byttes ut med «å». For en travel kunde er forskjellen umulig å se i en faktura-PDF.

Dette er ikke et hypotetisk scenario. Det skjer daglig i Norge i 2026, og det vil sannsynligvis treffe enda flere bedrifter i år enn i fjor. Grunnen til at det fungerer er enkel: angriperen visste at look-alike-domenet var ledig, registrerte det først, og du visste det ikke før det var for sent.

Domene-overvåkning er enkelt forklart kontinuerlig sjekk av alt som skjer rundt ditt eget bedriftsnavn på domenenivå. Det dekker fire områder:

Nye registreringer av look-alike-domener (typo-squatting, homoglyf, ekstra bindestrek, alternative TLD-er)
SSL-sertifikat utstedt for ditt domene eller varianter av det (Certificate Transparency-logger)
Endringer i dine egne DNS-records, MX-pekere, SPF/DMARC og WHOIS-data
Omtaler av domenet ditt i lekkasjer, dark-web og phishing-feed

🚨 Hvorfor 2026 er annerledes

For fem år siden måtte en svindler ha en del kompetanse for å bygge en troverdig kopi av en bedriftsside. I dag tar det tolv minutter med en AI som klipper og limer, et look-alike-domene som koster 99 kroner i året, og et gratis SSL-sertifikat fra Let's Encrypt. Volumet har eksplodert.

Tre konkrete forskyvninger som gjør dette mer akutt enn før:

1. Phishing-domener registreres i sanntid og skaleres med AI

Sikkerhets-rapporter for 2025 viser at antall nylig registrerte phishing-domener i Norden er femdoblet siden 2022. Mange er aktive i mindre enn 24 timer før de skifter taktikk eller forsvinner. Hvis du sjekker domenelandskapet manuelt én gang i kvartalet, vil du aldri se mer enn ti prosent av truslene.

2. Falske fakturaer er den dyreste BEC-vinkelen

Business Email Compromise (BEC) ble av FBI rapportert til over 50 milliarder kroner i tap globalt i 2024. I Norge er leverandør-svindel og falske fakturaer den vanligste typen, og det vanligste startpunktet er nettopp et look-alike-domene som ligner på en betrodd leverandør.

3. Certificate Transparency-logger gjør angrep lettere å oppdage, hvis du vet hvor du skal se

Hver gang noen henter et SSL-sertifikat for et nytt domene, blir det loggført offentlig i Certificate Transparency-logger (CT-logger). Dette er gratis, åpne data. En svindler som henter sertifikat for regn-byrå.no dukker opp i CT-loggen samme dag. Men kun bedrifter som monitorerer disse loggene får varsel. Det er nettopp det moderne domene-overvåkning gjør automatisk.

🎯 Fire angrepstyper som domene-overvåkning fanger

Typo-squatting

Domener som ligner deg på små stavefeil. Klassikere er bytte av bindestrek (regn-byraa.no vs regnbyraa.no), bytte av i og l, eller doble bokstaver (regnbyrraa.no). Det er trivielt å registrere alle varianter automatisk, og angripere gjør det rutinemessig mot bedrifter med gjenkjennbare merkenavn.

IDN-homoglyf-svindel

Internasjonale domenenavn (IDN) støtter tegn fra ulike alfabeter. Det betyr at kyrillisk «а» (U+0430) ser identisk ut med latinsk «a» (U+0061), men det er to helt ulike domener. regnbyråа.no (med kyrillisk a på slutten) ser visuelt ut som regnbyråa.no, men er teknisk en helt annen URL. Mange e-postklienter rendrer dette uten advarsel.

Subdomain-overtakelse

Hvis du har et CNAME-record som peker på en sky-tjeneste du ikke lenger bruker (gammel test-server på Heroku, en Azure-instans som ble slettet), kan en angriper i visse tilfeller registrere den frigjorte tjenesten og effektivt eie subdomenet. Resultat: shop.dittfirma.no peker fortsatt på en angriper-side, men det er din fasade som tar støyten.

DNS-/MX-record-endringer

Et angrep kan starte med tilgang til DNS-leverandørens kontrollpanel (kompromittert passord, omgått 2FA), deretter omdirigering av MX-records slik at all e-post går via angriperens server i en periode før de stilles tilbake. Dette er rent og diskret. Eneste måte å oppdage det på er kontinuerlig sammenligning av DNS-snapshots.

