Phishing er fortsat en af de mest almindelige måder for angribere at få adgang til virksomhedsnetværk på. Det efterligner legitim daglig forretningskommunikation, så det er en ideel teknik til at indsamle værdifulde forretningsoplysninger ubemærket. I den britiske regerings rapport Cyber Security Breaches Survey 2025 var phishing den mest almindelige type databrud eller angreb rapporteret af virksomheder, der identificerede hændelser, hvilket påvirkede 85 % af dem og svarede til 37 % af alle virksomheder generelt.
Bevidsthedstræning skal være et forretningskrav, ikke blot en compliance-opgave. Ét vellykket phishing-forsøg kan eksponere legitimationsoplysninger, give adgang til interne systemer og skabe problemer, der spreder sig langt ud over en enkelt medarbejders indbakke.
Problemet er, at mange organisationer stadig stoler på engangsindsatser for bevidsthed, selvom phishing konstant ændrer sig. Et mere effektivt program kan give medarbejderne gentagen øvelse, klarere rapporteringsvaner og understøttende kontroller, der reducerer virkningen af fejl.
Hvordan phishing ser ud i en erhvervssammenhæng
Phishing mod virksomheder har udviklet sig ud over åbenlyst falske e-mails fyldt med stavefejl. I praksis er det langt mere sandsynligt, at medarbejdere støder på realistiske forsøg såsom:
- Anmodninger om kontoverificering
- Notifikationer om delte dokumenter
- Loginsider til gængse forretningsplatforme
- Godkendelser af fakturaer
- HR-opdateringer
- Beskeder fra betroede leverandører eller interne ledere.
Hvis et teammedlem svarer, kan angribere derefter bruge oplysninger, de har indsamlet om medarbejdere eller virksomheder, til at gøre beskederne mere overbevisende og realistiske, især i mere målrettede kampagner.
Spear-phishing, efterligning af ledelsen og indsamling af legitimationsoplysninger
Uddannelse i phishing-bevidsthed skal forberede teams på adskillige mønstre på én gang. Spear-phishing er en af de mest almindelige varianter af phishing. I stedet for at sende en generisk besked til tusindvis af modtagere skræddersyr angriberen e-mailen til en bestemt rolle, et projekt, en kollega eller et leverandørforhold.
Beskeden føles troværdig, fordi den er opbygget omkring noget, som medarbejderen realistisk set ville forvente at se. Denne form for målretning gøres ofte mere overbevisende af oplysninger indsamlet fra virksomhedens websteder, offentlige profiler eller andre onlinekilder.
En anden variant af phishing er efterligning af ledelsen, som undertiden kaldes CEO-svindel. Her efterligner angriberen en overordnet leder eller en vigtig interessent for at skabe en følelse af hastværk omkring en betaling, en fil eller en anmodning om legitimationsoplysninger, hvilket presser personalet til at overføre penge eller oplysninger, medmindre de normale verifikationsprocesser følges.
Et tredje mønster er indsamling af legitimationsoplysninger. I disse angreb skubbes medarbejderen mod en falsk loginside, der er designet til at opsnappe brugernavne, adgangskoder og nogle gange endda engangskoder (OTP).
Phishing-træning skal afspejle virkelige forretningsgange frem for at give generiske råd. Mange phishing-sider er bygget til at ligne værktøjer, som medarbejderne allerede bruger hver dag.
Hvorfor rutinemæssige forretningsbeskeder er så effektive
Phishing er fortsat effektivt i organisationer, fordi det ofte falder i ét med de daglige aktiviteter. En falsk login-prompt behøver kun at føles velkendt længe nok til, at nogen handler på autopilot. Det samme gælder for leverandørbeskeder, meddelelser om delte dokumenter eller hastende interne anmodninger.
Det er derfor, træning ikke kun bør fokusere på mistænkelige formuleringer eller dårlig grammatik. Medarbejderne har også brug for at forstå, hvordan angribere udnytter normale arbejdsmetoder. Tænk over, hvordan Deres organisation fungerer, og hvordan De kan hjælpe personalet med at genkende anmodninger, der falder uden for de normale processer, især når penge, legitimationsoplysninger eller følsomme oplysninger er involveret.
Eksempler på nylige databrud
Nylig rapportering om databrud understreger pointen om, at phishing i virksomheder nu rækker langt ud over simple svindelnumre i indbakken.
