Phishing og digital svindel foregår ikke kun på mail. Svindlere bruger også SMS’er, telefonopkald og beskedapps til at få medarbejdere til at klikke på links, dele oplysninger, godkende betalinger eller logge ind på falske sider. Når phishing sker via SMS, kaldes det smishing. Når det sker via telefonopkald, kaldes det ofte vishing eller telefon-phishing.
For virksomheder er det en reel risiko, fordi medarbejdere bruger mobilen gennem hele arbejdsdagen. En falsk SMS om en pakke, en betaling, MitID, MFA eller en konto kan ramme midt i travlhed, hvor medarbejderen har mindre tid til at stoppe op og tjekke afsenderen.
Her får I en konkret forklaring på, hvad smishing er, hvordan phishing via SMS og telefon fungerer og hvordan I kan træne organisationen i at reagere rigtigt og undgå at blive svindlet.
Hvad er smishing?
Smishing er en form for phishing, hvor svindlere bruger SMS’er eller beskedapps til at narre modtageren. Ordet smishing er en sammentrækning af “SMS” og “phishing”.
Målet er typisk at få modtageren til at klikke på et link, indtaste loginoplysninger, dele betalingsoplysninger, downloade en falsk app eller ringe til et telefonnummer, hvor svindleren forsøger at få flere oplysninger.
Smishing minder om phishing-mails, men kan være sværere at gennemskue, fordi beskeder på mobilen ofte er korte og vises på en mindre skærm. Mange reagerer også hurtigere på SMS’er end på e-mails, især hvis beskeden handler om en pakke, en konto, en betaling eller en adgang, der snart udløber.
Hvad er forskellen på smishing, phishing og vishing?
Smishing, phishing og vishing er beslægtede former for digital svindel. Forskellen er primært den kanal, svindleren bruger.
| Begreb | Kanal | Eksempel | Typiske mål |
| Phishing | Falsk Microsoft 365-login | Stjæle adgangskoder | |
| Smishing | SMS eller beskedapp | Falsk PostNord SMS | Få klik, betaling eller oplysninger |
| Vishing | Telefonopkald | Falsk opkald fra bank eller support | Få oplysninger eller betaling via samtale |
Phishing via SMS kaldes altså smishing. Phishing via telefon eller opkald kaldes ofte vishing eller telefon-phishing. I praksis kan metoderne overlappe. En medarbejder kan fx først få en SMS og derefter blive ringet op af en person, der forsøger at virke troværdig.
Hvordan fungerer smishing?
Smishing fungerer ved, at svindlere udgiver sig for at være en troværdig afsender. Det kan være en bank, PostNord, MitID, SKAT, en leverandør, en intern kollega eller en kendt digital tjeneste.
Beskeden skaber ofte en følelse af hastværk eller bekymring. Modtageren får at vide, at en konto bliver spærret, at en pakke ikke kan leveres, eller at en betaling mangler. Derefter bliver modtageren bedt om at klikke på et link, ringe til et nummer eller bekræfte oplysninger.
Linket fører typisk til en falsk hjemmeside, der ligner en rigtig login- eller betalingsside. Hvis medarbejderen indtaster oplysninger, kan svindleren få adgang til konti, betalinger eller virksomhedens systemer.
Typiske eksempler på smishing
Smishing-beskeder er ofte skrevet, så de ligner noget, modtageren allerede kender fra hverdagen.
En klassisk variant er en falsk PostNord phishing SMS, hvor modtageren får at vide, at en pakke ikke kan leveres, eller at der mangler betaling for porto eller told. Det virker troværdigt, fordi mange forventer pakker og hurtigt reagerer på leveringsbeskeder.
Smishing kan også ligne en besked fra banken, MitID, en leverandør eller en intern afdeling. En medarbejder kan fx få en besked om, at en konto er låst, at en faktura mangler betaling, eller at et delt dokument skal åbnes via et link.
Eksempel på smishing-besked
Din pakke kan ikke leveres, før restporto er betalt. Betal her: [falsk link]
Beskeden er kort, konkret og skaber en hurtig handling. Netop derfor virker smishing ofte: Modtageren når ikke altid at stoppe op og vurdere, om beskeden giver mening.
Smishing på arbejdspladsen
Smishing er ikke kun et privat problem. Mange medarbejdere bruger mobilen til arbejde, godkendelser, MFA, beskeder, kalender, mails og interne systemer. Derfor kan en falsk SMS hurtigt blive en indgang til virksomhedens data eller systemer.
