Analys · Varningskollen

När 2 domäner leder till 62 varningar, som visar sig vara över 3 000 domäner

Två tekniska kluster, två olika hostar och totalt 62 FI-varnade aktörer leder vidare till 3 054 domänrader med samma typ av investerings-, AI-, trading- och kryptonarrativ. Det visar varför teknisk påklädning av varningar gör det lättare att se mönster som annars försvinner.

Två kontrollerade hostar 62 FI-varnade aktörer 3 054 domänrader .se-domäner: 0 Publicering: Varningskollen

OMFATTANDE ANALYS

Risk för att myndighetsvarningar missar omfattningen

Finansinspektionens varningar är viktiga. De hjälper konsumenter, banker och andra aktörer att se vilka namn, domäner och upplägg som myndigheten redan har uppmärksammat. Men en varning publiceras ofta som en isolerad observation: ett namn, en webbplats, en e-postadress eller ett telefonnummer.

När dessa varningar kläs med tekniska uppgifter förändras bilden. Domäner kan visa sig dela IP-adress, host, namnservrar, MX-poster, webbmallar och återkommande språkbruk. Då går det att se något mer än enskilda bluffnamn. Det går att se mönster.

I två kontrollerade exempel har Varningsdatabasen identifierat två olika hostmiljöer där totalt 62 FI-varnade aktörer förekommer. En manuell reverseslagning visar samtidigt 3 054 domänrader kopplade till samma två miljöer. Domänerna bär återkommande teman: investeringar, trading, bitcoin, AI, automatiserade handelsplattformar, snabb avkastning och geografiskt anpassade namn.

Problemet är inte en domän. Problemet är en produktionslinje.

Kortversion

Två separata tekniska kontroller visar samma grundmönster:

Kluster	Host/IP	FI-varningar	Domäner
Kluster A	`185.191.124.115`	29	1 341
Kluster B	`194.5.98.55`	33	1 713
Totalt	Två hostmiljöer	62	3 054

Metodnotering: Delad IP, host eller namnserver är inte bevis för gemensam ägare. Det är en teknisk indikator. Den blir intressant när den sammanfaller med flera andra signaler: myndighetsvarningar, liknande domännamn, återkommande webbmallar, samma typ av narrativ och geografisk anpassning.

1. Två kluster, samma typ av signal

Det första klustret utgick från en FI-varnad miljö där bland annat lyxfallan.com förekom. När infrastrukturen följdes vidare visade hosten 185.191.124.115 kopplingar till 29 FI-varnade aktörer och 1 341 domänrader i den manuella hostkontrollen.

Det andra klustret utgick från Dividend Luxentia, där domänen dividendluxentiaofficial.com använder hosten 194.5.98.55. Samma host förekommer tillsammans med 32 andra FI-varnade aktörer i Varningsdatabasen. Den manuella reverseslagningen gav ytterligare 1 713 domänrader.

Det intressanta är inte bara storleken. Det intressanta är att båda klustren uppvisar samma typ av tematik och struktur. Domännamnen låter ofta som investeringsprodukter, handelsplattformar eller finansiella AI-tjänster. Många innehåller ord som ai, gpt, bitcoin, btc, trade, capital, fund, wealth, profit, quantum, official och platform.

2. TLD-bilden: två hostar, liknande fördelning

Toppdomänerna visar ytterligare likheter. Båda underlagen domineras av generiska domäner och större europeiska landsdomäner. Samtidigt saknas .se helt i båda domänlistorna, trots att flera domännamn tydligt riktar sig mot svenska eller nordiska associationer.

TLD	Kluster A 185.191.124.115	Kluster B 194.5.98.55	Kommentar
`.com`	346	519	Största gruppen i båda underlagen.
`.it`	232	270	Tydlig italiensk inriktning.
`.fr`	187	218	Tydlig fransk inriktning.
`.es`	149	154	Tydlig spansk inriktning.
`.de`	105	147	Tydlig tysk inriktning.
`.at`	70	106	Österrikisk inriktning.
`.net`	87	92	Generisk infrastrukturdomän.
`.pt`	49	51	Portugisisk inriktning.
`.ro`	41	34	Rumänsk inriktning.
`.ch`	38	30	Schweizisk inriktning.
`.fi`	20	19	Finsk inriktning.
`.org`	12	33	Generisk organisationsdomän.
`.se`	0	0	Ingen svensk toppdomän i något av underlagen.