Ifølge Protons Data Breach Observatory blev lykønskningskortfirmaet Hallmark Cards målrettet af den kriminelle afpresnings-hackergruppe kendt som ShinyHunters. Gruppen indhentede oplysninger tilhørende Hallmark Cards fra Salesforce og gav virksomheden en afpresningsfrist, der skulle overholdes. I sidste ende lækkede gruppen 2,8 millioner unikke optegnelser.
ShinyHunters er særdeles aktive og har målrettet sig mod mange profilerede virksomheder i de seneste måneder. I januar 2026 blev tøjmærket Canada Goose sat i forbindelse med et databrud på omkring 600.000 kundeoplysninger. Dataene stammede fra et databrud hos en tredjepart, der fandt sted i august 2025.
Disse eksempler er nyttige, fordi de viser, hvordan phishing ser ud i forretningsmiljøer nu: ikke bare bedrag i indbakken, men angreb rettet mod leverandører, identitetssystemer, intern adgang og de tillidsforhold, organisationer forlader sig på hver dag.
Hvorfor bevidsthed alene ikke er nok
Bevidsthed om phishing er vigtig, men det er ikke nok i sig selv. Medarbejdere begår ikke fejl, blot fordi de mangler information. De begår dem også, fordi de har travlt, er distraherede, under pres eller bevæger sig hurtigt gennem arbejdsgange, hvor en phishing-besked ved første øjekast nemt kan fremstå som legitim.
Det er derfor, træning ikke bør bygges op omkring den idé, at enhver medarbejder kan spotte ethvert phishing-forsøg. Organisationer kan ikke udelukkende stole på brugerregistrering. Nogle angreb vil stadig slippe igennem, hvilket betyder, at teknisk kontrol, klare processer og brugeruddannelse skal arbejde sammen.
Et stærkere træningsprogram i phishing-bevidsthed er bygget op omkring denne virkelighed. Det hjælper medarbejderne med at genkende almindelige advarselstegn, stoppe op, når noget føles forkert, rapportere hurtigt og arbejde inden for systemer, der gør en enkelt fejl lettere at inddæmme. Det hænger også naturligt sammen med beredskab i forbindelse med hændelser.
Hvis nogen klikker på et skadeligt link eller deler legitimationsoplysninger, har organisationen brug for en hurtig og klar reaktionsvej. Træning bliver meget mere effektiv, når medarbejderne ved, hvad der sker, efter en rapport er indsendt, og hvilken rolle de spiller. Protons vejledning til håndtering af hændelser kan hjælpe jeres organisation med at sammensætte en plan.
Hvordan ser et effektivt træningsprogram i phishing-bevidsthed ud?
Et effektivt træningsprogram i phishing-bevidsthed er ikke bygget op omkring en enkelt årlig session og et par forældede eksempler. Det er løbende, praktisk og designet ud fra den måde, folk rent faktisk arbejder på. Dette betyder regelmæssig opfølgning, realistiske scenarier og feedback, der hjælper medarbejderne med at opbygge en bedre dømmekraft over tid.
I praksis bør phishing-bevidsthed optræde i mere end ét øjeblik. Det bør være en del af onboarding, genopfriskningskurser, korte scenariebaserede påmindelser og evalueringer af hændelser, ikke noget medarbejderne ser én gang og glemmer. Det skal også afspejle den reelle eksponering.
En person, der beskæftiger sig med fakturaer, ledelsesstøtte, leverandørkommunikation, privilegeret adgang eller følsomme optegnelser, vil sandsynligvis stå over for andre former for phishing-pres end en person i en arbejdsgang med lavere risiko. NCSC’s vejledning om phishing afspejler denne virkelighed ved at bemærke, at medarbejdere med adgang til følsomme oplysninger, finansielle aktiver eller it-systemer kan være kraftigere målrettet.
Praksis skal også anvendes korrekt. Simuleret phishing kan være nyttigt, men ikke når det bliver til en øvelse i at placere skyld. Dårligt håndterede simuleringer kan skade tilliden og afskrække folk fra at rapportere fejl, hvis de føler, at de bliver afsløret frem for støttet.
Et stærkere program bruger simuleringer omhyggeligt, giver øjeblikkelig feedback og øger sværhedsgraden gradvist. Det forsøger ikke at bevise, at medarbejderne er lette at narre. Det hjælper dem med at opbygge mønstergenkendelse, rapporteringsvaner og større selvtillid i reelle situationer.
