De fleste IT-sikkerhedsbrud starter ikke med avanceret hacking — de starter med en medarbejder, der klikker på et link i en e-mail. Phishing er fortsat den mest anvendte angrebsmetode mod danske virksomheder, og angrebene bliver mere og mere overbevisende. Det er ikke længere nok at lede efter stavefejl og mærkelige afsenderadresser. Du og dine kolleger skal kende spillereglerne.

Hvad er phishing?

Phishing er et forsøg på at narre dig til at udlevere loginoplysninger, betale penge eller installere skadelig software — ved at udgive sig for at være nogen du stoler på. Det sker oftest via e-mail, men også via SMS (kaldet smishing) og telefon (kaldet vishing).

Angriberne bruger tid på at gøre beskeden troværdig. De kopierer logos, skriver fejlfrit dansk og opbygger en situation, der skaber tidspres. Målet er at få dig til at handle, inden du når at tænke dig om.

De tre angrebstyper du skal kende

E-mail phishing

Den klassiske variant. Du modtager en mail, der ser ud til at komme fra Post Danmark, SKAT, Microsoft, din bank eller — og det er her det bliver farligt — fra din egen leder eller en kollega. Mailen indeholder typisk et link til en falsk loginside eller en vedhæftet fil med skadelig kode.

Et realistisk dansk eksempel: Du modtager en mail med emnelinjen "Din Microsoft 365-licens udløber i dag — bekræft dit abonnement". Afsenderadressen ligner support@microsoft-renewal.dk, logoet er korrekt, og linket fører til en side, der er identisk med Microsofts loginside — men adressen i browserens adresselinje slutter på .net i stedet for .com.

SMS-phishing (smishing)

Her modtager medarbejderen en SMS, der typisk udgiver sig for at være fra PostNord, en bank eller et offentligt system. Teksten er kort og skaber et problem, der kræver øjeblikkelig handling: "Din pakke er tilbageholdt. Betal 9 kr. i told her: [link]". Linket fører til en falsk betalingsside, der høster kortoplysninger.

SMS-phishing virker, fordi folk er vant til at handle hurtigt på telefonen, og fordi vi generelt stoler mere på en SMS end en e-mail.

Telefonsvindel (vishing)

En person ringer og udgiver sig for at være fra IT-support, Microsoft, din bank eller en myndighed. De fortæller at der er registreret mistænkelig aktivitet på din konto eller din computer. Løsningen kræver, at du installerer et program, oplyser dit password eller godkender en MFA-notifikation.

Husk: Ingen legitim IT-support, bank eller myndighed vil nogensinde bede dig oplyse dit password over telefonen.

Syv røde flag du altid skal tjekke

  • Afsenderadressen stemmer ikke. Se på domænet efter @-tegnet. support@microsoft-help.dk er ikke Microsoft. fakturaer@din-bank-secure.com er ikke din bank.
  • Tidspres og trusler. "Din konto lukkes om 24 timer", "Betal nu for at undgå retslige konsekvenser" — det er manipulationstaktik.
  • Du bliver bedt om at logge ind via et link. Gå altid direkte til hjemmesiden i stedet for at klikke. Skriv adressen manuelt i browserens adresselinje.
  • Uventede vedhæftede filer. En kollega sender dig pludselig en zip-fil eller en Word-fil du ikke har bedt om? Ring og tjek, inden du åbner.
  • Anmodninger om at godkende MFA uden at du selv har bedt om det. Hvis du modtager en godkendelsesanmodning på din telefon, og du ikke er ved at logge ind, så er det en angriber, der forsøger at bryde ind med dit password.
  • Ukendte links i SMS-beskeder. Gå til afsenderens officielle hjemmeside i stedet for at trykke på linket.
  • Sproget virker lidt forkert. Selv om stavningen er korrekt, kan sætningsopbygningen være unaturlig — et tegn på maskinoversat tekst.

Husk denne tommelfingerregel: Hvis en besked skaber et problem, der kræver øjeblikkelig handling, og løsningen involverer at klikke på et link, installere noget eller oplyse oplysninger — så er det med overvejende sandsynlighed svindel. Stop op, og verificer via en anden kanal.

Hvad gør du, hvis du modtager en mistænkelig besked?

  1. Klik ikke. Åbn ikke links eller vedhæftede filer, inden du er sikker.
  2. Tjek afsenderens identitet via en anden kanal. Ring til personen eller virksomheden på et telefonnummer du selv finder — ikke et nummer i mailen.
  3. Rapportér det til IT. Også selv om du ikke klikkede. Flere medarbejdere kan have modtaget den samme mail, og IT skal have mulighed for at blokere den.
  4. Hvis du allerede har klikket: Skift dit password med det samme, kontakt IT, og fortæl præcis hvad der skete. Jo hurtigere du handler, jo bedre.

Sådan træner du dine medarbejdere

Teknologi alene løser ikke phishing-problemet. Den menneskelige faktor er afgørende, og det kræver løbende træning — ikke en enkelt PowerPoint-præsentation ved onboarding.

Simulerede phishing-tests

De mest effektive virksomheder sender regelmæssigt falske phishing-mails til egne medarbejdere. Klikker nogen på linket, bliver de vist en pædagogisk besked og sendt til en kort træningsmodul. Formålet er ikke at straffe, men at øve. Studier viser, at simulerede tests reducerer klikraten med 60-80% over 12 måneder.

En klar rapporteringskultur

Medarbejdere skal vide, at de kan og skal rapportere mistænkelige beskeder — uden at frygte at blive skældt ud for at have klikket. Skam er phishing-angrebenes bedste ven. Lav en simpel procedure: ét sted at sende mistænkelige mails, og en kvittering der bekræfter at IT har modtaget rapporten.

Kortfattede, konkrete eksempler

Brug faktiske phishing-eksempler fra jeres branche. En regnskabsmedarbejder skal se falske fakturaer. En receptionist skal se falske it-supportopkald. Jo mere genkendelig scenariet er, jo bedre husker man det.

Opsummering

Phishing virker, fordi det udnytter menneskelig adfærd — travlhed, tillid og hjælpsomhed. Det bedste forsvar er en kombination af tekniske foranstaltninger (spam-filtre, MFA, DNS-beskyttelse) og veluddannede medarbejdere, der stopper op, inden de klikker. Start med at gøre proceduren klar: hvad skal en medarbejder gøre, når de er i tvivl? Den procedure skal sidde i rygraden.