Kontakt

Phishing 2.0: AI og deepfakes rammer din virksomhed

FORFATTER

Oliver Magaard

Executive summary.

Du bør bekymre dig, fordi angrebene nu kopierer netop jeres tone, jeres leverandører og jeres ledelsesmønstre. En AI kan indsamle åbne data, skrive en overbevisende besked og variere den til tusindvis af modtagere på få minutter. Samtidig kan en falsk stemme eller video lægge pres på en kollega til at godkende en faktura eller ændre bankoplysninger. Det rammer især danske SMV’er, hvor roller overlapper, og hvor der ofte er få kontroltrin.

Løsningen er ikke mere skrækindjagende teknik. Løsningen er enkle proceskrav, øvet adfærd og klog brug af værktøjer. Med faste stop-krav, to-kanals verifikation og løbende træning bygger I modstandskraft og forretningskontinuitet. Vil I styrke fundamentet, så start med et sikkerhedstjek og en plan for awareness-træning som en del af et løbende setup via Forkant.

Hvad mener vi med phishing 2.0

Phishing 2.0 dækker over angreb, hvor angribere bruger sprogmodeller til at skrive mails, SMS’er og chatbeskeder i en tone, der ligner dine kollegaers. De kombinerer ofte beskeden med data fra sociale medier, LinkedIn, CVR og nyheder om din virksomhed. Resultatet er spearphishing og CEO-fraud, der rammer specifikke personer på det rigtige tidspunkt, for eksempel lige før lønkørsel eller ved månedsluk.

Myndigheder og efterforskningsenheder beskriver samme udvikling. NCSC giver konkrete kendetegn og råd om phishing på deres side om phishing, CISA samler praktiske råd til medarbejdere på Recognize and report phishing, og Europol fremhæver i deres IOCTA-rapport, at social engineering understøttet af AI er på fremmarch, også med misbrug af syntetisk lyd og video. Læs mere i IOCTA.

Sådan bruger angribere sprogmodeller i praksis

Forestil dig en mail til økonomi: Teksten henviser til et reelt projekt, nævner den korrekte ordre, lyder som jeres projektleder og er skrevet på fejlfrit dansk. Det er ikke fordi angriberen kender jer personligt. En sprogmodel har sammenfattet information fra jeres hjemmeside, offentlige regnskaber og opslag fra medarbejdere, og har derefter skrevet en version, der rammer din kontekst. Den samme opskrift bruges til SMS med links til falske Microsoft 365 login-sider eller til beskeder i Teams.

Angriberen tester ofte flere varianter. En version lyder venlig, en anden lægger tidspres. En tredje bruger interne vendinger, som modellen har samlet op fra jobopslag eller nyheder. I nogle tilfælde bliver beskeden fulgt op af et telefonopkald med en falsk stemme, der bekræfter det hele.

Deepfakes og voice cloning: Fra mail til kald og video

Voice cloning kan i dag lave en stemme, der lyder som din direktør ud fra få minutters lyd. En angriber kan ringe til økonomi og sige, at en betaling skal frigives udenom normal proces. Det kan også ske i et videomøde, hvor en syntetisk video lægger tryk på tempo og diskretion. I en travl hverdag kan få sekunders tvivl være nok til, at en betaling godkendes eller en login-kode udleveres.

Det gør ikke dine kolleger uopmærksomme. Det gør modstanderen bedre. Derfor skal modsvaret ikke være mere stress, men klare stop-krav, så medarbejderen trygt kan sige: her sætter vi farten ned, og her verificerer vi via en anden kanal.

Genkendelige scenarier fra en dansk SMV

Faktura og leverandørskifte: Økonomi modtager en mail fra en kendt leverandør om ændring af bankoplysninger. Mailen er skrevet i den rigtige tone og med korrekt signatur. Angriberen har opbygget tillid gennem flere små, uskyldige mails over uger. Løsningen er ikke at mistro alle, men at have et fast krav om at verificere bankskifte via et kendt nummer fra jeres ERP eller kontrakt. Et kald til leverandørens økonomiansvarlige tager to minutter og stopper et stort tab.

Løn og bonus: HR får en mail fra en leder, der beder om at ændre kontonummer for næste lønudbetaling. Der ligger også en kort lydfil i indbakken, der lyder som lederen. Her er kravet, at ændringer i stamdata kræver to-personers godkendelse og verifikation via en kanal, I selv initierer.

Bankoplysninger og pres: En projektleder bliver bedt om at betale en hastefaktura for at undgå dagbøder. Angriberen har sat tidspres på og kopieret leverandørens navne og roller fra LinkedIn. Et fast stop-krav om at ingen betalinger frigives ved første kontakt, og at nye konti altid verificeres, fjerner risikoen.

MitID og 365-login: En medarbejder modtager en SMS om, at virksomhedens Microsoft 365 konto kræver genbekræftelse. Linket går til en kopi af login-siden. Når koden tastes, godkender angriberen straks en ny godkendelsesmetode. Derfor skal medarbejdere kende tommelfingerreglen om aldrig at bruge links i uopfordrede beskeder, men at gå direkte via kendte adresser, samt at rapportere forsøg som træningseksempler.