På arbejdspladsen rammer smishing ofte de situationer, hvor medarbejdere er vant til at handle hurtigt. Økonomi kan få en falsk besked om betaling eller ændrede kontooplysninger. HR kan blive ramt af beskeder om løn eller personaleoplysninger. IT og medarbejdere kan modtage falske beskeder om login, MFA eller nulstilling af adgangskoder. Ledelsen kan få beskeder, der ligner hastende anmodninger fra kollegaer, leverandører eller samarbejdspartnere.
Derfor bør smishing indgå i virksomhedens arbejde med awareness-træning og phishing-træning. Medarbejdere skal ikke kun lære at spotte falske mails. De skal også kunne genkende svindel på SMS, telefon og andre beskedkanaler.
Hvad skal medarbejdere gøre ved en mistænkelig SMS?
Når en medarbejder modtager en mistænkelig SMS, bør processen være enkel.
Stop op, og undgå at klikke.
Svar ikke på beskeden.
Del ikke personlige oplysninger.
Ring ikke til telefonnumre i beskeden.
Gå direkte til afsenderens officielle hjemmeside eller app.
Kontakt afsenderen via en kendt kanal, hvis beskeden virker vigtig.
Rapportér beskeden internt til IT eller den sikkerhedsansvarlige.
Det vigtigste er, at medarbejderen ikke selv skal gætte. Der skal være en tydelig intern proces for, hvor mistænkelige SMS’er, opkald og beskeder skal rapporteres.
Hvad skal I gøre, hvis en medarbejder klikker?
Hvis en medarbejder klikker på et link i en smishing-besked, er det vigtigste at reagere hurtigt og roligt.
- Stop handlingen med det samme.
- Kontakt IT eller den sikkerhedsansvarlige.
- Skift adgangskode, hvis loginoplysninger er indtastet.
- Kontrollér MFA og aktive sessioner.
- Tjek om der er installeret en app eller givet tilladelser.
- Undersøg om andre medarbejdere har modtaget samme besked.
- Dokumentér hændelsen og de handlinger, I har gennemført.
- Brug hændelsen som læring i den næste awareness- eller phishing-træning.
Et klik behøver ikke udvikle sig til en alvorlig hændelse, hvis medarbejderen siger det hurtigt, og virksomheden har en klar proces. En god sikkerhedskultur handler ikke om skyld. Den handler om at opdage fejl tidligt og reagere rigtigt.
Sådan kan virksomheder beskytte sig mod smishing
Smishing kan ikke fjernes med ét værktøj alene. Det kræver både tekniske foranstaltninger, klare processer og medarbejdere, der ved, hvordan de skal reagere.
Det første skridt er at gøre det tydeligt, hvordan medarbejdere skal håndtere SMS’er og telefonopkald, der beder om login, betalinger eller personlige oplysninger. Hvis beskeden handler om penge, adgang eller data, bør medarbejderen altid kunne tjekke den via en kendt kanal.
Dernæst bør smishing indgå i awareness-træningen. Det gør medarbejderne bedre til at genkende svindel, når den ikke kommer som en klassisk e-mail. Træningen bør bruge eksempler fra hverdagen, fx falske pakkebeskeder, MFA-beskeder, leverandørbeskeder og telefonopkald.
Virksomheder bør også have klare godkendelsesprocesser for betalinger, ændringer af kontooplysninger og adgang til systemer. Jo tydeligere processen er, desto lettere er det for medarbejderen at opdage, når en besked bryder med normalen.
Sådan kan I træne medarbejdere i at genkende smishing
Smishing bør indgå i jeres generelle arbejde med awareness og phishing-træning. Medarbejdere skal ikke kun lære at genkende falske e-mails, men også svindelforsøg via SMS, telefonopkald og beskedapps.
Træningen bør tage udgangspunkt i situationer, medarbejderne faktisk møder i hverdagen. Det kan være falske pakkebeskeder, beskeder om MitID, MFA, betalinger, leverandører, HR eller interne godkendelser. Jo mere genkendelige eksemplerne er, desto lettere bliver det for medarbejderne at stoppe op, før de klikker.
Det er også vigtigt, at træningen gør det klart, hvad medarbejderen skal gøre i tvivlstilfælde. De bør vide, hvordan de tjekker en besked via en kendt kanal, hvem de skal kontakte internt, og hvordan de rapporterer mistænkelige SMS’er eller opkald.
God træning bør derfor kombinere tre ting: konkrete eksempler, klare interne processer og løbende opfølgning. På den måde bliver smishing ikke bare noget, medarbejderne har hørt om én gang, men en del af deres daglige sikkerhedsvaner.
Med SecureFirst kan I samle awareness-træning, phishing-simuleringer, rapportering og dokumentation ét sted. Det gør det lettere at arbejde struktureret med medarbejderadfærd og følge udviklingen over tid.
Book en demo, eller prøv vores phishing-modul gratis.
