Kontakt

Phishing, smishing eller vishing? Den enkle guide på 5 minutter

FORFATTER

Alan M. Kristensen

Executive summary

Phishing flytter fra indbakken til SMS og telefon. Samtidig ser vi flere login-forsøg, der misbruger godkendelsesflows og tredjepartsadgange. Pr. 6. januar 2026 er danske SMV’er mål for mere målrettede og AI-skalerede henvendelser, der ligner rigtige beskeder fra banker, kunder og Microsoft 365. Risikoen er forstyrrelse af drift, økonomisk tab og tab af kundetillid.

Løsningen er ikke mere kompleks teknologi. Det er enkle rutiner, tydelig kommunikation og få rigtige indstillinger. Denne guide giver dig tre genkendelige eksempler, fem konkrete tiltag du kan aktivere i dag og en færdig tekst du kan kopiere til intranettet eller Slack. Formålet er at give ledelse og medarbejdere handlekraft, så I kommer på Forkant.

Kilder i artiklen inkluderer Microsofts forskning i device code phishing fra 13. februar 2025, generelle råd fra CISA, en PSA fra FBI’s IC3 den 15. maj 2025 og nyere brancheobservationer om mobilsvindel. Se links i teksten.

Phishing, smishing og vishing i øjenhøjde

Phishing er forsøg på at narre medarbejdere via e-mail til at dele koder, godkende login eller klikke på skadelige links. Smishing er det samme via SMS eller chat. Vishing foregår via telefonopkald, ofte med spoofede numre eller en veltrænet stemme. Fællesnævneren er social engineering, hvor angriberen presser på tid og følelser for at få jer til at handle uden at tænke.

Særligt vigtigt i 2026 er misbrug af loginflows uden kodeindtastning. Microsoft beskrev i februar 2025 kampagner, der misbruger device code flow og OAuth-tilladelser til at hoppe uden om traditionelle kontroller. Det betyder, at et enkelt klik eller en godkendelse kan give angriberen varig adgang, selv når brugeren ikke har delt sit password. Læs mere hos Microsoft her.

Myndigheder advarer om samme mønster. CISA samler praktiske råd til at undgå social engineering og phishing her, mens FBI’s IC3 udsendte en offentlig advarsel 15. maj 2025 om manipulerende kontaktforsøg og bedrageri via telefon og digitale kanaler her. Trend Micro pegede i december 2025 på mere avancerede mobile svindeltricks drevet af automatisering og AI her. Og selv om enkelte analyser forudser lavere direkte tab på SMS på grund af bedre filtrering, skifter angriberne taktik frem for at opgive kanalen. Se eksempel her.

Hvorfor danske SMV’er rammes netop nu

Angrebene er blevet hurtigere at producere og sværere at gennemskue. AI kan skrive fejlfri dansk, efterligne kunder og leverandører og justere budskaber til jeres branche. Samtidig er mange SMV’er afhængige af Microsoft 365, bankapps og leverandørportaler, som alle kan misbruges til at udgive sig for at være legitime kontaktpunkter.

Konsekvensen for forretningen er ikke kun penge. Et enkelt forkert klik kan give adgang til mailbokse, SharePoint og Teams. Det stopper salgsprocesser, lækker fortrolige tilbud og skaber merearbejde i ugevis. For virksomheder med NIS2-krav og leverandørkrav fra større kunder påvirker et hændelsesforløb både compliance og omdømme.

Det positive er, at I kan reducere langt de fleste hændelser med en håndfuld kontroller, der hver især tager minutter at aktivere, og en klar forventningsafstemning med medarbejderne.

Tre eksempler du kan kende på få sekunder

E-mail: Du modtager en mail fra en kendt leverandør. Emnefeltet lover en opdateret kontrakt. Linket fører til en login-side, der ligner Microsoft 365. Sideadressen er ikke microsoft.com, men en ukendt domænevariant. Aftrykket er stærk tidspres og trussel om forsinket levering. Tjek altid webadressen og log ind via din egen genvej i stedet for linket i mailen.

SMS: En besked hævder at komme fra din bank om en mistænkelig overførsel. Den beder dig bekræfte ved at klikke på et kort link. Beskeden indeholder fejlfrie formuleringer og et afsendernavn, der matcher banken. Gå i stedet ind i bankens app via din egen genvej eller ring op til bankens officielle nummer fra deres hjemmeside.

Opkald: En person udgiver sig for at være fra Microsoft support. Opkalderen beder om en godkendelse i din autentifikationsapp eller læser en device code op, som du skal skrive ind. Legitimiteten understøttes af korrekt jargon og rolig tone. Læg på, slå nummeret op og ring tilbage via Microsofts officielle supportkanal eller jeres interne IT-nummer. Giv aldrig koder eller godkendelser på opfordring fra et indgående opkald.

Fem konkrete tiltag du kan aktivere i dag

Følgende tiltag er valgt, fordi de både sænker risikoen markant og kan gennemføres hurtigt. Start med nummer 1 til 3 i dag, og planlæg 4 til 5 i denne uge.