Stop-krav der bremser AI-drevne svindelforsøg

Når tempoet er højt, er det processen der beskytter jer. Brug denne tjekliste som faste stop-krav i økonomi, indkøb, HR og projekter. Kravene er ikke forslag. De er politik, der gør det trygt at sige nej og sætte farten ned.

  • Verificer altid ændring af bankoplysninger via en anden kanal end den, der foreslår ændringen. Brug telefonnumre fra kontrakt eller ERP, ikke fra mailen.
  • Gennemfør to-personers godkendelse ved alle ændringer i leverandør- og medarbejderstamdata.
  • Frigiv aldrig betalinger alene på baggrund af en mail, chat eller et opkald med tidspres. Paus handlingen og verificer.
  • Brug kendte genveje til logins. Skriv adressen selv eller brug bogmærker. Klik ikke på links i uopfordrede mails og SMS’er til 365, bank eller MitID.
  • Rapporter forsøg med et enkelt klik. Gør rapportering til en positiv handling, der bruges i træning og i ledelsesrapportering.
  • Etabler en klar kommunikationspolitik for chefer: Ingen beder om betaling eller koder via chat. Aftal kodeord for kritiske godkendelser, der kun deles fysisk.
  • Log og gennemgå ændringer i betalingsoplysninger ugentligt. Brug alerts i økonomisystemet ved nye konti.

Processer, træning og test der gør jer NIS2-klar

NIS2 og ISO 27001 kræver styr på processer, roller og opfølgning. Phishing 2.0 rammer der, hvor processer er utydelige. Start med en letvægtsscreening af jeres konfigurationer og basale kontroller. Et sikkerhedstjek finder hurtige forbedringer, for eksempel i Microsoft 365, MFA-politikker og mailfiltre. Byg derfra en plan for modning med en modenhedsanalyse, så ledelsen får overblik over gaps op mod NIS2 og ISO 27001.

Adfærd og kultur flytter risiko i praksis. Med awareness-træning øver I netop de situationer, hvor AI forfører: pres, tempo og troværdighed. Når træningen kobles til realistiske øvelser, lærer medarbejderne at stoppe op og bruge politikkerne som støtte. I vores tilgang er formålet ikke at udskamme fejl, men at skabe tryghed og en fælles rytme.

Når I vil teste jeres forsvar, giver en målrettet pentest indblik i, hvor let en angriber kan få fodfæste. En pentest kan kombineres med social engineering tests, så I måler både teknik og adfærd. Link mellem en pentest og et sikkerhedstjek giver både dybde og bredde.

Til virksomheder, der ønsker løbende beskyttelse, giver Forkant et fast setup med overvågning, rapportering i øjenhøjde og træning som en del af hverdagen. Tanken er enkel: I får jeres egen CISO som service, så I handler proaktivt og dokumenterer indsatsen mod NIS2 og interne krav.

Hvad med teknikken

Mailfiltre, DMARC, SPF og DKIM er vigtige, men de stopper ikke alle AI-skrevede beskeder. Fokusér på det, teknikken ikke kan aflaste alene: tempo, verifikation og godkendelser. Sørg for at MFA er på plads, at privilegerede konti er beskyttet med stærkere politikker, og at linkbeskyttelse og vedhæftningsscanning er slået til. Husk at kombinere teknikken med processer, der fjerner friktionen for den rigtige adfærd. Når rapportering er enkel, får I flere signaler at handle på.

Hvis I arbejder i Microsoft 365, så lad jeres sikkerhedstjek dække konfigurationer som conditional access, app godkendelser og beskedregler i Exchange. Mange angreb udnytter svage standardindstillinger, som nemt kan strammes. Det er en god investering at få verificeret opsætningen med jævne mellemrum.

Næste skridt for din virksomhed

Phishing 2.0 handler om at sætte menneskerne forrest, understøttet af klare processer og klog teknologi. Her er en enkel plan, der kan sættes i gang uden store projekter.

  • Aftal og kommuniker jeres stop-krav i økonomi, indkøb og HR. Gør dem synlige i intranettet.
  • Planlæg et hurtigt sikkerhedstjek for at lukke de mest oplagte huller i 365 og mail.
  • Book en målrettet session med awareness-træning om AI-svindel, voice cloning og falske login-sider. Brug jeres egne cases.
  • Vurder jeres modenhed op mod NIS2 med en modenhedsanalyse og giv bestyrelsen overblik. Supplér med en workshop for ledelsen, så ansvar og processer er tydelige.
  • Overvej et løbende setup via Forkant, hvor awareness, monitorering og rapportering kører hver måned.

Vil du dykke ned i kendetegn og gode råd fra myndigheder, så brug NCSC’s oversigt over phishing, CISA’s vejledning til medarbejdere om at genkende og rapportere phishing og Europols IOCTA for tendenser i trusselsbilledet.