Guides, Overblik & Viden

Phishing i 2026: 12 tegn på en farlig mail (og hvad virksomheden bør gøre som minimum)

Ida Mortensen
Ida Mortensen
Redaktør, Braco
 · 11. marts 2026 · 11 min læsning

Det tager ofte under 10 sekunder at falde i en phishing-fælde — og uger at rydde op bagefter.

I denne artikel får du en praktisk gennemgang af de mest almindelige phishing-mønstre, hvordan medarbejdere kan spotte dem i hverdagen, og hvilke fem basistiltag virksomheder bør have på plads for at reducere risikoen markant. Jeg skriver ud fra det, der typisk virker i praksis: konkrete tegn at kigge efter, realistiske processer og enkle kontrolpunkter, der kan indføres uden at lamme forretningen.

Du får også typiske faldgruber (og hvordan du undgår dem), samt et realistisk blik på omkostninger: hvad koster det at gøre “det rigtige” — og hvad koster det typisk, når man lader stå til.

Hvad er phishing — og hvorfor betyder det noget?

Phishing er en form for social engineering, hvor en angriber udgiver sig for at være en troværdig afsender (fx Microsoft, banken, en leverandør eller en chef) for at få en medarbejder til at aflevere adgangskoder, godkende en login-anmodning, åbne en fil eller overføre penge. Det betyder noget, fordi phishing ofte er første skridt til kontoovertagelse, ransomware eller databrud — og de hændelser rammer ikke kun IT, men drift, økonomi og omdømme.

CFCS (Center for Cybersikkerhed) beskriver løbende trusselsbilledet og peger netop på phishing som en udbredt indgangsvinkel i mange angrebskæder. Se fx CFCS’ side om cybertruslen: https://www.cfcs.dk/da/trusselsvurderinger/cybertruslen/.

Mini-konklusion: Phishing er sjældent “bare en irriterende mail” — det er ofte den billigste vej for angriberen til at få et fodfæste i virksomheden.

De mest almindelige phishing-mønstre, du ser i danske virksomheder

Phishing har udviklet sig fra kluntede engelske mails til veloversatte beskeder med korrekt logo, realistiske signaturer og troværdige afsendernavne. Her er mønstrene, jeg ser oftest i danske organisationer.

1) “Din konto bliver lukket” (konto- og adgangs-phishing)

Mailen påstår, at din Microsoft 365-, e-Boks-, Adobe- eller bankkonto er suspenderet, og at du skal “bekræfte” eller “opdatere” inden for få minutter. Linket fører til en falsk login-side, hvor brugernavn og adgangskode opsnappes.

Praktisk detalje: Mange sider er i dag hostet på legitime tjenester (fx kompromitterede WordPress-sites eller cloud-hosting), så URL’en kan se “pæn” ud ved første øjekast.

2) “Chef-svindel” og betalingsbedrageri (BEC)

Her udgiver angriberen sig for at være CEO, CFO eller en projektleder: “Kan du lige overføre 148.700 kr. til denne konto? Det er fortroligt.” Eller: “Vi har skiftet bank, opdater venligst vores kontonummer.” Det sker især op til ferier, travle perioder eller sidst på dagen, hvor tempoet er højt.

Mini-konklusion: Chef-svindel lykkes sjældent på grund af tekniske huller alene, men fordi processer for betaling og leverandørændringer ikke er stærke nok.

3) “Delte dokumenter” og falske Teams/SharePoint-notifikationer

En mail eller Teams-besked siger, at “Anna har delt et dokument med dig” eller “Du har fået en sikker besked”. Klik fører til login-siden, eller en fil downloades. Angriberen udnytter, at vi er vant til at få delinger og notifikationer mange gange om dagen.

4) MFA-træthed og “godkend login” (push-bombing)

Hvis virksomheden bruger push-baseret MFA (fx “Godkend” i en app), kan angriberen forsøge at logge ind gentagne gange. Medarbejderen får en strøm af prompts og trykker til sidst godkend for at få ro. Denne metode ses typisk efter, at adgangskoden allerede er lækket via phishing eller genbrug.

5) Vedhæftninger med “faktura”, “scannet dokument” eller “lønseddel”

Vedhæftningen kan være en PDF med et link, en Office-fil med makroer, eller en fil der forsøger at stjæle sessions/cookies. I praksis er “faktura” stadig en af de mest effektive lokkemidler, fordi den passer ind i næsten alle virksomheders hverdag.

Sådan spotter medarbejdere phishing: en enkel tjekliste, der virker

Den bedste awareness er ikke lange kurser én gang om året, men en kort, gentagelig tjekliste, som medarbejdere faktisk bruger. Her er en liste, jeg ofte lærer teams at have i baghovedet.

