Kortversionen: det klassiska hotet från 2015 — "någon på kafé-WiFi kan läsa dina lösenord" — är i stort sett dött. HTTPS finns överallt, HSTS preload täcker de stora sajterna, och SSL strip-attacker har en mycket mindre attackyta än förut. Men tre kategorier av attacker fungerar fortfarande 2026, och angriparna har anpassat sig: evil-twin rogue APs (återskapar ett nätverk du litar på och låter din enhet ansluta automatiskt), captive portal-utnyttjande (inloggningssidan som ber om din e-post eller pushar skadlig kod), och trafikanalys på metadatanivå (krypterat men observerbart: vem du kommunicerar med, när, hur ofta, hur mycket). Åtgärderna som faktiskt hjälper är: en riktig VPN-tunnel (inte bara DNS), MAC-randomisering aktiverad, ignorera oönskade captive portal-lösenordsuppmaningar och de säkerhetsinställningar som Apple/Google levererar som standard.
Vad som faktiskt händer på ett typiskt fientligt nätverk
Ett "fientligt nätverk" behöver inte innebära att kaféet är skurkaktigt. Det betyder vanligtvis ett eller flera av följande:
- Den legitima nätverksoperatören samlar in data om anslutna enheter (extremt vanligt inom detaljhandeln, ganska vanligt på hotell) för marknadsföring eller analys.
- En annan besökare kör observationsverktyg på samma undernät (mindre vanligt än förut, men trivialt med hårdvara för 2 000 kr).
- En angripare kör en falsk accesspunkt i närheten med samma SSID som ett betrott nätverk, i hopp om att din enhet ansluter automatiskt.
- Captive portalen serverar skadligt innehåll — antingen annonsinjektion (irriterande), nätfiske efter inloggningsuppgifter (skadligt) eller skadlig kod (sällsynt men med stor påverkan).
För de flesta människor, de flesta dagar, spelar inget av detta någon praktisk roll — HTTPS-kryptering skyddar dina aktiva sessioner och moderna OS-standarder hanterar de uppenbara fallen. De fall som fortfarande spelar roll är när du befinner dig på ett nätverk tillräckligt länge för att en tålmodig angripare ska kunna avvakta, eller när du blint accepterar en captive portals begäran, eller när din enhet automatiskt ansluter till vad du tror är ditt hemnätverk men inte är det.
Attack 1 — Evil twin (falska accesspunkter)
Vad det är: En angripare tar med sig en portabel accesspunkt (en WiFi Pineapple, eller bara en laptop med rätt programvara) in i räckhåll för ett mål. De sänder ett SSID som matchar ett nätverk som målets enheter tidigare har anslutit till — "attwifi", "xfinitywifi", "Starbucks WiFi", ditt hemnätverks namn — med en starkare signal än den legitima (eller den legitima är inte alls i räckhåll).
Din enhet, liggande i fickan, ansluter automatiskt eftersom den känner igen ett "känt" SSID. Nu är angriparen nätverket: de ser dina DNS-frågor (och din okrypterade trafik, men det finns inte mycket av det kvar), de kan köra captive portal-uppmaningar och de kan försöka utföra andra nedströmsattacker.
Verkligheten 2026: fungerar fortfarande, med anpassningar. iOS 14+ och Android 10+ implementerar båda privat MAC-adress — din enhet presenterar olika MAC-adresser för varje SSID, vilket gör spårning mellan nätverk svårare. Men det stoppar inte det automatiska anslutningsbeteendet; angriparen behöver inte din riktiga MAC, de behöver bara att din enhet associerar. Det som hjälpt mer är att iOS 16+ tydligt varnar för nätverk med svag säkerhet (öppna, WEP, bara WPA) och i allt högre grad avråder användare från automatisk anslutning; Android 13+ gör liknande.
Vad som stoppar det: Stäng av "automatisk anslutning" för offentliga nätverk (Inställningar → Wi-Fi → tryck på nätverket → Auto-Join Av på iOS; samma väg på Android med något annorlunda gränssnitt). På nätverk du faktiskt ansluter till innebär en VPN-tunnel att angriparen-som-nätverk bara ser krypterade bytes — de kan inte läsa din trafik, injicera innehåll eller framgångsrikt utföra nätfiske via captive portal (eftersom din webbläsare varnar om certifikatsmatchningsfel om de försöker).
