Morten Lyhne Petersen
En ny våg av phishing-attacker imiterar Googles säkerhetssida och förvandlar webbläsaren till ett spionverktyg.
Bedragarna lockar offren med vad som ser ut som en officiell varning från Google och en uppmaning att verifiera kontot. Klickar du på länken installeras ett av de mest avancerade övervakningsverktygen som hittills upptäckts i en vanlig webbläsare.
Domänen som används heter google-prism[.]com och imiterar Googles grafiska profil så troget att även vana användare luras, enligt säkerhetsföretaget Malwarebytes som kartlade kampanjen i februari 2026.
Så fungerar attacken steg för steg
Den falska sidan ber besökaren att installera en så kallad Progressive Web App, en webbplats som beter sig som ett vanligt program på datorn eller mobilen. När appen är installerad försvinner webbläsarens adressfält och offret tror att det är fråga om en äkta Google-applikation.
Därefter följer fyra steg som vart och ett låter rimligt för någon som tror att Google ber om en säkerhetsgenomgång. Användaren godkänner notifikationer, delar sina kontakter via Googles inbyggda Contact Picker, lämnar ut sin GPS-position och installerar slutligen vad sidan kallar en ”kritisk säkerhetsuppdatering”.
Den sista filen är en Android-app som begär 33 behörigheter, däribland åtkomst till sms, samtalsloggar, mikrofon och så kallade tillgänglighetstjänster som kan läsa allt som sker på skärmen.
Stjäl tvåfaktorkoder och kryptovalutor
Det som gör den här kampanjen ovanligt allvarlig är att den inte utnyttjar någon säkerhetslucka. Allt sker via behörigheter som offret själv klickar i.
”Den här kampanjen visar hur angripare kan missbruka legitima webbläsarfunktioner genom social manipulation, snarare än att utnyttja en sårbarhet i Googles system”, skriver Malwarebytes i sin analys.
I bakgrunden läser appen av urklippet med jämna mellanrum för att fånga upp lösenord och kryptoadresser, fångar engångskoder för tvåfaktorinloggning via webbläsarens WebOTP-funktion och kontaktar angriparens server var trettionde sekund för nya instruktioner. Den så kallade service workern, en bakgrundsprocess i webbläsaren, fortsätter köra även efter att fliken stängts.
Google: Chrome varnar för sidan
Google har reagerat på rapporten och uppger att skyddet mot sidan redan är aktivt för många användare.
”Säker surfning i Chrome varnar alla användare som försöker besöka den här sidan”, uppger företaget i en kommentar till Fox News. Företaget tillägger att Chrome också visar en bekräftelseruta varje gång någon försöker ladda ned en APK-fil, och att Google Play Protect blockerar kända varianter av skadlig kod på Android-enheter.
Google har också utfärdat en bredare varning under 2026. I sin bedrägeriguide för juni uppmanar företaget användare att aldrig klicka på länkar i oväntade säkerhetsmejl, utan i stället gå direkt till tjänstens officiella webbplats.
Tre tecken som avslöjar den falska sidan
Det finns tre praktiska kontrolltecken som svenska användare kan luta sig mot.
Det första är adressfältet. Googles riktiga säkerhetsverktyg ligger alltid på myaccount.google.com. Om adressen ser annorlunda ut, eller om adressfältet helt försvunnit efter att du klickat dig vidare från ett mejl, är det med stor sannolikhet en bluff.
Det andra tecknet är installationskravet. Google ber aldrig användare att installera en separat säkerhetsapp via en pop-up. Om en sida säger att du behöver lägga till en ”säkerhetsmodul” eller en ”kritisk uppdatering” utanför Google Play eller App Store är det en tydlig varningsflagga.
Det tredje är behörighetslistan. En riktig kontogenomgång hos Google ber aldrig om åtkomst till dina kontakter, din position eller dina sms. När en sida börjar samla in den typen av data under namnet ”säkerhetskontroll” är det dags att stänga fliken direkt.
Bedrägerierna ökar i Sverige
Den nya kampanjen kommer i en period då de digitala bedrägerierna växer snabbt i Sverige. Under 2025 anmäldes 232 862 bedrägeribrott, en ökning med en procent jämfört med året innan, enligt Brottsförebyggande rådets slutliga statistik. Kortbedrägeri utan fysiskt kort, en kategori som ofta kopplas till just phishing, ökade samtidigt med tio procent.
Med över 133 000 registrerade målsägare under ett enda år är risken att stöta på en falsk Google-sida konkret även för svenska användare. Den som vänjer sig vid att alltid skriva in myaccount.google.com manuellt – och som aldrig installerar säkerhetsappar via en pop-up – har redan slagit undan benen på de vanligaste varianterna av bluffen.