Frånvaron av .se betyder alltså inte att Sverige saknar betydelse. Tvärtom syns svenska och nordiska målgruppssignaler i själva domännamnen. Det tyder på att lokalanpassningen kan ske i namn, språk, annonsering och webbmallar snarare än genom lokal toppdomän.

3. Geografiskt språk utan lokal toppdomän

En särskilt tydlig signal är hur geografiska ord används i domännamnen. I det andra klustret återkommer exempelvis sweden, norway, netherlands, germany, austria, canada, hungary, japan, mexico och finland. Det ger intryck av lokal närvaro, trots att domänerna i många fall ligger på generiska toppdomäner.

Svensk/nordisk inriktning

alexoaisweden.com
arbiniosweden.com
btcnorvellissweden.com
duneriatsweden.com
eryxavinsweden.com
gptbotsweden.com
iroxivorsweden.com
nordiqosweden.com
oxelviansweden.com
striluxonsweden.com
stjarnfinoriasweden.com
vardestensweden.com

Andra lokala signaler

akercapitalnorway.com
duneriatnorway.com
primeauranorway.com
striluxonnorway.com
bithaven-netherlands.com
deltacoregptnetherlands.com
equiloompronetherlands.com
solvencierenetherlands.com
gptbotnorway.com
euroquantumnorway.com

Teknik + marknad

gptbotsweden.com
btcnorvellissweden.com
cryptoairofficial.com
crownexgptofficial.com
immediategptx.com
quantumbitqz.net
tradevectorai.at
xtradegrokai.com
zenithai.fr
veltrionai.de

Det här är en typ av språklig lokalisering. Domänen behöver inte ligga under svensk toppdomän för att rikta sig mot svenska användare. Det räcker att namnet, landssignalen, annonsen eller webbplatsens språk skapar känslan av lokal relevans.

4. Samma nyckelord återkommer i båda klustren

Domännamnen i båda hostmiljöerna verkar byggas av återkommande namnled. De kan kombineras på många sätt, men grundidén är densamma: skapa ett namn som låter tekniskt, finansiellt, framtidsorienterat eller lokalt relevant.

Kategori	Återkommande nyckelord	Vad orden signalerar
AI och teknik	`ai`, `gpt`, `quantum`, `neuro`, `bot`, `algo`, `grok`	Modernitet, automation och teknisk kompetens.
Krypto	`bitcoin`, `btc`, `crypto`, `token`, `bit`, `chain`	Koppling till kryptovalutor och snabba marknadsrörelser.
Investering	`invest`, `capital`, `fund`, `wealth`, `profit`, `yield`	Finansiell legitimitet och löfte om avkastning.
Trading	`trade`, `trader`, `exchange`, `market`, `platform`, `app`	Handelsplattform, verktyg eller tjänst snarare än en enkel webbsida.
Förtroende	`official`, `secure`, `safe`, `trust`, `core`, `prime`	Försök att låta etablerad, säker eller auktoriserad.
Geografi	`sweden`, `norway`, `netherlands`, `germany`, `canada`, `japan`	Lokalanpassning och känsla av närhet till målgruppen.

Detta gör att domänerna inte bara ser “många” ut. De ser producerade ut. Namnen påminner om ett system där flera temaord blandas, översätts, lokaliseras och återanvänds över olika marknader.

5. Fem återkommande webbmallar stärker bilden

Den manuella kontrollen av representativa webbplatser visar att domänerna inte bara delar tekniska signaler. De tycks också återanvända samma visuella och narrativa byggstenar. I det första klustret kunde sidorna grupperas i fem tydliga mallfamiljer. Det andra klustret uppvisar samma typ av struktur: olika produktnamn, olika språk och olika färger, men samma grundberättelse.

