Google går til sak mot AI-drevet svindelnettverk

Google går til sivilt søksmål mot et Kina-basert cyberkriminelt nettverk selskapet kaller Outsider Enterprise. Ifølge Google bruker nettverket AI, Telegram-koordinering og ferdige phishing-sett til å sende SMS-er som lokker ofre inn på falske nettsteder for Google, YouTube, posttjenester, banker og bompengesystemer.

Saken er viktig fordi den viser hvordan generativ AI flytter svindel fra håndverk til fabrikk. Det er ikke lenger én falsk nettside, ett domene og én kampanje. Google beskriver en produksjonslinje for bedrageri, der kriminelle kan spinne opp falske nettsteder, lenker og meldinger raskt nok til at tradisjonell sperring hele tiden kommer på etterskudd.

Ifølge Google er omfanget allerede stort. Selskapet knytter gruppen til 9.000 falske nettsteder og mer enn én million svindel-URL-er. Bare i en toukersperiode i mai ble 55.000 spam-SMS-er flagget av Android-brukere. I samme periode skal nettverket ha sendt 2,5 millioner meldinger til Android-brukere med lenker til nettsteder generert av Outsider Enterprise. Google sier hundretusener av ofre er rammet, med tap anslått til millioner av dollar.

Google sier søksmålet skjer samtidig med koordinering med FBI. Selskapet oppgir også at det vil fortsette å arbeide med AT&T, T-Mobile og Verizon for å blokkere slike meldinger før de når brukerne. Målet er ikke bare erstatning. Google ber retten gi et grunnlag for å slå ned infrastrukturen bak nettverket, blant annet domener, kontoer og distribusjonskanaler.

Dette er en ny fase i AI-sikkerhet. Bedrifter har lenge behandlet phishing som opplæring, e-postfilter og hendelseshåndtering. Det holder dårligere når angriperne kan industrialisere språk, design, lokalisering og variasjon. AI gjør meldinger mer troverdige. Den gjør det også billigere å teste mange versjoner samtidig, tilpasse seg sperringer og etterligne merkevarer uten at hver kampanje må bygges fra bunnen av.

For norske ledere er lærdommen konkret. Svindelrisikoen flytter seg ut av e-postboksen og inn i alle kanaler der virksomheten møter kunder og ansatte. SMS, chat, kundesider, innloggingsflyter og betalingsvarsler blir del av samme angrepsflate. Når svindleren kan bruke AI til å etterligne både språk, kontekst og merkevare, må forsvar bygges rundt identitet og transaksjon, ikke bare rundt tekstgjenkjenning.

CIO-er og CISO-er bør lese dette som et varsel om merkevaremisbruk i stor skala. Spørsmålet er ikke bare om egne systemer blir kompromittert. Spørsmålet er også hvor raskt noen kan bygge en troverdig falsk versjon av virksomheten, sende den til tusenvis av kunder og høste inn passord, kortdata eller engangskoder før sikkerhetsteamet får oversikt.

Det gjør overvåking av domener, SMS-avsendere, falske annonser, supportkontoer og kundevarsler til en del av operasjonell sikkerhet. Mange virksomheter har fortsatt dette spredt mellom IT, juridisk, marked, kundeservice og compliance. AI-drevet svindel tåler ikke slike siloer. Når kampanjene går i høyt volum, må rapportering, takedown og kundevarsling være ferdig øvd.

Saken viser også at plattformene søker mer rettslig dekning for å handle raskt. Google peker på at søksmålet skal gjøre det enklere å koordinere med myndigheter og teleoperatører. Det er relevant for styrer og ledergrupper: store digitale økosystemer vil i økende grad bekjempe AI-svindel gjennom en blanding av tekniske blokkeringer, rettslige pålegg og deling av indikatorer. Virksomheter som er avhengige av disse kanalene, bør vite hvilke bevis de kan levere raskt når eget navn misbrukes.

Google bruker også saken til å presse på for ny amerikansk lovgivning mot svindel, inkludert AI-drevne varianter. Det peker mot et mer regulert rom for digital identitet, meldingskanaler og merkevarebeskyttelse. EU og Norge vil ikke stå utenfor den utviklingen. Når svindelmodellen er global, vil krav til rapportering, sporbarhet og samarbeid følge etter.

For virksomheter som ruller ut AI-agenter, er det en ekstra side ved dette. Jo mer kunder venner seg til automatiserte samtaler og handlinger, desto mer attraktivt blir det å imitere agentene. Tillit til en agent kan ikke bare ligge i stemmen, teksten eller logoen. Den må ligge i verifiserbar avsender, tydelig transaksjonskontroll og kanalstyring.

Den praktiske konklusjonen er enkel: AI-svindel må inn i beredskapsplanen som en egen kategori. Ikke som en variant av vanlig phishing, men som en skalerbar svindelfabrikk som kan misbruke merkevaren, kundereisen og tilliten til digitale assistenter samtidig.

Kilder og medier

Primærkilde: Google, «How we're combatting AI scams with security, legislation and more», 12. juni 2026. https://blog.google/innovation-and-ai/technology/safety-security/combatting-ai-scams/ Kontekst: The Decoder omtaler samme dag Googles søksmål sammen med OpenAIs juni-rapport om Kina-tilknyttede påvirkningsoperasjoner. https://the-decoder.com/google-files-first-joint-lawsuit-with-fbi-over-chinese-ai-scam-network-openai-blocks-prc-influence-clusters/ Thumbnail: OpenAI Image 2 / hogby.ai