E-learning

IT- og Cyber Security Awareness: AI-phishing der lyder som din chef

By januar 20, 2026No Comments

IT- og Cyber Security Awareness: AI-phising der lyder som din chef

Du kender situationen. 

Indbakken kører, Teams pinger, og så lander der en besked fra “din chef”. Tonen er helt rigtig. Den er kort. Den virker relevant. Og der er lige et element af tidspres: “Jeg skal til møde – send mig lige…” 

Det er præcis derfor AI-phishing virker nu. 

Skrevet af Eya Beldi

Microsoft beskriver i Digital Defense Report 2025, at AI-automatiseret phishing opnår markant højere klikrater end klassiske phishingforsøg (54% vs. 12% i deres eksempel), altså ikke fordi folk er blevet dummere, men fordi angrebene er blevet bedre til at lyde “interne” og troværdige.

“Det her skete for mig” (og hvorfor det er vigtigt)

Jeg modtog selv en mail, der udgav sig for at være vores CEO hos Grape, Peter Hindkjær. Den havde ikke de gamle “scam-signaler” (dårligt sprog, mærkelig formatering osv.). Den lød bare… plausibel.

Pointen er ikke at udstille nogen. Pointen er at vise medarbejdere, at det ikke længere er sikkert at stole på ‘viben’ i en mail.

Hvorfor de gamle råd ikke længere beskytter jer

Det klassiske råd “find stavefejl og dårlig grammatik” falder fra hinanden, når generativ AI kan:

  • skrive fejlfrit dansk
  • efterligne en intern tone-of-voice
  • gøre beskeden kort og “travl”
  • ramme det rigtige tidspunkt (fx lige før møder, deadlines, lønkørsler)

Og når phishing bliver sværere at spotte visuelt, bliver modtrækket nødvendigvis mere proces- og adfærdsbaseret: pause → verificér → rapportér.

Kompromitterende emails er dyre

(og de kræver ikke avancerede hacking evner)

 

Business Email Compromise (BEC) er i sin kerne social engineering: nogen udgiver sig for at være en betroet person (chef, leverandør, økonomi) for at få nogen til at overføre penge eller dele følsomme oplysninger. FBI beskriver BEC som en af de mest økonomisk skadelige online kriminalitetsformer.

Samtidig viser FBI’s IC3 rapport, at de samlede rapporterede tab til internetkriminalitet nåede et rekordniveau (bl.a. omtalt som $16,6 mia. i rapporten), og FBI’s egen pressemeddelelse fremhæver samme størrelsesorden.

Den nye baseline-regel:

Alt med penge, adgang eller data skal verificeres “out-of-band”

 

Hvis en besked handler om:

  • penge / betalingsændringer / kontonumre
  • adgang / MFA-koder / credentials
  • følsomme filer / persondata / kontrakter
  • “hurtige undtagelser” fra normal proces

…så skal medarbejderen have én fast refleks:

Pause → Verificér → Rapportér

Verificér out-of-band betyder: bekræft via en anden kanal, du allerede stoler på (kendt telefonnummer fra kataloget, eksisterende intern tråd, godkendt workflow), ikke ved at svare på mailen eller ringe til et nummer i signaturen.

NCSC anbefaler at gøre processer mere modstandsdygtige ved at sikre, at vigtige mail-anmodninger verificeres via en anden kommunikationsform.

CISA anbefaler tilsvarende out-of-band verifikation ved wire/payment-anmodninger, der ser ud til at komme fra ledelsen.

Tre AI-scenarier alle medarbejdere bør træne

(igen og igen)

 

1) “Kan du lige opdatere betalingsoplysningerne?”

Klassikeren, men nu skrevet i perfekt tone, ofte med bedre timing og mere kontekst.

Trænet refleks: Ingen betalingsændringer uden verificeret proces + godkendelser (og altid out-of-band).

2) Email bombing → Teams-besked → “IT-support” impersonation

Microsoft beskriver angrebskæder, hvor email bombing bruges til at skabe stress og kaos, hvorefter angriberen skifter kanal (fx Teams) og udgiver sig for at være IT-support for at få fjernadgang.

Trænet refleks: Pludselig mail-flood + “support” der tager kontakt = stop, verificér via officiel IT-kanal, og rapportér.

3) Ledelsesimpersonation med video/voice (deepfakes)

Arup-sagen fra Hong Kong er et brutalt eksempel: deepfake-video/voice i et møde førte til overførsler på ca. US$25 mio.

Trænet refleks: Selv “ansigt/voice” overstyrer aldrig proces ved høj risiko.

Hvorfor awareness skal være en øvelse, ikke en politik

De fleste organisationer har allerede en IT-sikkerhedspolitik.

Det, der ofte mangler, er en fælles muskelhukommelse under pres.

Det er netop derfor scenarie-baseret træning virker bedre end “læs og bekræft”. Og hvis I vil måle klogere end bare “klikrate”, kan NIST’s Phish Scale hjælpe med at vurdere sværhedsgrad og designe mere retfærdige phishing-øvelser.

Hvad I bør gøre nu (IT + HR/L&D)

Hvis AI-phishing er blevet sværere at spotte, skal jeres forsvar være lettere at udføre.

Anbefaling: Rul et kort, scenario-baseret IT Security Awareness e-learning kursus ud, og gør det obligatorisk for hele organisationen.

Hos Grape er vores IT-sikkerhedskursus bygget som 9 moduler og er designet til at give et solidt fundament i god IT-sikkerhed (varighed angivet som 30 min.), så medarbejdere kan opbygge den samme “pause, verificér, rapportér” refleks.

SE MERE om E-Learning