Alt du behøver at vide om phishing

Af Christie Rae • 31 juli 2025

Phishing er fortsat blandt de mest almindelige cyberangreb, der anvendes af trusselsaktører. De fleste virksomheder har set det i praksis: e-mails, der anmoder om, at en 'hasteropgave' udføres, eller at en 'forsinket betaling' foretages, nogle gange endda imiterer en administrerende direktør eller ledende medarbejder. Faktisk er den britiske regerings Undersøgelse af cybersikkerhedsbrud 2025 viste, at af de virksomheder eller velgørenhedsorganisationer, der havde oplevet et afbrud eller angreb i de sidste 12 måneder, havde 85 % af virksomhederne og 86 % af velgørenhedsorganisationerne oplevet phishing-angreb.

I denne blog dykker vi ned i phishingens dunkle verden: hvad det er, hvordan man identificerer potentielle phishing-forsøg, og hvordan organisationer kan beskytte sig mod det.

Almindelige phishing-angreb rettet mod virksomheder

E-mail-phishing

I forbindelse med phishing-angreb via e-mail sender trusselsaktører deres mål svindel-e-mails, hvor de ofte udgiver sig for at være kendte virksomheder eller leverandører. Målet? At narre ofrene til at besøge et falsk websted, åbne en vedhæftet fil, der indeholder en virus eller malware, eller dele følsomme oplysninger som bankoplysninger eller adgangskoder til virksomhedskonti.

Eksempler at holde øje med inkluderer:

Uventede fakturaer
E-mails fra ukendte afsendere med vedhæftede filer
Advarsler om usædvanlig aktivitet med links til eksterne websteder.

Spyd phishing

Spear phishing er en mere målrettet tilgang til e-mail phishing, hvor man bruger lettilgængelige oplysninger om en virksomhed, såsom medarbejdernavne, til at udgive sig for intern kommunikation og pålidelige kilder. Det er vigtigt at bekræfte afsenderens identitet via en anden kommunikationsmetode, f.eks. Teams eller via et telefonopkald med et bekræftet telefonnummer.

Eksempler at holde øje med inkluderer:

Uventede 'haste' e-mails, der angiveligt er fra dine HR- eller IT-afdelinger
Usædvanlige anmodninger, angiveligt fra en person i din virksomhed.

Forretnings-e-mail-kompromis

Business email compromise (BEC) Angreb er en anden målrettet og uhyggelig tilgang til phishing, hvor man nogle gange bruger falske e-mailadresser eller endda kompromitterer faktiske medarbejder-e-mailkonti til at udføre et angreb. De vil ofte målrette betroede personer eller budgetholdere og forsøge at narre dem til at foretage svigagtige økonomiske transaktioner eller afsløre følsomme oplysninger. Kriminelle kan endda kompromittere en leverandør eller forhandler ved at sende fakturaer, der ser ud til at være legitime. BEC er så udbredt, at FBI hævdede, at BEC-angreb koster amerikanske og globale organisationer næsten 55.5 milliarder dollars mellem oktober 2013 og december 2023.

Eksempler på BEC-forsøg inkluderer:

CEO-svindel: 'Haster'-e-mails, angiveligt fra en ledende medarbejders e-mailadresse, men som faktisk kontrolleres af trusselsaktøren
Fakturasvindel: Falske eller ændrede fakturaer, der omdirigerer betalinger til en angribers konto
Tredjepartssvindel: Uventede fakturaer eller anmodninger om ændring af bankoplysninger fra dine eksisterende leverandører, hvilket indikerer potentiel kompromittering.

Klon phishing

Angribere, der bruger klonphishing, tager en rigtig e-mail og kopierer den næsten identisk og sender den igen til det tiltænkte offer med en ny, ondsindet vedhæftet fil eller et link. Trusselaktører bruger ofte falske e-mails med en stavemåde, der ligner den e-mail, de udgiver sig for at være, men de kan bruge sofistikeret e-mail-spoofing for at få det til at se ud, som om e-mailen blev sendt af den legitime afsender.

Eksempler at holde øje med inkluderer:

Duplikerede e-mails, især dem med nye eller ændrede links.

Sådan identificerer du phishing-e-mails

Selvom det kan virke som en overvældende opgave at bekæmpe phishing, er der flere måder at identificere phishing-e-mails på.

Uoverensstemmende e-maildomæner: Er e-maildomænet det samme som det, der tilhører den virksomhed, som afsenderen hævder at repræsentere? F.eks. ville en officiel e-mail fra ISMS.online være: fornavn.efternavn@ISMS.online, support@isms.online osv.

Hasteopfordringer til handling: E-mails, der opfordrer til hurtig eller øjeblikkelig handling, kan være potentielle phishing-forsøg; en falsk følelse af hastende handling har til formål at skabe panik hos modtageren. Overvej at kontakte afsenderen via officielle midler, f.eks. ved at slå telefonnummeret op på en virksomheds officielle hjemmeside.

Stavning og grammatik: Stave- og grammatikfejl kan indikere et phishing-forsøg, da mange virksomheder har stavekontrolværktøjer i deres e-mail-software.

Links: Ved at holde musen over et link kan du se den URL, linket fører dig til. I phishing-e-mails er denne ofte forskellig fra den tekst, der vises i e-mailen.

