Hvordan ser en phishing mail ud, og hvordan spotter man falske mails i praksis?

Mails er stadig et af de vigtigste digitale værktøjer i hverdagen. Vi bruger dem til arbejde, regninger, pakker, mødeindkaldelser, login, dokumentdeling og beskeder fra både virksomheder og offentlige tjenester. Netop derfor er mailen også et oplagt mål for cyberkriminelle. En phishing mail er en falsk mail, der forsøger at narre modtageren til at klikke på et link, åbne en fil, indtaste loginoplysninger eller dele informationer. Den kan ligne en besked fra en bank, en fragtvirksomhed, Microsoft 365, en leverandør, HR-afdelingen eller en kollega.

For private kan det være frustrerende. For virksomheder kan det være alvorligt. Ét klik kan i værste fald føre til misbrug af loginoplysninger, databrud eller adgang til interne systemer. Derfor arbejder flere virksomheder i dag med phishing simulationer, hvor medarbejdere træner på realistiske, men ufarlige testmails. SecureFirst er et eksempel på en løsning, der bruger praktiske phishing-tests, øjeblikkelig feedback og awareness-træning til at gøre medarbejdere bedre til at spotte falske mails i hverdagen.

Hvad er en phishing mail?

En phishing mail er en mail, der udgiver sig for at være noget andet, end den er.

Formålet er at få modtageren til at foretage en handling. Det kan for eksempel være at:

• klikke på et link
• indtaste brugernavn og adgangskode
• åbne en vedhæftet fil
• godkende en betaling
• dele personlige eller fortrolige oplysninger
• installere software
• give adgang til en konto eller et system

En phishing mail kan være sendt til mange mennesker på én gang, men den kan også være målrettet en bestemt virksomhed, afdeling eller person. Jo mere troværdig mailen virker, desto større er risikoen for, at nogen klikker.

Hvordan ser en phishing mail typisk ud?

Der findes ikke én bestemt skabelon for en phishing mail. Nogle er tydeligt falske med dårligt sprog og mærkelige links. Andre er næsten umulige at gennemskue ved første øjekast.

Typiske phishing mails kan ligne:

• en besked fra Microsoft 365 om, at adgangskoden udløber
• en mail fra en fragtvirksomhed om en pakke
• en faktura fra en leverandør
• en besked fra banken
• en HR-mail om løn eller ferie
• en delt fil fra en kollega
• en sikkerhedsadvarsel om mistænkelig loginaktivitet
• en besked om MFA eller totrinsbekræftelse

Det er netop det, der gør phishing svært. Mailen ligner ofte noget, der passer ind i en normal arbejdsdag.

SecureFirst fremhæver i sit phishing-indhold, at realistiske scenarier er vigtige i træningen. Hvis medarbejdere kun ser åbenlyst falske mails, bliver de ikke nødvendigvis bedre til at spotte de angreb, der faktisk ligner almindelige beskeder fra hverdagen.

7 tegn på en falsk mail

Selvom phishing mails kan være svære at opdage, er der nogle klassiske faresignaler, man bør kigge efter.

1. Afsenderadressen ser næsten rigtig ud

Phishing mails bruger ofte afsenderadresser, der ligner den rigtige. Det kan være små ændringer, som man let overser.

Eksempler:

• [[email protected]](mailto:[email protected]) i stedet for [[email protected]](mailto:[email protected])
• et ekstra bogstav i domænet
• en mærkelig endelse
• en mailadresse, der ikke matcher virksomhedens navn
• en privat mailadresse, selvom afsenderen påstår at være en virksomhed

Det er en god vane altid at tjekke afsenderadressen – ikke kun navnet, der vises i mailprogrammet.

2. Linket peger et andet sted hen

Et af de mest almindelige tricks i phishing mails er links, der ser rigtige ud, men fører til en falsk side.

Teksten kan for eksempel sige “Log ind på Microsoft 365”, men linket kan pege til en helt anden hjemmeside.

På en computer kan man ofte holde musen over linket uden at klikke. På mobilen er det sværere, og netop derfor er phishing på smartphones ekstra risikabelt.

Hvis linket ser mærkeligt ud, er det bedre at gå direkte til den rigtige hjemmeside via browseren i stedet for at klikke i mailen.

3. Mailen forsøger at skabe hastværk

Mange phishing mails prøver at få modtageren til at handle hurtigt.

