Tilbake til bloggen
Trusselintelligens·14 min lesing

Offentlige WiFi-angrep i 2026 – hva som faktisk skjer og hva som stopper det

«Ikke bruk offentlig WiFi» var et godt råd i 2015. I 2026 er trusselbildet annerledes – de fleste angrep som fungerte for 10 år siden er avverget av HTTPS, HSTS og moderne OS-forsvar. Men noen fungerer fortsatt, og noen er lettere enn de var. Her er det ærlige, oppdaterte kartet over hva som faktisk skjer på fiendtlige nettverk.

Av Casper's Cloak Security Team

Kortversjonen: den klassiske 2015-tidens trussel om at «noen på kafé-WiFi kan lese passordene dine» er stort sett død – HTTPS er overalt, HSTS-forhåndsinnlasting dekker de store nettstedene, og SSL-strippangrep har et mye mindre angrepsflate enn før. Men tre kategorier angrep fungerer fortsatt i 2026, og angriperne har tilpasset seg: evil-twin falske aksesspunkter (gjenskaper et nettverk du stoler på og lar enheten din koble seg til automatisk), captive portal-utnyttelse (splash-siden som tar e-postadressen din eller dytte malware), og trafikkanalyse på metadatalag (kryptert, men observerbar: hvem du snakker med, når, hvor ofte, hvor mye). Tiltakene som faktisk hjelper er: en ekte VPN-tunnel (ikke bare DNS), MAC-randomisering holdt på, ignorering av uønskede captive-portal-legitimasjonsforespørsler, og sikkerhetsstandardene Apple/Google leverer som standard.

Hva som faktisk skjer på et typisk fiendtlig nettverk

Et «fiendtlig nettverk» betyr ikke nødvendigvis at kaféen er ond. Det betyr vanligvis ett eller flere av:

  • Den legitime nettverksoperatøren samler inn data om tilkoblede enheter (svært vanlig i butikker, ganske vanlig på hoteller) for markedsføring eller analyse.
  • En annen gjest kjører observasjonsverktøy på samme subnett (mindre vanlig enn det pleide å være, men trivielt med maskinvare til 2000 kr).
  • En angriper kjører et falskt aksesspunkt i nærheten med samme SSID som et pålitelig nettverk, i håp om at enheten din kobler seg til automatisk.
  • Captive portalen serverer ondsinnet innhold – enten annonseinjeksjon (irriterende), legitimasjonsphishing (skadelig) eller malware-push (sjeldent, men med høy konsekvens).

For de fleste mennesker, de fleste dager, betyr ingen av disse noe i praksis – HTTPS-kryptering beskytter aktive økter, og moderne OS-standarder håndterer de åpenbare tilfellene. Tilfellene som fortsatt betyr noe er når du er på et nettverk lenge nok til at en tålmodig angriper venter deg ut, eller når du blindt aksepterer en captive portals forespørsel, eller når enheten din automatisk kobler seg til det du tror er hjemmenettverket ditt, men ikke er det.

Angrep 1 – Evil twin (falske aksesspunkter)

Hva det er: En angriper tar med seg et bærbart aksesspunkt (en WiFi Pineapple, eller bare en bærbar PC med riktig programvare) innenfor rekkevidde av et mål. De sender ut et SSID som samsvarer med et nettverk enhetene til målet har koblet seg til før – «attwifi», «xfinitywifi», «Starbucks WiFi», hjemmenettverkets navn – og et sterkere signal enn det legitime (eller det legitime er ikke i nærheten i det hele tatt).

Enheten din, som ligger i lommen din, kobler seg automatisk til fordi den ser et «kjent» SSID. Nå er angriperen nettverket: de ser DNS-forespørslene dine (og den ukrypterte trafikken din, selv om det ikke er mye igjen av den), de kan kjøre captive portal-forespørsler, og de kan forsøke andre nedstrømsangrep.

Realiteten i 2026: fungerer fortsatt, med tilpasninger. iOS 14+ og Android 10+ implementerer begge Privat MAC-adresse – enheten din presenterer en annen MAC for hvert SSID, så sporing på tvers av nettverk er vanskeligere. Men det stopper ikke automatisk tilkoblingen; angriperen trenger ikke den ekte MAC-adressen din, de trenger bare at enheten din assosierer. Det som har hjulpet mer er at iOS 16+ eksplisitt advarer om nettverk med dårlig sikkerhet (åpen, WEP, kun WPA) og i økende grad oppfordrer brukere til å unngå automatisk tilkobling; Android 13+ gjør tilsvarende.