🛡 Hva Mustvedt Sentinel monitorerer for deg

Domene-overvåkningen i Mustvedt Sentinel er bygget for å fange opp alle de fire angrepstypene over, automatisk og daglig:

Look-alike-overvåkning. Vi genererer 200+ varianter av domenet ditt (typo-squat, homoglyf, alternativ TLD som .com, .net, .org, .info, .biz, .co) og sjekker hver eneste natt om noen har registrert dem.
Certificate Transparency. Vi abonnerer på CT-loggene og varsler så snart et nytt sertifikat utstedes for ditt domene eller en kjent look-alike.
DNS-overvåkning. Vi tar et snapshot av A-, AAAA-, MX-, NS-, TXT- og CNAME-records hver natt og sammenligner. Endringer som ikke er forventet sender deg et varsel.
WHOIS-overvåkning. Vi følger med på endringer i registrar, eier-info og utløpsdato på domenet ditt. Et endret eier-felt er ofte første tegn på at noen har tatt over kontoen din hos registraren.
Dark-web og lekkasje-omtaler. Hvis domenet eller en e-postadresse fra det dukker opp i en lekkasje, kommer det med på neste rapport.

Alt dette er inkludert i grunn-PLUSS, uten ekstra moduler eller oppsalg.

📍 Konkret: hvordan ser et varsel ut?

Skjermbilde av et domene-varsel fra Mustvedt Sentinel. Header med høy-prio-merke. Domenet regn-byrå.no, registrert 7. mai 2026 kl. 04:12, SSL utstedt fire minutter senere, registrar Namecheap, 92 prosent likhet med ditt eget domene. Anbefalt handling: sjekk WHOIS og varsle kunder. — Slik ser et automatisk varsel ut når Sentinel oppdager at noen har registrert en look-alike av domenet ditt. Her: registrert kl. 04:12, sertifikat hentet 04:18, varsel hos deg innen 06:00.

Et slikt varsel kommer typisk fra Sentinel innen seks til åtte timer etter at look-alike-domenet ble registrert. Til sammenligning: en manuell sjekk i kvartalet ville fanget det 90 dager senere, etter at den første falske fakturaen var ute.

🔧 Hva du kan gjøre selv, allerede i dag

Du trenger ikke en plattform for å begynne. Disse tre stegene tar 30 minutter og gir grunnsikkerhet:

Registrer alternative TLD-er du burde eie. Hvis du eier dittfirma.no, sjekk om dittfirma.com, .org, .eu og bindestrek-varianter er ledige. Registrer de viktigste selv. Kostnaden er 50 til 100 kr per år per domene, og du sparer hundretusener i potensielt tap.
Sett opp en streng DMARC-policy. Dette er en gratis SPF/DKIM/DMARC-konfigurasjon som forteller mottakers e-postserver hva som skal skje med mail som hevder å være fra deg, men kommer fra et annet sted. En streng DMARC-policy (p=reject) blokkerer mange BEC-angrep direkte hos mottaker.
Lær opp ansatte og kunder. Send ut en kort e-post som forteller at all kommunikasjon kommer fra @dittfirma.no, ikke fra @dittfirma-no.com eller liknende varianter. Be kundene ringe ved tvil.

Dette gir deg basis-sikkerhet. Mustvedt Sentinel går videre og fanger angrepene som disse tre stegene ikke dekker, kontinuerlig og uten at du trenger å gjøre noe etter oppsett.

🧭 Oppsummert

I 2026 er ikke spørsmålet om noen kan registrere et domene som ligner ditt. Det er allerede ledig, det koster 99 kroner, og noen vil før eller siden gjøre det. Spørsmålet er om du oppdager det innen seks timer eller seks måneder. Forskjellen mellom de to er ofte forskjellen mellom en kort advarsel og en faktisk svindel-skade på flere hundre tusen kroner.

Du registrerer ditt domene én gang. Du bør overvåke det daglig.

Vil du komme i gang? Domene-overvåkning er inkludert i alle PLUSS-abonnementer. Se prisoversikten, eller send oss spørsmål på Christer@mustvedt.net.