ArbionisMörk trading-/appmall med budskap om investeringar och flaggor.

AstrelwickLjus variant med plattform för investeringar och appgrafik.

ArveluxNordisk/svensk variant med app och påståenden om avkastning.

AxtrovienSvensk variant med marknads- möjligheter och formulär för registrering.

Asteria EvotrixKryptoinriktad variant med mörk design och handelsapp.

Fem återkommande mallar för investerings- och kryptowebbplatser — Exempelbild från den manuella kontrollen: olika språkversioner och produktnamn, men samma typ av investerings-/kryptoupplägg och återkommande designmönster.

Det gör analysen starkare. Delad infrastruktur kan ibland bero på legitima hostingförhållanden. Men när den tekniska samlingen sammanfaller med tusentals närliggande domännamn, samma branschtema, samma lokalanpassning och återkommande mallar blir det rimligt att tala om en produktionsmiljö snarare än isolerade webbsidor. Dessutom när de 3 054 domänerna är de enda som använder på dessa hostingmiljöer

6. Varför detta väcker misstanke

En enskild domän med ett investeringsnamn är inte tillräckligt för att dra långtgående slutsatser. En enskild delad IP-adress är inte heller tillräckligt. Men kombinationen av flera oberoende signaler förändrar bedömningen.

Det är kombinationen som är poängen: FI-varningar, delad host, återkommande domännamn, liknande TLD-fördelning, geografisk lokalanpassning, AI-/krypto-/tradingord och upprepade webbmallar pekar tillsammans mot ett återanvänt upplägg.

Det är just här teknisk berikning gör skillnad. Utan IP, DNS, host och relationsdata ser användaren ett varningskort i taget. Med teknisk påklädning går det att se att flera varningskort kan vara delar av samma större mönster.

7. Varför enskilda varningar blir otillräckliga

Att varna för en domän i taget är nödvändigt, men det räcker inte när infrastrukturen visar att samma typ av upplägg kan finnas i hundratals eller tusentals varianter. En domän kan försvinna, blockeras eller överges. En annan kan redan vara aktiv.

Kärnproblemet: En varning per aktör fångar inte kampanjens skala. En varning per domän fångar inte infrastrukturen. En varning utan teknisk relationsanalys missar återanvändning av IP, NS, MX, hostingmiljö och webbmallar.

Det betyder inte att varje domän i ett kluster automatiskt ska betraktas som bevisat bedräglig. Det betyder att klustret är en stark riskindikator och att domänerna bör granskas tillsammans, inte bara var för sig.

8. Därför behöver skadebild och infrastruktur läsas tillsammans

Investeringsbedrägerier är inte bara ett tekniskt problem och inte heller bara ett konsumentproblem. De är en brottstyp där relativt få lyckade angrepp kan orsaka mycket stora ekonomiska skador. Därför räcker det inte att bara räkna varningar, domäner eller tekniska indikatorer. Det behövs också en bild av vad brotten kostar och hur anmälningarna utvecklas över tid.

Två kompletterande perspektiv: Varningskollen visar skadebilden genom statistik, trender och kostnadsjämförelser. Varningsdatabasen visar indikatorerna bakom varningarna: domäner, IP-adresser, namnservrar, e-postadresser, telefonnummer och tekniska kluster. Det ena visar varför problemet är viktigt. Det andra visar hur mönstren kan upptäckas.

På Varningskollens sida om kostnad per brottstyp går det att jämföra hur olika bedrägerityper slår ekonomiskt. Det gör investeringsbedrägerier särskilt viktiga att följa, eftersom den ekonomiska skadan kan bli mycket hög även när antalet ärenden inte är störst.

På sidan för fördjupad brottstrendsanalys går det i stället att följa anmälningsutvecklingen över tid. Där blir det möjligt att jämföra faktiska månadsantal, glidande medelvärde och långsiktig utveckling för olika brottstyper.

Varningskollen

Visar skadebild och samhällskostnad.
Följer anmälningsutveckling över tid.
Gör brottstyper jämförbara med varandra.
Hjälper läsaren att förstå varför området är viktigt.