  • Haster det? “Inden 30 min” er et rødt flag. Angribere vil styre din adfærd med tidspres.
  • Stemmer afsender og domæne? Tjek hele mailadressen, ikke kun visningsnavnet. “it-support@micros0ft.com” er klassikeren.
  • Hvor fører linket hen? Hold musen over linket. Ser det ud som en mærkelig URL, forkortet link eller en uventet cloud-adresse?
  • Er teksten “næsten” korrekt? Små sproglige skævheder, mærkelige mellemrum og generiske hilsner (“Kære bruger”) er ofte tegn.
  • Er anmodningen usædvanlig? Ændring af kontonummer, køb af gavekort, login “for at se dokument” eller deling uden kontekst.
  • Kan du verificere via en anden kanal? Ring til personen på et kendt nummer, eller skriv i en eksisterende chat-tråd.

Mini-konklusion: Når medarbejdere lærer at stoppe op ved “hast + link + usædvanlig anmodning”, fanger de en stor del af phishing uden at være sikkerhedseksperter.

De typiske fejl i hverdagen — og hvordan du undgår dem

Mange virksomheder “gør noget” ved phishing, men ender alligevel sårbare på grund af klassiske faldgruber. Her er dem, jeg oftest støder på i praksis.

Fejl 1: Awareness uden klare handlemuligheder

Hvis medarbejdere kun får at vide, at de skal være opmærksomme, men ikke ved, hvad de skal gøre, når de er i tvivl, så klikker de ofte videre for at komme tilbage til arbejdet. Løsningen er enkel: en tydelig “sådan rapporterer du”-knap i mailklienten, eller en fast procedure (fx videresend til sikkerhedsteam) og et svar tilbage, så medarbejderen lærer af situationen.

Fejl 2: MFA er slået til, men kan omgås i praksis

Push-MFA uden ekstra beskyttelse kan gøre jer sårbare for MFA-træthed, især hvis adgangskoder genbruges. Overvej MFA-metoder med højere sikkerhed (fx number matching eller FIDO2/security keys) og begræns, hvem der kan bruge SMS som fallback.

Fejl 3: For brede rettigheder og “alle er admin”

Når mange har lokale administratorrettigheder, eller når delte postkasser og fælles logins flyder, bliver konsekvensen af et enkelt kompromitteret login meget større. Det samme gælder, hvis en bruger har adgang til hele filserveren “fordi det er nemmere”.

Mini-konklusion: Phishing bliver farligt, når én fejl kan blive til fuld adgang — så fokusér på at begrænse konsekvensen, ikke kun på at forhindre klik.

De 5 basistiltag virksomheder bør have på plads (med konkrete råd)

Du kan ikke træne dig ud af alt phishing. Derfor bør fundamentet være fem basistiltag, der gør det svært at misbruge stjålne credentials og begrænser skaden, hvis det alligevel sker. For mange virksomheder giver det mening at tage udgangspunkt i en struktureret indsats som IT-sikkerhed til virksomheder og derefter tilpasse til jeres risiko, branche og drift.

1) MFA overalt, men rigtigt implementeret

MFA (multi-factor authentication) bør være standard for e-mail, VPN, fjernadgang, økonomisystemer og administrationskonti. Men detaljerne betyder alt.

  • Prioritér phishing-resistent MFA, hvor det er muligt (fx FIDO2 eller app med number matching).
  • Slå MFA til på alle konti, især admin- og økonomikonti.
  • Begræns “legacy authentication” og gamle protokoller, der kan omgå moderne login.
  • Indfør klare regler for recovery: hvem kan nulstille, og hvordan verificeres identitet?

Hvad koster det? Ofte er MFA inkluderet i licenser (fx i mange cloud-setup), men arbejdstiden ligger i udrulning, support og strammere politikker. Den omkostning er typisk lavere end én enkelt kompromitteret mailkonto, der bruges til fakturasvindel.

2) Adgangspolitik: mindst mulige rettigheder i praksis

En adgangspolitik behøver ikke være et langt dokument. Den skal være enkle regler, der kan kontrolleres:

  1. Least privilege: brugere har kun adgang til det, de skal bruge.
  2. Ingen delte konti: sporbarhed er afgørende ved hændelser.
  3. Adskil admin og bruger: admin-konti bruges kun til admin-opgaver.
  4. Offboarding samme dag: når medarbejdere stopper, lukkes adgange og tokens.
  5. Styring af eksterne: tidsbegrænset adgang og godkendelsesflow.

I praksis ser jeg, at “offboarding” og “for brede mapperettigheder” er to af de steder, der giver hurtigst risikoreduktion, fordi de ofte er lette at forbedre med tydelige ejere og faste tjek.

3) Backup: 3-2-1 og test af restore

Backup handler ikke kun om at have kopier, men om at kunne gendanne hurtigt og korrekt. En klassisk tommelfingerregel er 3-2-1: tre kopier af data, på to forskellige medier, hvoraf én er offline eller isoleret.