Det kan være formuleringer som:

• “Din konto bliver lukket i dag”
• “Betal nu for at undgå gebyr”
• “Din pakke bliver returneret”
• “Du skal bekræfte din adgang med det samme”
• “Svar straks”

Hastværk er effektivt, fordi det får modtageren til at springe de kritiske spørgsmål over. Derfor bør mails med pres og korte deadlines altid vurderes ekstra grundigt.

4. Mailen beder om loginoplysninger

En seriøs virksomhed vil sjældent bede dig om at indtaste loginoplysninger via et tilfældigt link i en mail.

Hvis en mail beder om brugernavn, adgangskode, betalingsoplysninger eller MitID-lignende oplysninger, bør alarmklokkerne ringe.

I virksomheder kan denne type mail være særligt farlig, fordi loginoplysninger kan give adgang til mailkonti, cloudsystemer, dokumenter og interne værktøjer.

5. Der er en uventet vedhæftet fil

Vedhæftede filer kan bruges til at sprede skadelig software eller lokke modtageren til at åbne dokumenter med farligt indhold.

Vær særligt opmærksom på filer, du ikke forventede at få. Det gælder især, hvis mailen samtidig forsøger at få dig til at handle hurtigt.

Eksempler kan være:

• falske fakturaer
• løndokumenter
• pakkelabels
• kontrakter
• scannede dokumenter
• zip-filer

Hvis du er i tvivl, bør du kontakte afsenderen via en anden kanal, før du åbner filen.

6. Sproget eller tonen passer ikke

Nogle phishing mails har tydelige sproglige fejl. Andre er velskrevne, men tonen passer ikke helt.

Måske skriver en “kollega” på en måde, der ikke ligner vedkommende. Måske virker en leverandør pludselig mere pressende end normalt. Eller måske beder mailen om noget, der ikke passer til jeres normale arbejdsgang.

Det er ikke altid nok at kigge efter stavefejl. Moderne phishing kan være sprogligt overbevisende. Kig derfor også på kontekst, timing og formål.

7. Beskeden passer ikke til din hverdag

Et af de bedste spørgsmål er: “Forventede jeg denne mail?”

Hvis du ikke har bestilt en pakke, ikke venter en faktura, ikke har bedt om nulstilling af adgangskode og ikke kender afsenderen, bør du stoppe op.

Phishing virker ofte, fordi mailen ligner noget velkendt. Men hvis indholdet ikke passer til din situation, er det værd at undersøge nærmere.

Sådan spotter man falske mails i praksis

Det bedste forsvar mod phishing er ikke kun at kende faresignalerne. Det er at gøre dem til en vane.

En praktisk tjekliste kan være:

• Tjek afsenderen grundigt.
• Hold øje med mærkelige links.
• Klik ikke, hvis mailen skaber unødigt hastværk.
• Åbn ikke uventede vedhæftede filer.
• Indtast ikke loginoplysninger via links i mails.
• Spørg afsenderen via en anden kanal, hvis du er i tvivl.
• Rapportér mistænkelige mails internt.

For virksomheder bør denne viden ikke kun ligge i en enkelt mail fra IT-afdelingen. Den bør trænes løbende, så medarbejdere kan genkende faresignalerne i virkelige situationer. Det er her phishing simulationer bliver relevante.

Hvad er phishing simulation?

Phishing simulation er en sikker test, hvor medarbejdere modtager realistiske, men ufarlige phishing mails. Formålet er at træne medarbejderne i praksis. Hvis en medarbejder klikker i en testmail, sker der ingen skade. I stedet får medarbejderen feedback, der forklarer, hvad der gjorde mailen mistænkelig. Med en løsning som SecureFirsts phishing simulation kan virksomheder sende realistiske testmails, følge klikrater og se, hvordan medarbejdernes adfærd udvikler sig over tid. Det gør phishing-træning mere konkret end en traditionel gennemgang eller en årlig påmindelse.

Hvorfor realistiske phishing mails virker bedre end teori

Mange ved godt, at de skal være forsigtige med links. Alligevel sker fejl i praksis. Det skyldes ofte, at phishing rammer i en travl hverdag. En medarbejder er på vej til møde, svarer hurtigt fra mobilen eller behandler mange mails på én gang. I den situation kan en falsk mail slippe igennem. Derfor giver det mening at træne med eksempler, der ligner rigtige situationer. SecureFirst arbejder eksempelvis med phishing-tests, der kan ligne mails om fakturaer, pakker, HR, løn, Microsoft 365 og MFA. Det gør træningen tættere på den hverdag, hvor risikoen opstår.

