Security

E-mailtrusselslandskab Q1 2026: Microsoft-indsigter

3 min læsning

Resumé

Microsoft rapporterer 8,3 milliarder registrerede phishingmails i Q1 2026, mens QR-kode-phishing mere end fordobledes, og kampagner med CAPTCHA-gating udvikler sig hurtigt. Resultaterne er vigtige for sikkerhedsteams, fordi angribere i stigende grad går efter linkbaseret tyveri af legitimationsoplysninger, mens indsatsen mod Tycoon2FA viser, at koordinerede tiltag kan reducere phishingens effekt.

Brug for hjælp med Security?Tal med en ekspert

Introduktion

Microsofts analyse af e-mailtrusler i Q1 2026 fremhæver, hvor hurtigt phishingtaktikker ændrer sig. For IT- og sikkerhedsadministratorer giver rapporten et nyttigt indblik i, hvor angribere fokuserer deres indsats, og hvilke forsvar der bør prioriteres på tværs af Microsoft 365- og Defender-miljøer.

Hvad er nyt i Q1 2026

Microsoft Threat Intelligence registrerede cirka 8,3 milliarder e-mailbaserede phishingtrusler mellem januar og marts 2026. Selvom den samlede månedlige volumen faldt en smule, blev flere angrebsteknikker mere sofistikerede og mere effektive.

Vigtige tendenser

  • QR-kode-phishing steg kraftigt fra 7,6 millioner angreb i januar til 18,7 millioner i marts, en stigning på 146 %.
  • Linkbaseret phishing dominerede og stod for 78 % af e-mailtruslerne i kvartalet.
  • Ondsindede payloads udgjorde 19 % af angrebene i januar, før de faldt til 13 % i februar og marts, hvilket tyder på, at angribere i stigende grad foretrak hostede phishing-sider frem for filbaseret levering.
  • Business email compromise (BEC) forblev et stort problem med 10,7 millioner angreb observeret i Q1.
  • CAPTCHA-gated phishing fortsatte med at udvikle sig, efterhånden som angribere brugte falske verifikationstrin til at bremse automatiseret analyse og øge brugernes tillid.

Effekten af forstyrrelsen af Tycoon2FA

Microsoft fremhævede også effekten af sin forstyrrelse i marts 2026 af Tycoon2FA phishing-as-a-service-platformen. Efter koordineret handling med Europol og partnere faldt e-mailvolumen knyttet til Tycoon2FA med 15 % i resten af marts, og adgangen til aktive phishing-sider blev markant reduceret.

Selvom platformen tilpassede sig ved at skifte hostingudbydere og mønstre for domæneregistrering, siger Microsoft, at genopretningen ser ud til at være delvis snarere end en fuld tilbagevenden til tidligere kapacitet.

Hvorfor det er vigtigt for administratorer

Disse tendenser understreger, at phishing stadig er centreret om tyveri af legitimationsoplysninger, selv om leveringsmetoderne ændrer sig. QR-kode-phishing er særligt bekymrende, fordi det kan få brugere over på ikke-administrerede mobilenheder og dermed omgå nogle traditionelle beskyttelser, der er fokuseret på desktopmiljøer.

For administratorer af Microsoft 365 og Defender er rapporten også en påmindelse om, at forstyrrelsesoperationer har betydning, men ikke eliminerer truslen. Angribere er modstandsdygtige og flytter ofte hurtigt deres infrastruktur efter nedtagninger.

Anbefalede næste skridt

  • Gennemgå beskyttelsen mod QR-kode-phishing i e-mails, vedhæftninger og indlejrede billeder.
  • Styrk forsvaret mod AiTM phishing med phishing-resistant MFA, hvor det er muligt.
  • Overvåg BEC-mønstre, især simpel imitation og generiske outreach-beskeder.
  • Brug registreringer og hunting-værktøjer i Microsoft Defender til at undersøge linkbaseret phishing og mistænkelig payload-aktivitet.
  • Lær brugerne at være forsigtige med QR-koder, CAPTCHA-skærme og uventede godkendelsesanmodninger.