Hva som stopper det: Slå av «automatisk tilkobling» for offentlige nettverk (Innstillinger → Wi-Fi → trykk på nettverket → Automatisk tilkobling av på iOS; samme sti på Android med litt andre brukergrensesnittforskjeller). På nettverk du faktisk kobler til, betyr en VPN-tunnel at angriperen-som-nettverk bare ser krypterte bytes – de kan ikke lese trafikken din, injisere innhold eller kjøre captive-portal-legitimasjonsphishing (fordi nettleseren din vil advare om sertifikatmismatch hvis de prøver).

Angrep 2 – Captive portal-utnyttelse

Hva det er: Splash-siden som vises når du kobler til WiFi på et hotell, en flyplass eller en kafé («Godta vilkår for å fortsette»). Portalsiden leveres av nettverkets autentiseringssystem og er, etter design, det første enheten din ser på det nettverket – før VPN-en kan etableres, før HTTPS-advarsler har kontekst, før du virkelig vet hvem som leverer den.

Tre varianter av hvordan dette utnyttes:

  • Legitimasjonsinnhøsting: splash-siden ber om e-postadressen og et passord «for å autentisere». Mange skriver inn passordet de bruker for andre kontoer. Angriperen har nå e-post + passord fra det typiske gjenbruksmønsteret ditt.
  • Drive-by malware-push: splash-siden lenker til «din gratis kaffe-kupong» som er en ondsinnet app-nedlasting. De fleste moderne nettlesere advarer; mobilbrukere trykker gjennom advarsler mer enn desktop-brukere gjør.
  • Innsamling av personopplysninger: splash-siden ber om telefonnummeret ditt «for tilkobling» og du oppgir det. Nå er det i en markedsføringsdatabase, ofte videresolgt.

Realiteten i 2026: captive portal-phishing har blitt mer vanlig, ikke mindre. OS-nivåbeskyttelsene (privat MAC, VPN) hjelper ikke her fordi brukeren frivillig legger inn data. Det som har hjulpet er at iOS 17+ og Android 14+ presenterer captive portaler i en sandkasset nettleser som begrenser eksfiltrasjonsveier – men dataene brukeren skriver inn sendes fortsatt.

Hva som stopper det: Legg aldri inn et passord du bruker andre steder i en captive portal. Legg aldri inn et telefonnummer du bruker til noe viktig. Behandle captive portaler som fiendtlige som standard. Hvis et nettverk krever «registrering» som ber om vesentlig informasjon, forlat det og bruk mobildata den neste timen. Caspers AI-trusseldeteksjon vurderer captive portal-domener på samme måte som SMS-phishing – kjente ondsinnede portaler flagges før du skriver inn noe.

Angrep 3 – Trafikkanalyse på metadatalag

Hva det er: Selv når trafikken din er kryptert (HTTPS, TLS, alle moderne protokoller), kan en observatør på samme nettverk fortsatt se hvem du snakker med, når, hvor ofte, og hvor mye data som flyter. De kan ikke lese innholdet, men de kan bygge en profil av atferden din.

På et fiendtlig WiFi-nettverk betyr dette:

  • Den lokale operatøren kan se at du besøker banken din, helsepersonellet ditt, dating-appen din osv. – selv om de ikke kan se hva du gjør der.
  • Mønstre i trafikkvolum avslører hva du gjør (videostrømming har en karakteristisk form; meldinger har en annen; banktjenester en annen).
  • DNS-forespørsler (med mindre du bruker DoH/DoT/DNS-over-VPN) lekker destinasjoner på vertsnavn-nivå.
  • TLS Server Name Indication (SNI) lekket historisk sett destinasjonen selv når DNS var kryptert – Encrypted Client Hello (ECH) er i ferd med å lukke dette gapet fra 2025–2026.

Realiteten i 2026: ECH-adopsjon er meningsfull (Cloudflare slo det på som standard i slutten av 2024, store nettlesere støtter det i stabile utgivelser), men dekningen er delvis. For nettsteder som ikke har aktivert ECH, lekker SNI fortsatt. Selv med ECH er IP-nivå-tilkoblingsdestinasjon fortsatt observerbar, og IP-til-tjeneste-kartlegginger er offentlige – å koble til en klynge IP-er eid av Meta forteller observatøren at du brukte WhatsApp eller Instagram, selv med alt kryptert.

Hva som stopper det: En full VPN-tunnel. Trafikken din forlater det lokale nettverket med én IP som destinasjon (VPN-endepunktet); det lokale nettverket kan se at du bruker en VPN, men kan ikke se noe utover det. Dette er den enkelt mest virkningsfulle beskyttelsen mot trafikkanalyse på fiendtlige nettverk. DNS-kun-beskyttelse (NextDNS, Cloudflare 1.1.1.1) hjelper med DNS-forespørselskanalen, men adresserer ikke SNI eller IP-nivå-observasjon – for det trenger du tunnelen. Vår dyptgående analyse av begrensninger ved DNS-nivåfiltrering dekker nøyaktig dette gapet.

