Sådan hacker de dig — og derfor virker det stadig

De fleste moderne cyberangreb starter ikke med teknologi.
De starter med mennesker.

Det er også derfor, phishing, social engineering og falske mails stadig virker — selv i virksomheder med moderne sikkerhedsløsninger, MFA og avancerede IT-systemer. For når hackere går efter mennesker fremfor systemer, handler det ikke længere kun om teknologi. Det handler om tillid, vaner og helt almindelige arbejdsdage.

Og netop dét gør angrebene svære at opdage.

Hackere leder ikke efter svage systemer — de leder efter travle mennesker

Cyberkriminelle ved godt, at virksomheder investerer i sikkerhed. Firewalls, antivirus og adgangskontrol er blevet markant bedre de seneste år.

Derfor er fokus flyttet.

I stedet for at bryde ind i systemer forsøger angribere i stigende grad at få medarbejdere til selv at åbne døren.

Det kan være:

• en haste-mail fra “direktøren”
• en falsk Microsoft-login-side
• en besked i Teams
• en leverandørmail med en vedhæftet fil
• en SMS om en pakke eller faktura

Fælles for dem alle er, at de spiller på noget menneskeligt:

• tillid
• travlhed
• autoritet
• nysgerrighed
• frygt for at gøre noget forkert

Det er ikke nødvendigvis fordi folk er uopmærksomme. Tværtimod. De fleste klik sker midt i en helt almindelig arbejdsdag, hvor tempoet er højt, og beslutninger træffes hurtigt.

Det var også et af de centrale emner i vores webinar “Sådan hacker de dig – og sådan stopper du det!”, hvor vi sammen med Fortinet satte fokus på, hvordan moderne cyberangreb ofte handler mere om manipulation og menneskelig adfærd end om klassisk hacking. 

Derfor virker phishing stadig

Mange tænker:

“Ville folk virkelig stadig falde for det?”

Ja. Det ville de.

Og det gør de.

Ikke fordi phishing-mails nødvendigvis er dårlige længere — men fordi de er blevet markant bedre.

Tidligere var phishing ofte fyldt med stavefejl, mærkelige formuleringer og tydelige faresignaler. I dag kan AI hjælpe med at skrive perfekte beskeder på flydende dansk, målrettet konkrete personer og virksomheder.

Det betyder, at angrebene:

• ser mere troværdige ud
• er sværere at gennemskue
• rammer mere præcist
• bliver mere personlige

Samtidig er mange virksomheder blevet mere digitale:

• cloud-systemer
• hjemmearbejde
• samarbejde i Teams
• digitale godkendelser
• adgang fra mobile enheder

Alt sammen gør arbejdsdagen mere fleksibel — men giver også flere steder, hvor angribere kan forsøge at manipulere medarbejdere.

Social engineering handler om psykologi — ikke IT

Når man ser nærmere på moderne cyberangreb, er det tydeligt, at de ofte minder mere om manipulation end om hacking.

Angriberen forsøger typisk at skabe en følelse hos modtageren:

• “Jeg skal handle hurtigt”
• “Det her ser vigtigt ud”
• “Det kommer fra en person, jeg stoler på”
• “Jeg tør ikke ignorere det”

Det er derfor, mange angreb bruger:

• hastebetalinger
• passwordudløb
• sikkerhedsadvarsler
• beskeder fra ledelsen
• falske login-sider

Målet er ikke nødvendigvis at narre teknologien.
Målet er at få et menneske til at handle hurtigt nok til ikke at stoppe op.

Og dét er vigtigt at forstå.

For hvis cybersikkerhed kun bliver betragtet som et teknisk problem, overser man ofte den største angrebsflade: menneskelig adfærd.

AI har gjort angrebene endnu mere overbevisende

AI har ikke opfundet phishing eller social engineering.
Men AI har gjort det lettere at skalere og professionalisere.

I dag kan angribere:

• skrive fejlfri mails på dansk
• efterligne virksomheders tone of voice
• researche medarbejdere via LinkedIn
• generere troværdige beskeder på sekunder
• automatisere målrettede angreb

Vi ser også eksempler på:

• deepfake-stemmer
• falske videomøder
• AI-genererede profiler
• avanceret impersonation

Det betyder, at klassiske faresignaler bliver sværere at spotte.

Og netop derfor bliver awareness stadig vigtigere — men også mere kompleks.

Awareness alene løser ikke problemet

Det er fristende at tro, at løsningen bare er mere træning.
Men mennesker kommer altid til at lave fejl.

Det afgørende er derfor ikke, om nogen klikker forkert på et tidspunkt.
Det afgørende er, hvad der sker bagefter.

Moderne cybersikkerhed handler derfor i høj grad om at bygge sikkerhed op omkring menneskelig adfærd:

• MFA
• conditional access
• begrænsede rettigheder
• segmentering
• sikker deling
• overvågning
• governance
• awareness og træning

Ikke fordi medarbejdere er problemet — men fordi mennesker er mennesker.

Den største sikkerhedsrisiko er ofte helt almindelige situationer

De fleste cyberangreb starter ikke dramatisk.

De starter i det små:

• en travl mandag morgen
• en hurtig godkendelse
• et klik i en mail
• en besked, der ligner noget velkendt

Og netop derfor er moderne cybersikkerhed ikke kun et spørgsmål om teknologi. Det er også et spørgsmål om kultur, processer og opmærksomhed i hverdagen.

For hackere behøver ikke nødvendigvis hacke systemerne først.

De skal bare få et menneske til at stole på dem.