Anmodninger om at sende personlige eller økonomiske oplysninger: Loginoplysninger, betalingsoplysninger og andre følsomme data bør ikke deles via e-mail. Hvis en e-mail indeholder et link til en ekstern hjemmeside, hvor disse oplysninger kan indtastes, skal du ligeledes sørge for at bekræfte, at hjemmesiden er legitim.

Beskyt din organisation mod phishing-angreb med ISO 27001

Etablering af bedste praksis for cybersikkerhed, såsom dem der er beskrevet i informationssikkerhedsstandarden ISO 27001, gør det muligt for din virksomhed at reducere risici, styrke sikkerheden og begrænse virkningen af phishing-angreb.

Medarbejderuddannelse og bevidsthed

Dine medarbejdere er din første forsvarslinje, når det kommer til cybersikkerhed. Implementering af et cybersikkerhedstrænings- og bevidsthedsprogram kan give dit team mulighed for at identificere og rapportere potentielle phishingforsøg samt andre cyberangreb.

Dit trænings- og oplysningsprogram bør også beskrive processer, der skal følges, såsom den proces, medarbejdere skal følge for at rapportere mistanke om phishingforsøg. Træning af dine medarbejdere i at genkende tegn på et phishingangreb og sikring af, at din virksomhed har strenge rapporterings- og reaktionsprocesser, er en del af en robust sikkerhedspolitik.

Adgangskontrol

Begræns medarbejdernes rettigheder og privilegier på basis af "mindst mulig privilegium". Begræns f.eks. en typisk brugers adgang til kun de ressourcer, der er nødvendige for at udføre deres arbejde. Dette hjælper med at reducere virkningen af et phishingforsøg på din organisation, hvis en konto kompromitteres.

Derudover kan krav om kontroller som multifaktorgodkendelse på medarbejderkonti give et vigtigt forsvar mod uautoriseret adgang og kompromitterede legitimationsoplysninger.

Hændelsesrespons

ISO 27001-kompatible virksomheder skal etablere processer for hændelsesrespons. Dette omfatter indsamling af bevismateriale, analyse af informationssikkerhedsanalyser, eskalering med kunder og relevante tilsynsmyndigheder, logføring af hændelsesresponsaktiviteter, intern hændelseskommunikation, hændelsesløsning og analyse efter hændelser. Effektiv respons på hændelser er med til at sikre hurtigere løsning og afbøde virkningen af succesfulde angreb.

Sikker konfiguration

Standarden kræver, at virksomheder indbygger sikkerhed i deres drift fra starten, snarere end som en eftertanke. Denne tilgang reducerer potentielle indgangspunkter for trusselsaktører, for eksempel via usikre e-mail-gatewayløsninger.

Administration af tredjepartsleverandører

Vores Status for informationssikkerhedsrapport 2024 viste, at næsten fire ud af fem (79%) af respondenterne var blevet påvirket på grund af en cyber- eller informationssikkerhedshændelse forårsaget af en tredjepartsleverandør eller forsyningskædepartner. En risikobaseret tilgang til leverandørrelationer kan bidrage til at begrænse virkningen af sådanne hændelser.

For eksempel kan din virksomhed vælge at foretrække at arbejde med leverandører med ISO 27001-certificering, begrænse leverandørernes adgang til information baseret på informationsklassificeringsniveauer og spore leverandørens risiko, hvis onboarding af en leverandør potentielt kan påvirke fortroligheden, integriteten og tilgængeligheden af din organisations information eller processer.

Endelig tanke

Phishing er en udbredt form for cyberangreb; heldigvis for organisationer er mange af tegnene lette at få øje på. Løbende medarbejderuddannelse, implementering af bedste praksis inden for sikkerhed og en robust tilgang til informationssikkerhed kan reducere sandsynligheden – og virkningen – af succesfulde phishing-angreb og overtrædelse af data.

I takt med at cybertruslerne fortsætter med at udvikle sig, vil proaktive virksomheder, der implementerer en flerlags tilgang til informationssikkerhed og giver medarbejderne mulighed for at fungere som deres første og vigtigste forsvarslinje, utvivlsomt høste fordelene.

Christie Rae

Christie er content marketing specialist hos ISMS.online. Med over syv års erfaring sigter hun efter at skrive informativt, engagerende indhold og har arbejdet på tværs af en række brancher, herunder cybersikkerhed, software as a service, teknologi og farmaceutiske produkter.

Læs mere fra Christie Rae

Cyber sikkerhed 4 December 2025

IO udnævnt til G2 Grid®-leder inden for styring, risiko og compliance for vinteren 2025

Vi er glade for at kunne meddele, at IO er blevet udnævnt til Leader i G2 Grid®-rapporterne for vinteren 2025. I dette kvartal opnåede IO otte badges i Rep...

Christie Rae

Cyber sikkerhed 28. November 2025

Opbygning af cybermodstandsdygtighed – hvordan du beskytter din virksomhed på Black Friday-banneret

Opbygning af cybermodstandsdygtighed: Sådan beskytter du din virksomhed på Black Friday

2025 har været præget af en række højprofilerede cyberhændelser. Et leverandørbrud fik driften hos detailgiganten M&S til at gå i stå, og kunderne...

Christie Rae

Datasikkerhed 26. November 2025

Alt du behøver at vide om ISO 27701 2025-standardopdateringsbanneret

Alt du behøver at vide om opdateringen af ISO 27701:2025-standarden

Den Internationale Standardiseringsorganisation (ISO) udgav den opdaterede ISO/IEC 27701-standard for håndtering af privatlivsoplysninger i oktober ...

Christie Rae