De fem phishing-faresignaler, som medarbejdere stadig overser
Mange medarbejdere kender de klassiske advarselstegn, men de overser stadig de mere subtile tegn, der forekommer i virkelige forretningsangreb. Træning i phishing-bevidsthed er meget mere nyttig, når den lærer folk at genkende de mønstre, der passer ind i deres daglige arbejde.
1. En besked, der passer til arbejdsgangen, men ændrer kanalen eller hastigheden
De mest effektive phishing-e-mails ser slet ikke tilfældige ud. De ligner anmodninger om fakturaer, delte dokumenter, lønopdateringer eller login-notifikationer, som medarbejdere forventer at modtage.
Det, der ændrer sig, er hastigheden, hemmeligholdelsen eller processen. En angriber ønsker, at målet skal springe de normale kontroller over. Vejledning fra NCSC advarer specifikt om, at angribere udnytter forretningsprocesser og anmodninger, herunder anmodninger om oplysninger eller uautoriserede betalinger.
2. Et troværdigt afsendernavn, der skjuler et dårligt domæne eller en forfalsket kilde
Medarbejdere fokuserer ofte på visningsnavnet og ikke på den fulde adresse, svarstien eller domænet. Det er en af grundene til, at anti-spoofing-kontroller betyder noget, men træning skal stadig lære folk at sætte tempoet ned, når et kendt varemærke eller en kollega virker en smule ”forkert”.
NCSC råder organisationer til at gøre e-mail-spoofing sværere gennem kontroller såsom Domain-based Message Authentication, Reporting, and Conformance (DMARC), Sender Policy Framework (SPF) og DomainKeys Identified Mail (DKIM). Tilsammen hjælper disse e-mail-godkendelsestjek modtagende systemer med at verificere, om en besked virkelig kommer fra det domæne, den hævder at komme fra.
3. En login-side, der ser normal nok ud
Sider til høst af legitimationsoplysninger behøver ikke at se perfekte ud. De skal blot føles velkendte længe nok til, at en medarbejder indtaster et brugernavn og en adgangskode. I praksis kan den største ledetråd være kontekst snarere end design: Hvorfor dukker denne login-anmodning op nu, og hvorfor gennem denne rute?
4. En anmodning, der beder om hurtighed frem for verificering
Efterligning af ledere, fakturasvindel og leverandørsvindel læner sig ofte op ad hastighed. Beskeden er udformet til at få verificering til at føles ubelejlig eller illoyal. Stærk phishing-træning bør lære, at uventet hastighed ikke bare er mistænkeligt sprog; det er et signal om at skifte fra e-mail-svartilstand til verificeringstilstand.
5. En situation, hvor rapportering føles pinlig
Et af de mest oversete advarselstegn er internt snarere end teknisk: En medarbejder bemærker noget mærkeligt, men tøver med at rapportere det, fordi de er usikre, har for travlt eller er bange for at se skødesløse ud.
NCSC advarer mod at irettesætte brugere, der kæmper med at genkende phishing, fordi frygt for repressalier undertrykker rapportering. Sunde programmer lærer derfor medarbejdere, at det er nyttigt at rejse en bekymring tidligt, selv hvis beskeden viser sig at være harmløs.
Hvad der sker, når træning fejler
Når phishing-træning fejler, måles skaden ofte i legitimationsoplysninger, før den måles andre steder. En bruger indtaster en adgangskode i en falsk portal, godkender en uventet prompt eller deler login-detaljer gennem en overbevisende anmodning, der ser intern ud. Fra det tidspunkt handler problemet ikke længere kun om én beslutning i indbakken. Det bliver et problem med adgangskontrol.
Det er her, forbindelsen mellem phishing og adgangskodehygiejne bliver så kritisk. Hvis den samme adgangskode genbruges på tværs af flere tjenester, kan én kompromitteret legitimationsoplysning blive en rute til e-mail, SaaS-værktøjer, skyplatforme eller admin-systemer. Hvis delte login stadig håndteres via uformelle eller ukontrollerede metoder, falder ansvarligheden endnu mere.
Protons Data Breach Observatory Report bemærker, at navne og e-mails optræder i 9 ud af 10 databrud, at 72 % af databrud indeholder kontaktdata, og at 49 % inkluderer adgangskoder. Det betyder, at angribere ofte har præcis det råmateriale, de har brug for til at gøre phishing mere overbevisende og til at udnytte genbrug af adgangskoder, når de lykkes.
