Cyberkoll
Studie · juli 2026

Vi granskade 100 svenska hotell, campingar och stugbyar utifrån. 85 går att förfalska mejl ifrån.

En passiv extern genomgång av oberoende svenska boendeanläggningar med egen bokning på egen domän. Vi loggade aldrig in och rörde aldrig något system. Vi tittade bara på det vem som helst kan se från utsidan, precis som en gäst, eller en bedragare, ser det.

85 av 100

går att förfalska mejl ifrån. Bara 15 har ett skydd som faktiskt stoppar det.

1 av 2

får betyg D eller sämre på vår skala A till F. Bara 4 fick högsta betyg A.

34 av 100

har redan en kopia av sin webbadress registrerad av någon annan.

Vi granskade 100 oberoende svenska hotell, campingar och stugbyar, helt utifrån och utan att röra deras system. Vi tittade bara på sådant som är publikt synligt: hur deras mejl, domän, webbplats och certifikat är uppsatta, på precis samma sätt som en utomstående, eller en bedragare, ser det. Kedjor och de stora bokningssajterna är medvetet bortvalda. Det här är de självständiga aktörerna, de som sällan har en egen it-avdelning.

Inget av det vi hittade betyder att någon "blivit hackad". Det är hur grundskyddet ser ut just nu, för vem som helst som tittar. Och mönstret är detsamma som vi sett i bransch efter bransch: de vanligaste bristerna är också de billigaste att åtgärda.

Betyg A till F

ABCDEF
4113533107

Hälften, 50 av 100, landar på D eller sämre. Bara 4 fick högsta betyg A. De allra flesta samlas kring C, alltså ett grundskydd med tydliga luckor snarare än något direkt alarmerande.

Vad vi menar med att gå att förfalska mejl ifrån

Det finns ett skydd som talar om för mottagarens mejlserver att kasta bort mejl som utger sig för att komma från en anläggning men inte gör det. Är det inte påslaget kan en bedragare skicka ett mejl som ser ut att komma från hotellets eller stugbyns egen adress, till gäster som just bokat, och be dem betala en handpenning eller bekräfta sitt kort på nytt. Eftersom avsändaren ser rätt ut är det lätt att gå på.

Av de 100 anläggningarna hade bara 15 det här skyddet ordentligt påslaget. Resten hade det antingen helt avstängt eller inställt i ett läge som bara övervakar men inte stoppar något. Det är samtidigt en av de billigaste sakerna att åtgärda. Det kostar ingenting i licenser. Läs mer om e-postförfalskning.

Det som sticker ut i besöksnäringen

En sak var mer utbredd här än i någon annan bransch vi granskat: 34 av 100 hade redan en kopia av sin webbadress registrerad av någon annan. Det är ungefär dubbelt så vanligt som snittet i vår tidigare studie av 659 företag. Det är logiskt: en gäst som söker efter ett boende och betalar på nätet är precis den situation en förväxlingsbar adress är byggd för. En bokningssida som ser nästan rätt ut kan ta gästens kortuppgifter, och det är anläggningens namn som får skulden.

Utöver det hade fler än en tredjedel något öppet som inte borde vara det: 39 % hade tekniska tjänster öppna mot internet och 37 % hade system som gick att läsa utan inloggning. I en verksamhet där gästernas namn, datum och betalningar hanteras digitalt är det den sortens öppna dörr man helst vill ha stängd.

Alla mätpunkter

Vad vi mätteAndel av 100
Går att förfalska mejl ifrån85 %
Har fullt skydd mot förfalskade avsändare15 %
Har tekniska tjänster öppna mot internet som inte borde vara det39 %
Har system som går att läsa utan inloggning37 %
Har redan en kopia av sin webbadress registrerad av någon annan34 %
Använder föråldrade komponenter på webbplatsen12 %
Saknar lås mot att webbadressen flyttas av någon annan11 %

Två ljuspunkter

Två saker var faktiskt bra i hela urvalet. Ingen av de 100 anläggningarna förekom på de varningslistor som mejl- och webbläsare använder för att flagga skadliga sajter, och ingen hade anställdas uppgifter i de kända dataläckor vi jämför mot. Grunden finns alltså. Det som fattas är oftast bara några inställningar som aldrig blivit påslagna.

Så gjorde vi

  • Helt passivt och utifrån. Vi loggade aldrig in, testade aldrig några luckor och rörde aldrig anläggningarnas system. Allt bygger på publikt synlig information.
  • 100 oberoende anläggningar: 34 hotell, 34 campingar och 32 stugbyar och semesterbyar, spridda över hela landet. Kedjor och de stora bokningssajterna är medvetet bortvalda, eftersom studien handlar om de självständiga aktörerna.
  • Inga anläggningar namnges. Studien redovisar bara sammanställd statistik. Varje enskild anläggning kan självt se sin egen bild via en säkerhetskoll.
  • Öppna tjänster är indikativa. De bygger på vad servrar och tjänster uppger om sig själva utifrån, en signal att kontrollera, inte ett bevis på att något går att utnyttja.

Vad en anläggning kan göra

De tre vanligaste och billigaste sakerna att börja med:

  1. 1. Slå på skyddet mot mejlförfalskning så att det faktiskt stoppar, inte bara övervakar. Det ensamt lyfter de flesta ur den utsatta gruppen på 85.
  2. 2. Håll koll på förväxlingsbara adresser som liknar er egen, så att en gäst inte råkar betala till fel sida.
  3. 3. Stäng det som står öppet mot internet och sätt grundskyddet på webbplatsen och certifikatet.

Inget av detta kräver dyra verktyg. Det kräver mest att någon vet att det behöver göras, och det är just det den här studien visar att de flesta inte gör.

Se er egen anläggning

Hur ser er anläggning ut för någon som tittar utifrån?

Studien bygger på samma analys, körd på 100 anläggningar och sammanställd. Vill ni se var just ert hotell, er camping eller er stugby landar får ni ett betyg och en åtgärdslista i klartext, samma dag.

Alla nyheter

Publicerad 2 juli 2026. Cyberkoll, en tjänst från Rutabaga AB.