🕵️ Funksjon
Av · · 7 min lesing

Vi fanger Posten-svindler FØR de når deg: Møt Phishing Radar

Hver natt scanner vi 100.000+ nye domener for å fange phishing-svindel som etterligner DNB, Posten, Vipps, NAV og andre norske merker — ofte timer eller dager før svindlerne rekker å aktivere dem.

Hvorfor norsk-spesifikk phishing-overvåkning betyr alt

Hver dag registreres det over 100.000 nye domenenavn på internett. Mange er helt legitime — bedrifter, blogger, prosjekter. Men en stor del er svindel.

Spesielt nå i 2026 ser vi en tydelig trend: norske merker etterlignes hyppigere enn noensinne. Posten, DNB, Vipps, NAV, Skatteetaten — alle blir kontinuerlig misbrukt av kriminelle som vil lure pengene fra norske borgere.

Problemet er at internasjonale sikkerhetstjenester som Google Safe Browsing og VirusTotal er treige til å fange opp norske svindel-domener. De bruker dager — noen ganger uker — på å oppdage at "posten-toll-norge.com" faktisk er ondsinnet. Innen den tid har svindlerne allerede sendt ut tusenvis av SMSer, og mange har klikket.

"En av tre nordmenn har blitt forsøkt svindlet via SMS det siste året. Det aller verste er at vi ofte oppdager svindelen først ETTER ofrene har tapt penger." — Norsk sikkerhetsekspert, 2025

Det er her vår nye Phishing Radar kommer inn.

Hva er Phishing Radar?

Phishing Radar er en helt ny tjeneste i Mustvedt Sentinel som skanner nye domeneregistreringer hver natt — spesifikt for å fange opp domener som ligner kjente norske merker. Vi bruker offentlige datakilder kombinert med vår egen norsk-tilpassede algoritme for å oppdage svindel før den brukes.

Slik fungerer det i praksis:

Steg 1: Vi henter nye domener fra Certificate Transparency-logger

Hver gang noen får et SSL-sertifikat (alle moderne nettsider gjør dette), blir det loggført offentlig i såkalte "Certificate Transparency"-logger. Dette er en gratis og åpen kilde som viser hver eneste nye nettside-registrering — vanligvis innen minutter.

Steg 2: Vi sammenligner mot 40+ norske merker

Vi har en database med 40+ norske merker fordelt på 8 kategorier:

  • Banker: DnB, Nordea, Sbanken, Sparebank1, Handelsbanken, Storebrand
  • Offentlige tjenester: NAV, Skatteetaten, Helsenorge, ID-porten, Altinn, Politiet, Lånekassen, Vegvesen
  • Logistikk: Posten, Bring, Helthjem, PostNord
  • Telecom: Telenor, Telia, Ice
  • E-handel: Komplett, Elkjøp, Power, Finn, Kid, XXL
  • Strøm: Hafslund, Eviny, Lyse, Tibber
  • Forsikring: Gjensidige, Tryg, Fremtind, Codan
  • Apper: Vipps, MobilePay, Spotify, Netflix og flere

Steg 3: Smart matching-algoritme gir hver match en score

For hvert domene kjører vi det gjennom flere sjekker:

  • Prefix-match: Domener som starter med "posten-..." (f.eks. posten-toll.com) får 75 poeng
  • Suffix-match: Domener som slutter med "-posten" får 70 poeng
  • Typo-squatting: Skrivefeil som psoten.no, postn.no eller poslen.no oppdages med Levenshtein-algoritmen — gir opptil 80 poeng
  • Mistenkelige TLD-er: .xyz, .top, .icu, .live osv. gir +10 bonuspoeng
  • Mistenkelige ord: "toll", "betal", "sikker", "verify" osv. gir +10 poeng
  • Mange bindestreker: Domener med 2+ bindestreker får +5 poeng

Hvert domene får en risikoscore mellom 0 og 100. Domener over 80 markeres som høy risiko.

Steg 4: Vi sender daglige varsler og lagrer i database

Når scanen finner mistenkelige domener, lagres de i vår database. PLUSS-medlemmer ser dem direkte på dashbordet sitt — og når noen skanner en URL i URLSCAN, sjekker vi automatisk mot vår egen radar-database.