Nylige eksempler på databrud understreger det samme punkt fra en anden vinkel. I Protons rapportering om databrud stoppede phishing-relaterede hændelser i 2026 ikke ved et klikket link; de blev til netværksadgang, intern eksponering og bredere forretningshændelser. Det er derfor, forebyggelse af phishing-angreb ikke kun kan bestå af medarbejdergenkendelse. Det skal også reducere, hvor langt stjålne legitimationsoplysninger kan rejse, når én konto er kompromitteret.
Unikke adgangskoder til hver tjeneste er en af de enkleste og mest værdifulde kontroller her. De forhindrer ikke et phishing-forsøg i at finde sted, men de hjælper med at begrænse konsekvenserne. Hvis én adgangskode bliver stjålet, bør den ikke låse fem andre systemer op.
En sikker adgangskodeadministrator til erhverv understøtter en strategi for sikkerhedskultur. Proton Pass for Business er designet til at hjælpe teams med at generere og gemme stærke, unikke adgangskoder til hver tjeneste, hvilket reducerer risikoen for, at en vellykket phishing-begivenhed spreder sig i hele organisationen.
En praktisk model til phishing-træning for medarbejdere
Det bedste sted at starte er ikke med generisk træningsmateriale, men med den måde, jeres organisation rent faktisk arbejder på.
Fokuser først på de phishing-scenarier, som medarbejdere med størst sandsynlighed vil møde: login-prompter, efterligning af leverandører, godkendelse af betalinger, notifikationer om delte dokumenter, anmodninger fra ledelsen eller angreb mod identitetsudbydere. Træning bliver meget mere nyttig, når folk kan genkende deres egen arbejdsvirkelighed i den.
Rapportering skal også være enkel og sikker. NCSC’s phishing-vejledning gør det klart, at organisationer bør hjælpe brugere med at identificere og rapportere mistænkte phishing-beskeder, mens Reporting Fraud-webstedet(nyt vindue) udgør Storbritanniens officielle rapporteringsvej for phishing og cyberkriminalitet. Medarbejdere bør vide, hvor de skal rapportere internt, hvad de skal inkludere, og hvad de skal gøre med det samme, hvis de har klikket på et link, indtastet legitimationsoplysninger eller godkendt adgang.
Træning bør understøttes af kontrolforanstaltninger, der reducerer omkostningerne ved fejl. Det omfatter e-mail-filtrering, anti-spoofing-beskyttelse, sikre login-flow, 2FA og stærkere adgangskodehygiejne. Protons erhvervsvejledning om forebyggelse af phishing-angreb peger også på værdien af klare rapporteringskanaler, gentagen praksis og overvågning for eksponerede legitimationsoplysninger.
Endelig bør De måle mere end blot klik. Klikrater i simuleringer kan være nyttige, men rapporteringsrater, tid til rapportering, mønstre for gentagne fejl og hændelser relateret til legitimationsoplysninger giver ofte et klarere billede af, om modstandsdygtigheden forbedres. NCSC anbefaler også at overveje phishing-parametre nøje, så organisationer ikke ender med at modvirke sikker rapportering.
Perfekt detektering er ikke mulig, men en stærkere respons er
Træning i phishing-bevidsthed er mest effektiv, når den bevæger sig væk fra ideen om, at medarbejdere skal kunne spotte ethvert angreb fejlfrit. Et mere realistisk mål er at opbygge et team, der kan genkende velkendte advarselstegn, rapportere bekymringer hurtigt og reagere på måder, der forhindrer én fejl i at eskalere til en større hændelse.
Det kræver mere end blot information. Det kræver gentagen praksis, eksempler, der afspejler reelle roller og arbejdsgange, samt klare processer, som medarbejdere kan stole på, når noget føles forkert. Det kræver også kontrolforanstaltninger, der reducerer virkningen af tyveri af legitimationsoplysninger, når et phishing-forsøg lykkes. Af den grund fungerer phishing-træning for medarbejdere bedst som en del af en bredere sikkerhedskultur, ikke som en isoleret bevidsthedsøvelse.
Organisationer, der reducerer phishing-risici effektivt, har tendens til at kombinere de samme elementer: praktisk træning, klare rapporteringsvaner, stærkere beredskab over for hændelser og strammere hygiejne omkring legitimationsoplysninger. Protons ressourcer om phishing-angreb og hændelsesrespons understøtter alle det samme princip: Bevidsthed er langt mere effektiv, når den bakkes op af systemer, der gør en kompromittering lettere at inddæmme.