  • 1. Opgrader jeres MFA-valg med metoder, der ikke kan phishes. Prioriter passkeys og FIDO2 sikkerhedsnøgler til ledelse, økonomi og administratorer. Brug autentifikationsapp med nummermatch som minimum. Undgå SMS og e-mail som eneste faktor. Slå notifikations-træthed ned med begrænsning af samtidige godkendelser og lockout efter flere afviste prompts.
  • 2. Styr OAuth og device code flow. Deaktiver device code flow, hvis I ikke har et klart behov. Indfør betinget adgang, der kræver trustede enheder og kendte netværk. Begræns hvem der kan give OAuth-tilladelser til apps, og gennemgå eksisterende app-tilladelser månedligt. Overvåg tokens og sessioner, og tilbagekald adgang ved mistanke. Se Microsofts gennemgang her.
  • 3. Udrul en fælles password manager med virksomhedslicens. Slå generering af stærke unikke koder til, del sikre vaults til delte konti og slå advarsler til ved kendte læk. Par det med SSO, hvor det giver mening.
  • 4. Skru op for sim-swap værn. Bed nøglemedarbejdere om at sætte PIN hos teleudbyderen og aktivere port-out lock. Fjern telefon som fallback til nulstilling af kritiske konti. Brug i stedet recover-koder, hardware-nøgler og servicekonti med sikrede processer.
  • 5. Byg en 5-minutters beredskabs-playbook. Beslut på forhånd hvem der må deaktivere brugere, tilbagekalde tokens og udsende advarsler. Beskriv tre scenarier: mistænkelig mail, uønsket MFA-prompt, opkald der beder om godkendelse. Lav skabeloner til intern besked og kundekommunikation. Gem kontaktlister til bank, teleudbyder og it-leverandører. Test playbooken på 15 minutter ved næste teammøde.

Mini-tjekliste til Microsoft 365

Dette er de hurtigste indstillinger, vi ser flest SMV’er mangle. Brug dem som en tjekliste i dag og som dokumentation over for ledelsen.

  • Slå sikkerhedsstandarder eller betinget adgang til, der kræver MFA for alle. Kræv stærke metoder for privilegerede roller.
  • Deaktiver legacy authentication og POP/IMAP, hvis det ikke er nødvendigt.
  • Begræns brugeres mulighed for at give admin-level OAuth-tilladelser. Indfør godkendelsesflow for app consent.
  • Overvåg regler for videresendelse i mailbokse, især til eksterne domæner. Alert ved oprettelse eller ændring.
  • Aktiver phishing-beskyttelse i Defender for Office 365 eller jeres gateway, og håndhæv DMARC, DKIM og SPF på domænet.

Kommunikationstekst til intranet eller Slack

Kopier teksten nedenfor direkte ind på jeres intranet eller i en Slack-kanal. Den er skrevet til alle medarbejdere i øjenhøjde.

Overskrift: Stop phishing, smishing og vishing på 5 minutter

Hvorfor: Vi ser flere forsøg via mail, SMS og telefon. Målet er at få dig til at godkende login eller dele oplysninger. Det kan ramme vores kunder og projekter.

Sådan spotter du det:

  • Uventet besked med tidspres eller trussel.
  • Link til login der ikke er vores officielle adresse.
  • Opkald der beder dig godkende en prompt eller indtaste en kode.

Din handling:

  • Stop og tænk i 10 sekunder. Log aldrig ind via et link i beskeden.
  • Åbn i stedet appen eller gå via din egen bogmærke.
  • Får du en uventet MFA-prompt, så afvis og meld det straks.
  • Giv aldrig koder eller godkendelser i et indgående opkald.
  • Rapportér mistænkelige beskeder i Outlook via knappen Phish-rapport eller til it på vores supportmail.

Hvis uheldet er ude: Meld det med det samme. Vi hellere en falsk alarm end en sag, der vokser.

Sådan følger ledelsen op de næste 30 dage

Brug følgende plan til at sikre momentum og dokumentation mod NIS2 og kundekrav.

  • Dag 1: Gennemfør tiltag 1 til 3 fra tjeklisten. Del kommunikationen til alle medarbejdere.
  • Dag 7: Verificer at device code flow er deaktiveret, og at app consent styres centralt. Lav rapport over aktive OAuth apps.
  • Dag 14: Gennemfør awareness-øvelse med de tre eksempler. Mål deltagelse og reaktionstid.
  • Dag 21: Få bekræftelse fra teleudbyder på PIN og port-out lock for nøglepersoner.
  • Dag 30: Test beredskabs-playbooken. Dokumenter resultater og plan for forbedringer.

Kilder og videre læsning

Microsoft om device code phishing fra 13. februar 2025: Storm-2372 conducts device code phishing campaign

CISA’s råd mod social engineering og phishing: Avoiding Social Engineering and Phishing Attacks

FBI IC3 PSA 15. maj 2025: Offentlig advarsel om social engineering

Trend Micro, 4. december 2025: Pressemeddelelse om mobil svindel og social engineering

Infosecurity Magazine om forventet fald i SMS-tab: SMS fraud losses set to decline 11%