Varningsdatabasen

Kopplar varningar till tekniska indikatorer.
Visar gemensam infrastruktur och kluster.
Gör IP, domäner, NS, MX och andra spår sökbara.
Hjälper användaren att upptäcka återkommande mönster.

Det är kombinationen som ger värdet. En statistikvy kan visa att investeringsbedrägerier orsakar stor skada. En teknisk relationsdatabas kan visa att flera varningar, domäner och webbplatser delar samma underliggande mönster. Tillsammans blir det lättare att gå från reaktiv varning till mer förklarande riskbild.

I de två klustren i denna analys blir just det tydligt. Skadebilden förklarar varför investeringsbedrägerier bör prioriteras. Infrastrukturspåren visar hur samma typ av upplägg kan återkomma i hundratals eller tusentals domänvarianter. Därför är Varningskollen och Varningsdatabasen två sidor av samma informationsresurs.

9. Varför Varningsdatabasen behövs

Varningskollen visar skadebilden, trenderna och den samhälleliga betydelsen av bedrägerier. Varningsdatabasen fyller en annan roll: den gör det möjligt att koppla varningar till indikatorer, teknisk infrastruktur och återkommande mönster.

När en IP-adress binder samman 29 varningskort och över 1 300 externa domäner, eller när en annan host binder samman 33 varningskort och över 1 700 domäner, är IP-adressen inte en teknisk detalj. Den är en utredningsnyckel.

Det är därför sökning och filtrering på tekniska indikatorer är viktig. En användare ska inte bara kunna söka på aktörsnamn. Det bör också gå att söka på IP-adresser, domäner, namnservrar, MX-poster, e-postadresser, telefonnummer och relaterade tekniska observationer.

10. Begränsningar och försiktighet

Den här analysen ska läsas som en infrastrukturell och OSINT-baserad riskanalys. Den pekar på tekniska samband, mönster och riskindikatorer – men fastställer inte vem som ytterst äger, driver eller kontrollerar varje enskild domän.

Delad host eller IP är inte i sig bevis för gemensam ägare.
Domännamn och webbmallar är indikatorer, inte slutbevis.
Passiv DNS, host intelligence, RIPE/RDAP och bolagsregister är olika källtyper.
Antal domäner bör kontrolleras på nytt inför publicering om hostmiljön har förändrats.
Personnamn bör inte publiceras utan separat allmänintresse och mycket starkt stöd.

Poängen är därför inte att peka ut en enskild person eller ett enskilt bolag. Poängen är att visa varför teknisk relationsanalys gör varningar mer användbara.

Slutsats

Två kontrollerade domännamn och hostmiljöer visar samma sak: enskilda FI-varningar är viktiga, men de kan vara för smala om de inte kopplas till tekniska relationer. När 62 FI-varnade aktörer leder vidare till över 3 000 domänrader med samma typ av budskap, samma tematiska språk och återkommande webbmallar, framträder ett större mönster.

Det mönstret är centralt för banker, myndigheter, registrarer, hostingaktörer och drabbade konsumenter. För att förstå dagens investeringsbedrägerier räcker det inte att titta på namnet längst fram. Man måste också följa infrastrukturen bakom.

Varningskollen visar skadebilden. Varningsdatabasen visar infrastrukturen. Tillsammans gör de varningarna mer operativa.

Metod och kontrollpunkter

Utgångspunkt: FI-varnade aktörer i Varningsdatabasen.
Teknisk berikning: domäner kopplades till host/IP och relaterade tekniska observationer.
Manuell reverseslagning: hostmiljöerna kontrollerades externt för relaterade domäner.
Innehållskontroll: representativa webbsidor granskades manuellt för att identifiera återkommande mallar och narrativ.
TLD-jämförelse: toppdomäner jämfördes mellan de två hostmiljöerna.
Avgränsning: Analysen bygger på öppna källor och tekniska observationer. Den pekar på samband och riskindikatorer, men fastställer inte vem som ytterst äger, driver eller kontrollerar domänerna.