Angrep som stort sett ikke fungerer lenger

Tre klassiske offentlige WiFi-trusler som veiledninger fra 2015 er besatt av, men som i stor grad er løst i 2026:

SSL strip / SSL split

sslstrip (Moxie Marlinspikes verktøy fra 2009) nedgraderte HTTPS til HTTP på nettverket og omskrev skjemaer – i årevis en kafé-klassiker. I dag: HSTS-forhåndsinnlasting dekker praktisk talt hvert nettsted som håndterer legitimasjon (bank, e-postleverandører, sosiale medier osv.). Nettlesere nekter å nedgradere forhåndsinnlastede domener. Nettsteder uten HSTS finnes, men håndterer sjelden noe en angriper ville ønske å lese.

ARP-spoofing for generell MITM

ARP-spoofing på et delt subnett lar en angriper sette seg inn mellom enheten din og gatewayen. Fungerer fortsatt for LAN-segmentet, men det de får er kryptert trafikk – samme problem som trafikkanalyseangrep ovenfor. «Se passordene dine»-gevinsten er borte med mindre de også kan beseire TLS, noe de typisk ikke kan på forhåndsinnlastede nettsteder.

DNS-spoofing på det lokale nettverket

En fiendtlig nettverksoperatør kan returnere falske DNS-svar for vertsnavn du spør om, og omdirigere deg til phishing-kloner. Dette var effektivt da DNS var ukryptert og TLS-sertifikater var enkle å forfalske. I dag: sertifikattransparens-logger og HSTS-forhåndsinnlasting betyr at phishing-klonen måtte skaffe et gyldig sertifikat for måldomenet (ekstremt vanskelig for populære nettsteder) – og DNS-over-HTTPS / DNS-over-TLS / VPN-rutet DNS beseirer hver for seg spoofingen på DNS-laget. Fungerer fortsatt for ukyndige brukere på små obskure nettsteder; sjelden et problem for den gjennomsnittlige forbrukeren.

Per-plattform-standarder: hva hvert OS gjør for deg

iOS / iPadOS

  • Privat MAC-adresse på som standard for nye SSID-er siden iOS 14
  • Advarsler for WPA2-og-under-nettverk (push mot WPA3) siden iOS 16
  • Automatisk tilkoblingsatferd kan styres per SSID
  • iCloud Private Relay (iCloud+-abonnenter) krypterer Safari-trafikk – se vår Private Relay-dyptanalyse for hva den dekker og ikke
  • VPN-on-Demand-støtte for å utløse Casper automatisk ved tilkobling til upålitelige SSID-er

Android

  • Privat MAC-adresse (kalt «Bruk randomisert MAC») på som standard siden Android 10
  • Privat DNS (DoT) innebygd støtte siden Android 9
  • Per-app VPN-ruting (mer fleksibelt enn iOS)
  • «Verifiser lagrede nettverk»-varsler siden Android 13 – flagger når et kjent SSID har en annen sikkerhetsprofil enn før (potensiell evil twin)
  • Trusseldeteksjon på nettverksnivå i Play Protect

macOS

  • Privat Wi-Fi-adresse siden macOS Sequoia (paritet med iOS)
  • iCloud Private Relay (iCloud+)
  • Innebygd brannmur + Stealth-modus (av som standard – se vår macOS personvernguide)
  • FileVault-kryptering (standard på for nye Mac-er)

Praktisk arbeidsflyt: hva du faktisk bør gjøre når du kobler til kafé-WiFi

  1. Verifiser SSID-en med stedet. «Hva heter WiFi-en din?» – en 3-sekunders sjekk som avverger de fleste evil-twin-angrep. Det falske aksesspunktet har vanligvis et navn som ligner nær det legitime, men ikke eksakt.
  2. Aksepter captive portalen uten å legge inn vesentlig data. «Godta vilkår» – greit. «Skriv inn e-post + passord» – lukk fanen, bruk mobildata. «Skriv inn telefonnummer» – bare hvis du stoler på at dataene ikke selges videre.
  3. Skru på VPN-en din før du gjør noe sensitivt. Noen oppsett (Caspers iOS-app, NetworkExtension auto-utløser) gjør dette automatisk ved tilkobling til nye SSID-er. Vinduet mellom tilkobling til nettverket og VPN-tilkoblingen er når trafikkanalyseangrep er mest eksponert; minimer det.
  4. Ikke koble deg automatisk til nettverket for fremtidige besøk med mindre du stoler på operatøren. Den 5-sekunders kostnaden ved å manuelt koble til hver gang er verdt den 0,01 % sannsynligheten for et evil-twin-angrep på det stedet senere.
  5. Deaktiver Bluetooth / AirDrop hvis du ikke trenger dem på virkelig fiendtlige nettverk. Disse er separate trusselflater fra WiFi, men er ofte samangripet.
  6. Glem nettverket når du drar. Innstillinger → Wi-Fi → trykk på nettverket → Glem. Reduserer fremtidig automatisk tilkoblingseksponering.