  • Tag backup af både endpoints/servers og cloud-data (fx mail og SharePoint), hvis jeres løsning kræver det.
  • Isolér en backup-kopi mod ransomware (immutable/offline).
  • Test restore regelmæssigt: kan I gendanne en mailboks, en filmappe og et kritisk system?
  • Definér RPO/RTO: hvor meget datatab kan I acceptere, og hvor hurtigt skal I være oppe?

Mini-konklusion: En backup, der ikke er testet, er i praksis en antagelse — og antagelser holder dårligt under pres.

4) Opdateringer og patch management: luk de kendte huller

Phishing fører ofte til første adgang, men angreb udvikler sig med udnyttelse af kendte sårbarheder i browsere, VPN, plugins eller operativsystemer. Derfor er opdateringer et “kedeligt”, men ekstremt effektivt tiltag.

  • Hold OS, browser og Office opdateret automatisk.
  • Prioritér internet-eksponerede systemer (VPN, firewalls, mail gateways).
  • Fjern forældet software: gamle Java-versioner, plugins og ubrugte programmer.
  • Lav en fast patch-cadence og en nødprocedure for kritiske CVE’er.

Hvad koster det? Typisk tid til planlægning, test og evt. driftspartner. Men gevinsten er stor: mange angreb lykkes, fordi patches ligger udrullet “senere”.

5) Awareness og rapporteringskultur, der fungerer i en travl hverdag

Awareness virker bedst, når det er kort, hyppigt og koblet til en konkret adfærd: stop op, tjek, rapportér. Byg en kultur, hvor det er legitimt at være i tvivl.

Gode praksisser:

  • Korte micro-træninger (5–10 min) hver eller hver anden måned.
  • Simuleret phishing med læring, ikke udskamning.
  • En tydelig “rapporter mistænkelig mail”-funktion.
  • Feedback-loop: medarbejdere får svar på, om det var phishing, og hvorfor.

Mini-konklusion: Awareness er en proces, ikke en kampagne — og den skal gøre det let at gøre det rigtige, også når man har travlt.

Når en medarbejder har klikket: de første 30 minutter gør forskellen

Det vigtigste er at reagere hurtigt og roligt. I flere sager har jeg set, at skaden blev begrænset markant, fordi medarbejderen rapporterede med det samme i stedet for at “håbe det gik”. Hav derfor en enkel plan, som alle kender.

  1. Stop handlingen: luk fanen, åbn ikke flere vedhæftninger, og godkend ikke MFA-prompts.
  2. Rapportér straks via jeres kanal (IT/helpdesk/sikkerhed).
  3. Skift adgangskode på en sikker enhed, hvis der er indtastet credentials (og genkald sessions, hvis muligt).
  4. Tjek kontoaktivitet: login fra ukendte lokationer, regler i mailbox, nye videresendelser.
  5. Isolér enheden, hvis der er kørt filer/makroer, så IT kan undersøge.

En vigtig detalje: Mange angribere opretter mailregler, der skjuler svar fra leverandører eller videresender fakturaer. Derfor bør mailbox-regler og viderestillinger være blandt de første steder, IT tjekker.

Hvad “koster” phishing i praksis — og hvad koster forebyggelse?

Omkostningen ved phishing afhænger af, om det “kun” er en kompromitteret mailkonto, eller om det eskalerer til ransomware eller betalingssvindel. De direkte udgifter kan være timer til IT-indsats, nedetid og eventuelle konsulenter; de indirekte kan være tabt omsætning, mistet tillid og ekstra kontrolkrav fra kunder.

Forebyggelse med de fem basistiltag ligger typisk i et spænd fra “primært driftstid og bedre processer” til licenser og implementering, afhængigt af jeres udgangspunkt. Det er ofte en bedre investering at bruge fx en halv dag på at få styr på adgangspolitik, MFA-indstillinger og backup-restore, end at bruge to uger på at rydde op efter kompromitterede konti og økonomiske transaktioner.

Mini-konklusion: De mest effektive tiltag er sjældent de mest avancerede — de er de mest konsekvent gennemførte.

Bedste praksis: sådan får du basistiltagene til at hænge sammen

Phishing-sikring lykkes bedst, når tekniske kontroller og menneskelig adfærd understøtter hinanden. Her er en praktisk måde at tænke det på:

  • MFA reducerer værdien af stjålne adgangskoder.
  • Adgangspolitik begrænser, hvor langt en angriber kan komme.
  • Backup gør jer robuste, hvis noget går galt.
  • Opdateringer lukker kendte huller, der bruges til eskalering.
  • Awareness øger
Ida Mortensen
Ida Mortensen
Skribent & redaktør · Braco
Ida er erhvervsjournalist med 12 års erfaring inden for B2B-kommunikation og industrianalyse. Hun specialiserer sig i at afkode komplekse forretningsprocesser og gøre dem tilgængelige for danske virksomhedsledere.

Relaterede artikler