Attack 2 — Captive portal-utnyttjande
Vad det är: Välkomstsidan som visas när du ansluter till WiFi på ett hotell, en flygplats eller ett kafé ("Godkänn villkor för att fortsätta"). Portalsidan serveras av nätverkets autentiseringssystem och är, av design, det första din enhet ser på det nätverket — innan din VPN kan etableras, innan HTTPS-varningar har kontext, innan du riktigt vet vem som servar det.
Tre varianter av hur detta utnyttjas:
- Insamling av inloggningsuppgifter: välkomstsidan ber om din e-post och ett lösenord "för att autentisera". Många anger det lösenord de använder för andra konton. Angriparen har nu e-post + lösenord från ditt typiska återanvändningsmönster.
- Drive-by-skadlig kod: välkomstsidan länkar till "ditt gratis kafékupong" som är en skadlig appnedladdning. De flesta moderna webbläsare varnar; mobilanvändare trycker igenom varningar oftare än datoranvändare.
- Insamling av personuppgifter: välkomstsidan ber om ditt telefonnummer "för anslutning" och du ger det. Nu finns det i en marknadsföringsdatabas, ofta vidareförsålt.
Verkligheten 2026: nätfiske via captive portal har blivit vanligare, inte mindre vanligt. Skydden på OS-nivå (privat MAC, VPN) hjälper inte här eftersom användaren frivilligt anger data. Det som hjälpt är att iOS 17+ och Android 14+ presenterar captive portaler i en sandlåda-mini-webbläsare som begränsar exfiltreringsvägar — men den data användaren skriver in skickas ändå.
Vad som stoppar det: Ange aldrig ett lösenord du använder på andra ställen i en captive portal. Ange aldrig ett telefonnummer du använder till något viktigt. Behandla captive portaler som fientliga som standard. Om ett nätverk kräver "registrering" som ber om substantiell information, lämna det och använd mobildata nästa timme. Caspers AI-hotdetektering bedömer captive portal-domäner på samma sätt som SMS-nätfiske — kända skadliga portaler flaggas innan du skriver något.
Attack 3 — Trafikanalys på metadatanivå
Vad det är: Även när din trafik är krypterad (HTTPS, TLS, alla moderna protokoll) kan en observatör på samma nätverk fortfarande se vem du kommunicerar med, när, hur ofta, och hur mycket data som flödar. De kan inte läsa innehållet, men de kan bygga upp en profil av ditt beteende.
På ett fientligt WiFi-nätverk innebär detta:
- Den lokala operatören kan se att du besöker din bank, din vårdgivare, din dejtingapp, osv. — även om de inte kan se vad du gör där.
- Mönster i trafikvolym avslöjar vad du gör (videoströmning har en distinkt form; meddelanden har en annan; bankärenden har en annan).
- DNS-frågor (om inte DoH/DoT/DNS-över-VPN används) läcker mål på värddatorsnivå.
- TLS Server Name Indication (SNI) läckte historiskt destinationen även när DNS var krypterat — Encrypted Client Hello (ECH) stänger detta gap från och med 2025–2026.
Verkligheten 2026: ECH-adoptionen är meningsfull (Cloudflare aktiverade det som standard i slutet av 2024, stora webbläsare stöder det i stabila utgåvor) men täckningen är partiell. För sajter som inte har aktiverat ECH läcker SNI fortfarande. Även med ECH är IP-nivå-anslutningens destination fortfarande observerbar, och IP-till-tjänst-mappningar är offentliga — att ansluta till ett kluster av IP-adresser ägt av Meta berättar för observatören att du använde WhatsApp eller Instagram, även med allt krypterat.
Vad som stoppar det: En fullständig VPN-tunnel. Din trafik lämnar det lokala nätverket destinerad till en IP-adress (VPN-slutpunkten); det lokala nätverket kan se att du använder en VPN men kan inte se något bortom det. Detta är det enskilt mest verkningsfulla skyddet mot trafikanalys på fientliga nätverk. DNS-only-skydd (NextDNS, Cloudflare 1.1.1.1) hjälper med DNS-frågekanalen men åtgärdar inte SNI eller IP-nivåobservation — för det behöver du tunneln. Vår djupdykning i begränsningarna med DNS-filtrering täcker exakt detta gap.