Konklusion

Microsofts data for Q1 2026 viser, at angribere fortsat skifter mod skalerbar, linkdrevet phishing rettet mod legitimationsoplysninger, samtidig med at de eksperimenterer med QR-koder, CAPTCHA-omgåelse og nyere metoder som device code phishing. Sikkerhedsteams bør se disse resultater som et signal om at stramme registrering, styrke identitetsbeskyttelse og opdatere programmer for brugerbevidsthed.

Brug for hjælp med Security?

Vores eksperter kan hjælpe dig med at implementere og optimere dine Microsoft-løsninger.

Tal med en ekspert

Hold dig opdateret om Microsoft-teknologier

Læs den originale artikel af Microsoft Threat Intelligence and Microsoft Defender Security Research Team
SecurityphishingMicrosoft DefenderQR code phishingBEC

Relaterede indlæg

Security

Microsoft Security-opdateringer til Agent 365

Microsoft har annonceret nye sikkerhedsfunktioner på tværs af Agent 365, Defender for Cloud, GitHub Advanced Security og Microsoft Purview. Opdateringerne fokuserer på at forbedre synligheden i AI-agentaktivitet, styrke beskyttelsen fra kode til runtime og accelerere datasikkerhedsundersøgelser for sikkerheds- og IT-teams.

Security

CISO-risikogennemgange: 8 bedste praksisser

Microsoft har offentliggjort en praktisk ramme, der hjælper CISOs og sikkerhedsledere med at gennemføre mere effektive risikogennemgange i takt med stigende AI-understøttede cybertrusler. Vejledningen fokuserer på otte gennemgangsområder – fra aktiver og applikationer til autentificering, autorisation og netværksisolering – for at hjælpe organisationer med at gå fra reaktiv respons til proaktiv risikoreduktion.

Security

Microsoft Sentinel UEBA udvider AWS-detektion

Microsoft Sentinel UEBA tilføjer nu mere avanceret adfærdsanalyse til AWS CloudTrail-data og giver sikkerhedsteams indbygget kontekst som førstegangsgeografi, usædvanlig ISP, usædvanlige handlinger og unormal mængde af operationer. Opdateringen hjælper forsvarsteams med hurtigere at opdage mistænkelig AWS-aktivitet og reducerer behovet for komplekse KQL-baselines og manuel berigelse.

Security

Microsoft AI-forsvar mod nye AI-trusler

Microsoft siger, at AI accelererer, hvordan sårbarheder findes og udnyttes, hvilket forkorter den tid, forsvarere har til at reagere. Som svar udvider virksomheden AI-drevet sårbarhedsopdagelse, exposure management og Defender-baserede beskyttelser, samtidig med at den varsler en ny multi-model scanningsløsning til kunder i juni 2026.

Security

{{Microsoft Defender opdager infiltrerende IT-medarbejdere}}

{{Microsoft har beskrevet detektionsstrategier til at identificere trusselsaktører med tilknytning til Nordkorea, som udgiver sig for at være eksterne IT-ansættelser for at infiltrere organisationer. Vejledningen fokuserer på at korrelere signaler fra HR SaaS, identitet, e-mail, conferencing og Microsoft 365, så sikkerheds- og HR-teams kan opdage mistænkelige kandidater før og efter onboarding.}}

Security

Opportunistiske cyberangreb: Microsofts designguide

Microsoft opfordrer organisationer til at gøre opportunistiske cyberangreb sværere ved at fjerne legitimationsoplysninger, reducere offentlige angrebsflader og standardisere sikre platformsmønstre. Vejledningen er især relevant for teams, der kører Azure-, Dynamics 365- og Power Platform-arbejdsbelastninger i stor skala, hvor inkonsistente arkitekturer og eksponerede hemmeligheder kan gøre lateral bevægelse lettere for angribere.