Når er en VPN faktisk nødvendig kontra kjekt å ha?

Ærlig talt: på et typisk 5-minutters kafé-besøk der du sjekker e-post og bruker Slack på HTTPS-overalt-tjenester, er den praktiske trusselen lav. TLS-beskyttelsene gjør jobben. En VPN gir forsvar i dybden, men du blir ikke synlig angripet uten en for det meste.

Tilfellene der en VPN faktisk betyr noe:

  • Fiendtlige internasjonale nettverk (hotell-WiFi i utlandet i jurisdiksjoner med aktiv statlig overvåkning, eller kjente fiendtlige konferansenettverk).
  • Lange økter på samme nettverk (jobbe fra en kafé i timevis, hotell-WiFi for et flerdagers opphold) – gir angripere tid og et stasjonært mål.
  • Nettverk av ukjent opprinnelse (WiFi-en på noens lille kontor, nettverket på et lite Airbnb, konferanse-WiFi drevet av hvem-vet).
  • Når sensitive aktiviteter betyr noe – tilgang til helseinformasjon, faktisk bankvirksomhet, alt du ville vært misfornøyd med om en observatør profilerer.
  • For å beseire trafikkanalyseprofiling av nettverksoperatøren, som nesten alltid logger minst metadata.

For disse tilfellene er en ekte VPN-tunnel (ikke bare DNS-nivåfiltrering) det rette tiltaket. Caspers trusselbeskyttelseslag kombinerer WireGuard-tunnelen med AI-basert zero-day-phishingdeteksjon, blokklistefiltrering og per-app-rutingkontroller. Tunnelen er på; krypteringen er ende-til-ende; det lokale nettverket ser krypterte bytes og ingenting annet.

Hva med telefon-hotspot kontra offentlig WiFi?

Telefonens hotspot (mobil-tethering) er dramatisk tryggere enn tilfeldig offentlig WiFi fordi:

  • Du er den eneste enheten på det (ingen andre gjester kjører observasjonsverktøy)
  • Mobiloperatøren er den eneste oppstrømsoperatøren (en kjent enhet, regulert, generelt pålitelig på metadatanivå)
  • Krypteringen er telefonens WPA3-oppsett som du kontrollerer
  • Det er midlertidig – ingen løpende eksponering når du beveger deg

Kostnaden er dataforbruk. For personvernfølsomme økter (bank, helse, sensitivt arbeid) er tethering generelt et bedre standardvalg enn hotell/kafé-WiFi – spesielt hvis du ikke har en VPN konfigurert. De fleste mobilabonnementer inkluderer noe hotspot-data i moderne planer; sjekk før du stoler på det for lange økter.

Bunnlinjen

Offentlig WiFi i 2026 er ikke katastrofesonen fra 2015, og standardrådet («bruk aldri offentlig WiFi») er i økende grad ute av takt med den faktiske trusselmodellen. Den pragmatiske 2026-innrammingen: HTTPS beskytter innholdet i trafikken din; det som gjenstår eksponert er metadataene, captive portalen og den automatiske tilkoblings-angrepsflaten. En VPN lukker metadata- og trafikkanalysegapet. Captive portal-disiplin (ikke skriv passord eller e-postadresser inn i dem) lukker phishinggapet. SSID-verifisering før tilkobling håndterer evil-twin-tilfellet.

Hvis du vil ha alt det automatisert – VPN på, trusseldeteksjon på, DNS-filtrering på, per-app-ruting der du vil ha det – det er det Casper gjør på hvert nettverk du kobler til. Gratis prøveperiode, apper for iPhone, Mac og Android.

Vurdert av Casper's Cloak Security Team · Sist oppdatert

Beskyttelse for kafé- og hotell-WiFi, gjort automatisk

Casper's Cloak kjører en alltid-på WireGuard-tunnel med AI-basert zero-day-phishingdeteksjon på hver tilkobling. iOS/Mac/Android-apper, per-app-ruting, ingen manuell konfigurasjon når du kobler til et nytt nettverk.