Eksempel: Slik kunne vi fanget en faktisk svindel

La oss si at en kriminell registrerer posten-toll-norge.com mandag kl 14:32. Slik ville flyten sett ut:

Mandag kl 23:00: Vår scanner kjører den daglige rutinen. Den finner det nye domenet via Certificate Transparency, sammenligner mot "posten" og gir det en score på 87 (kritisk). Domenet legges automatisk i vår database.

Tirsdag kl 07:15: Christer (admin) får e-post: "Phishing Radar har funnet 14 nye mistenkelige domener siste 24 timer. Topp-treff: posten-toll-norge.com (score 87)."

Tirsdag kl 14:00: Tante Kari får falsk SMS: "Du har en pakke som krever 29 kr toll: posten-toll-norge.com"

Tirsdag kl 14:01: Tante Kari er smart — hun limer URL-en inn i URLSCAN på mustvedt.net før hun klikker.

Resultat: URLSCAN viser umiddelbart RØDT på domenet. "Sentinel Radar" rapporterer: "Likner: posten · Score: 87/100 · Sannsynligvis phishing." Tante Kari sletter SMSen og berger pengene sine.

Hvorfor er dette bedre enn internasjonale tjenester?

1. Norsk-spesifikk dekning

Google Safe Browsing dekker hele verden — som er imponerende, men det betyr også at norske svindel ikke alltid får prioritet. Vi fokuserer 100% på norske merker, så ingen Posten-svindel slipper unna.

2. Raskere reaksjonstid

Vi fanger ofte domener før de blir aktivt brukt i svindel. Mens internasjonale tjenester venter på rapporter fra ofre, fanger vi svindelen mens den fortsatt er i forberedelsesfasen.

3. Norske kontekst-ord

Algoritmen vår vet at "toll", "frakt", "fortolling", "betaling" er typiske svindel-ord brukt mot norske mottakere. En internasjonal tjeneste forstår ikke nyansene i nordmenns digitale hverdag.

4. Verifisert av menneske

Hver mistenkelig match kan manuelt verifiseres som "Phishing" eller "Legitim". Det betyr at falske positiver luker ut over tid, og databasen blir bedre og bedre.

Hvem får tilgang?

Phishing Radar er integrert i alle våre tjenester:

  • Gratis: Når du skanner en URL i URLSCAN, sjekker vi automatisk mot radaren — selv som ikke-betalende bruker.
  • PLUSS: Du får tilgang til hele dashbord-seksjonen med statistikk, daglige treff og mest aktive svindelmål.
  • Enterprise: Egen API-tilgang og mulighet til å legge til bedriftens egne merker for overvåkning.

Test det selv akkurat nå

Du trenger ikke å gjøre noe spesielt for å bruke Phishing Radar. Hver gang du skanner en URL i URLSCAN, er den allerede aktiv.

Hvis du har fått en mistenkelig SMS — fra "Posten", "DNB" eller andre — kan du teste den nå. Lim inn URL-en i URLSCAN og se hva radaren forteller.

Takk for at du leste 🙏

Det betyr mye at du har tatt deg tid til å lese hele veien hit. Mustvedt Sentinel startet som et soloprosjekt for å beskytte familien min mot svindel — og hver person som bruker tjenesten gjør internett litt tryggere for oss alle.

Hvis artikkelen var nyttig, vurdér gjerne å:

  • 📤 Dele den med noen som kunne hatt nytte av den — særlig foreldre, besteforeldre eller kolleger
  • 🔍 Bokmerke mustvedt.net så du har det klart neste gang du får en mistenkelig SMS
  • 📧 Si ifra hvis du har innspill, spørsmål eller forslag — jeg svarer alle: Christer@mustvedt.net

Ha en trygg dag på nett 💛

— Christer

Relaterte artikler

🔍
Guide
Forstå hva Sentinel sjekker i domenet ditt, uten IT-kompetanse
🌐
Guide
Domene-overvåkning i 2026: vit hva som skjer med navnet ditt
📥
Funksjon
Vi lanserer OSINT-recon: Se hva angriperne ser om bedriften din
Få varsler i innboksen

Vil du ha varsler om nye trusler?

Mustvedt Sentinel sender deg e-post hvis e-posten din dukker opp i en lekkasje, eller hvis domenet ditt er under angrep.

Start 7 dager gratis Logg inn