Feedback skal komme med det samme

En vigtig del af phishing-træning er feedback. Hvis medarbejderen først får at vide flere uger senere, at de klikkede i en testmail, er læringen mindre konkret. Situationen er ikke længere frisk. SecureFirsts tilgang bygger på øjeblikkelig feedback. Når en medarbejder klikker i en phishing simulation, får personen med det samme forklaret, hvilke faresignaler mailen indeholdt.

Det kan være:

• afsenderadressen
• linkets destination
• usædvanligt hastværk
• uventet vedhæftning
• forkert tone
• en besked, der ikke passer til normal arbejdsgang

På den måde bliver en fejl i en sikker test omsat til læring, som medarbejderen kan bruge næste gang.

Falske mails skal trænes uden skyld

Phishing-træning bør ikke handle om at udstille medarbejdere. Det bør handle om at gøre dem bedre. Hvis medarbejdere føler sig fanget eller udskammet, kan det skade tilliden. Det kan også gøre dem mindre tilbøjelige til at rapportere mistænkelige mails, fordi de frygter at have gjort noget forkert. Derfor bør virksomheder arbejde med phishing på en konstruktiv måde. Det handler om at skabe sikre vaner, ikke om at finde syndebukke. SecureFirst fremhæver i sin tilgang til phishing simulation og awareness-træning, at læring skal ske i øjenhøjde. Medarbejderne skal forstå, hvad de overså, og hvad de kan gøre anderledes næste gang.

Kombinér phishing simulation med awareness-træning

Phishing simulation viser, hvordan medarbejdere reagerer i praksis. Awareness-træning giver dem viden om, hvordan de skal reagere. De to ting bør hænge sammen. Hvis en phishing test viser, at mange klikker på mails om Microsoft-login, kan virksomheden lave målrettet træning i falske login-sider, MFA og sikre adgangskoder. Hvis mange klikker på fakturamails, kan økonomiafdelingen få mere specifik træning. SecureFirst samler phishing simulation og awareness-træning i samme platform. Det gør det lettere for virksomheder at gå fra observation til handling og at følge, om medarbejderne bliver bedre over tid.

Eksempel: Sådan kan en phishing mail vurderes

Forestil dig, at du får en mail med emnet: “Din Microsoft 365-konto bliver lukket i dag”. Mailen beder dig klikke på et link for at bekræfte din adgang.

Før du klikker, bør du spørge:

• Kommer mailen fra en rigtig Microsoft-adresse?
• Peget linket faktisk på Microsofts domæne?
• Er det normalt, at kontoen lukkes samme dag?
• Beder mailen om loginoplysninger via et link?
• Kan jeg gå direkte til Microsoft 365 i stedet for at klikke?
• Har IT varslet denne besked?

Hvis flere af svarene virker mistænkelige, bør mailen ikke åbnes videre. Den bør rapporteres eller kontrolleres via en sikker kanal.

Kort tjekliste: Sådan spotter du en phishing mail

Før du klikker, så tjek:

• Hvem er afsender?
• Hvor peger linket hen?
• Forventede du mailen?
• Er der kunstigt hastværk?
• Beder mailen om login eller betaling?
• Er der en uventet vedhæftet fil?
• Passer tonen til afsenderen?
• Kan du bekræfte beskeden på en anden måde?

Hvis du er i tvivl, så lad være med at klikke.

Når falske mails bliver en del af træningen

Phishing mails bliver mere troværdige, og de rammer både private og virksomheder. Derfor er det ikke nok at kende de klassiske faresignaler. Man skal også træne dem i praksis.

For virksomheder kan phishing simulationer være en effektiv måde at gøre træningen konkret. Med realistiske testmails, øjeblikkelig feedback og løbende rapportering kan medarbejdere blive bedre til at spotte falske mails, mens virksomheden får overblik over udviklingen.

SecureFirsts phishing simulation er et eksempel på, hvordan virksomheder kan arbejde mere systematisk med dette. Sammen med awareness-træning og dokumentation kan phishing-træning blive en fast del af virksomhedens digitale sikkerhedskultur.