Attacker som mestadels inte fungerar längre
Tre klassiska offentliga WiFi-hot som guider från 2015 är besatta av men som i stor utsträckning är lösta 2026:
SSL strip / SSL split
sslstrip (Moxie Marlinspikes verktyg från 2009) nedgraderade HTTPS till HTTP på nätverket och omskrev formulär — i åratal en kafé-klassiker. Idag: HSTS preload täcker praktiskt taget varje sajt som hanterar inloggningsuppgifter (bank, e-postleverantörer, sociala medier, osv.). Webbläsare vägrar att nedgradera förladdade domäner. Sajter utan HSTS finns men hanterar sällan något som en angripare skulle vilja läsa.
ARP-spoofing för allmän MITM
ARP-spoofing på ett delat undernät låter en angripare placera sig mellan din enhet och gatewayen. Fungerar fortfarande för LAN-segmentet, men vad de får är krypterad trafik — samma problem som trafikanalysattacken ovan. Utdelningen av "se dina lösenord" är borta om de inte också kan besegra TLS, vilket de typiskt inte kan på förladdade sajter.
DNS-spoofing på det lokala nätverket
En fientlig nätverksoperatör kan returnera falska DNS-svar för värdnamn du söker, och omdirigera dig till nätfiskeklonar. Detta var effektivt när DNS var okrypterat och TLS-certifikat var lätta att förfalska. Idag: transparensloggar för certifikat och HSTS preload innebär att nätfiskeklonen skulle behöva skaffa ett giltigt certifikat för måldomänen (extremt svårt för populära sajter) — och DNS-over-HTTPS / DNS-over-TLS / VPN-dirigerad DNS besegrar var och en spoofingen på DNS-lagret. Fungerar fortfarande för okunniga användare på små, obskyra sajter; sällan ett problem för den genomsnittlige konsumenten.
Per plattform: vad varje OS gör åt dig
iOS / iPadOS
- Privat MAC-adress aktiverad som standard för nya SSID:n sedan iOS 14
- Varningar för WPA2-och-under-nätverk (tryck mot WPA3) sedan iOS 16
- Automatisk anslutning kontrollerbar per SSID
- iCloud Private Relay (iCloud+-prenumeranter) krypterar Safari-trafik — se vår Private Relay-djupdykning för vad den täcker och inte täcker
- VPN-on-Demand-stöd för att utlösa Casper automatiskt på icke-betrodda SSID:n
Android
- Privat MAC-adress (kallas "Använd randomiserad MAC") aktiverad som standard sedan Android 10
- Privat DNS (DoT) inbyggt stöd sedan Android 9
- VPN-routing per app (mer flexibelt än iOS)
- "Verifiera sparade nätverk"-aviseringar sedan Android 13 — flaggar när ett känt SSID har en annan säkerhetsprofil än tidigare (potentiell evil twin)
- Hotdetektering på nätverksnivå i Play Protect
macOS
- Privat Wi-Fi-adress sedan macOS Sequoia (paritet med iOS)
- iCloud Private Relay (iCloud+)
- Inbyggd brandvägg + smygesläge (inaktiverat som standard — se vår macOS integritetsguide)
- FileVault-kryptering (aktiverat som standard på nya Mac-datorer)
Praktiskt arbetsflöde: vad du faktiskt ska göra när du ansluter till kafé-WiFi
- Verifiera SSID:t med etablissemanget. "Vad heter ert WiFi?" — en 3-sekunders kontroll som besegrar de flesta evil-twin-attacker. Den falska AP:n har vanligtvis ett namn som liknar det legitima men inte är exakt detsamma.
- Acceptera captive portalen utan att ange substantiell data. "Godkänn villkor" — okej. "Ange din e-post + lösenord" — stäng fliken, använd mobildata. "Ange ditt telefonnummer" — bara om du litar på att den datan inte säljs vidare.
