Vedlegg og makro-svindel – slik avslører du farlige filer på e-post
Svindlere sender fremdeles falske fakturaer, CV-er og «skatterefusjoner» som Word- eller ZIP-filer. Ett klikk kan aktivere en skjult makro og gi angriperen full kontroll. Slik gjenkjenner, stopper og rapporterer du filsvindel i 2025.
Hvorfor er makro-svindel fortsatt en trussel?
- Makroer = innebygget skript. I Word, Excel og PowerPoint kan makroer automatisere oppgaver – men de kan også hente ned skadevare eller stjele passord.
- Microsoft blokkerte nett-makroer i 2023, men angripere fant omveier:
- Pakker dokumentet i en ZIP- eller 7z-fil.
- Passordbeskytter arkivet («Passord: 1234») for å omgå skanning.
- Lokker deg til å trykke Enable Content manuelt.
- E-postfiltre stanser mye – men ikke alt. Krypterte arkiv og nye filtyper slipper av og til gjennom.
De vanligste fil-fellene i 2025
| Filtype | Typisk lokketekst | Hvis du åpner… |
|---|---|---|
| DOCM (Word + makro) | Faktura_45098.docm | Ber deg aktivere innhold → laster trojaner |
| XLSM (Excel + makro) | Lønnsliste_Q2.xlsm | Skript stjeler BankID-koder |
| PDF med lenke | Skatteoppgjør.pdf | Klikk åpner phishing-side |
| ZIP/7z-arkiv | CV_FredrikKvia.zip (passord 1234) | Inneholder EXE- eller ISO-fil som dropper skadevare |
| LNK-fil | Track&Trace_117.lnk | Snarvei som henter nytt script fra GitHub |
STOPP – TENK – SJEKK før du åpner vedlegg
STOPP: Ikke åpne filer du ikke forventer.
TENK: Kjenner du avsenderen – og pleier hen å sende slike filer?
SJEKK:
- Filendelse: .doc vs. .docm?
- Arkiv: Må du skrive passord for å pakke ut?
- Innholdet: Ber dokumentet deg aktivere makroer?
Sju sikre sjekker
- Se etter doble filendelser (
Faktura.pdf.exe). - Vis filtype i utforsker – stol aldri bare på ikonet.
- Skann med VirusTotal før du åpner.
- Åpne i lesemodus (Word/Excel Read-only).
- Forhåndsvis i OneDrive/Google Drive – makroer kjører ikke der.
- Hold Office & PDF-leser oppdatert – lukk kjente sårbarheter.
- Rapporter mistenkelige e-poster via PlussMobil-appen.
Slik hjelper PlussMobil deg
- DNS‑filter i mobilnettet - PlussTrygg - varsler når du besøker domener som er rapportert som svindelbutikker eller er utrygge på andre måter.
- Digitalt skjold mot spoofing hindrer at svindlere ringer deg for å «bekrefte» betalingen.
- Push‑varsler i PlussMobil‑appen når nye svindelkjeder oppdages.
- Samarbeid med Politiet: Vi deler funn, blant annet om «Hei mamma/pappa»‑svindel, for rask blokkering av mistenkelige adferd.
Har du allerede åpnet et farlig vedlegg?
- Koble fra nettverket (Wi-Fi + mobildata).
- Endre BankID- og e-postpassord fra en ren enhet.
- Kjør full antivirus-skann.
- Kontakt banken hvis du oppga kort- eller kodeinformasjon.
- Meld fra til PlussMobil – vi kan isolere SIM-kortet og aktivere ekstra sperrer.
Les også
- QR‑kode‑svindel – stopp, tenk, skann trygt
- Unngå SMS‑svindel – stopp, tenk, sjekk
- Slik avslører du telefonsvindel
- Falske nettbutikker – 7 sjekker før du handler
- QR‑kode‑svindel – stopp, tenk, skann trygt
- Unngå SMS‑svindel – stopp, tenk, sjekk
Kilder
- Svindel.no – «Vedlegg og makro-svindel»
- Hoxhunt sikkerhetskurs 2025, modul «Malicious attachments»
- Microsoft Security Blog (2024): Macro-based malware: why it persists
- Nasjonal sikkerhetsmyndighet (NSM), Grunnprinsipper for IKT-sikkerhet (2025)