- Aktivera din VPN innan du gör något känsligt. Vissa inställningar (Caspers iOS-app, NetworkExtension automatisk trigger) gör detta automatiskt när du ansluter till nya SSID:n. Fönstret mellan att ansluta till nätverket och att VPN:en ansluter är när trafikanalysattacker är mest exponerade; minimera det.
- Anslut inte automatiskt till nätverket vid framtida besök om du inte litar på operatören. Den 5-sekunders kostnad att manuellt ansluta varje gång är värd den 0,01 % sannolikheten för en evil-twin-attack på den platsen senare.
- Inaktivera Bluetooth / AirDrop om du inte behöver dem på verkligt fientliga nätverk. Dessa är separata hotytor från WiFi men attackeras ofta tillsammans.
- Glöm nätverket när du lämnar. Inställningar → Wi-Fi → tryck på nätverket → Glöm. Minskar exponering för automatisk anslutning i framtiden.
När är en VPN faktiskt nödvändig jämfört med trevlig att ha?
Ärligt talat: vid ett typiskt 5-minuters kafé-besök där du kollar e-post och Slack på HTTPS-överallt-tjänster är det praktiska hotet lågt. TLS-skydden gör jobbet. En VPN ger försvar på djupet, men du attackeras inte synligt utan en de flesta gångerna.
De fall där en VPN faktiskt spelar roll:
- Fientliga internationella nätverk (hotell-WiFi utomlands i jurisdiktioner med aktiv statlig övervakning, eller kända fientliga konferensnätverk).
- Långa sessioner på samma nätverk (jobba från ett kafé i timmar, hotell-WiFi under ett flerdagarsuppehåll) — ger angripare tid och ett stationärt mål.
- Nätverk med okänt ursprung (WiFi:t på någons lilla kontor, nätverket på ett litet Airbnb, konferens-WiFi drivet av vem-vet).
- När känsliga aktiviteter spelar roll — åtkomst till hälsoinformation, riktigt bankärende, vad som helst du skulle vara missnöjd med att en observatör profilerar.
- För att motverka trafikanalys-profilering av nätverksoperatören, som nästan alltid loggar åtminstone metadata.
I dessa fall är en riktig VPN-tunnel (inte bara DNS-filtrering) rätt åtgärd. Caspers hotskyddslager paketerar WireGuard-tunneln med AI-baserad nolldagsdetektering av nätfiske, blocklistefiltrering och per-app-routingkontroller. Tunneln är på; krypteringen är end-to-end; det lokala nätverket ser krypterade bytes och inget annat.
Vad gäller telefon-hotspot jämfört med offentligt WiFi?
Din telefons hotspot (mobildelning) är dramatiskt säkrare än slumpmässigt offentligt WiFi eftersom:
- Du är den enda enheten på det (inga andra besökare som kör observationsverktyg)
- Operatören är den enda upstream-operatören (en känd enhet, reglerad, generellt pålitlig på metadatanivå)
- Krypteringen är din telefons WPA3-inställning som du kontrollerar
- Det är tillfälligt — ingen pågående exponering när du förflyttar dig
Kostnaden är dataanvändning. För integritetskänsliga sessioner (bank, sjukvård, känsligt arbete) är delning av mobildata generellt ett bättre standardval än hotell/kafé-WiFi — särskilt om du inte har en konfigurerad VPN. De flesta operatörer inkluderar lite hotspot-data i moderna abonnemang; kontrollera innan du förlitar dig på det för långa sessioner.
Slutsats
Offentligt WiFi 2026 är inte katastrofzonen från 2015, och standardrådet ("använd aldrig offentligt WiFi") är alltmer oförenligt med den faktiska hotmodellen. Den pragmatiska inramningen för 2026: HTTPS skyddar innehållet i din trafik; det som förblir exponerat är metadata, captive portalen och ytan för automatisk anslutning. En VPN stänger metadata- och trafikanalysgapet. Disciplin kring captive portaler (skriv inte lösenord eller e-postadresser i dem) stänger nätfiskegapet. SSID-verifiering innan du ansluter hanterar evil-twin-fallet.
Om du vill ha allt det automatiserat — VPN på, hotdetektering på, DNS-filtrering på, per-app-routing där du vill ha det — det är vad Casper gör på varje nätverk du ansluter till. Gratis provperiod, appar för iPhone, Mac och Android.