Den nye svindel kommer
ikke fra fremmede.
Den ringer fra jeres CEO's nummer. Skriver i jeres CFO's tone. Lyder som jeres bogholder. AI har gjort kopier så gode, at teknik alene ikke længere kan stoppe dem. Sikkerhed handler nu lige så meget om procedurer som om systemer.
Fire angreb der ikke fandtes for to år siden.
Generativ AI har gjort svindel skalérbart, billigt og overbevisende. Det, der før krævede en hel kriminel organisation, kan en enkelt aktør nu udføre fra en bærbar.
Stemmen i røret er ikke jeres direktør.
AI kan klone en stemme præcist fra 30 sekunders LinkedIn-video. Svindleren ringer til CFO'en, lyder helt som CEO'en, og beder om en hasteoverførsel, med samme tonefald, samme pauser, samme småord.
"Hej, det er mig, jeg er midt i et møde med advokaten. Kan du overføre 800.000 til den her konto inden klokken 15? Jeg forklarer i morgen."
Mailen er skræddersyet til jer.
AI læser jeres hjemmeside, LinkedIn-profiler og pressemeddelelser, og skriver derefter en mail i jeres præcise sprog, refererer til jeres nyeste kunde, jeres team, jeres branche-jargon. Det "lyder rigtigt", fordi det er bygget på rigtige data.
Tidligere gav stavefejl og dårligt sprog svindleren væk. I dag er teksten bedre end den fra jeres egen marketingafdeling.
Personen på Teams-mødet findes ikke.
I 2024 mistede et Hong Kong-baseret selskab 25 mio. USD efter et videomøde, hvor alle "kolleger" var AI-genererede deepfakes. Teknologien er nu billig nok til at ramme danske SMV'er. Et videomøde er ikke længere bevis på, hvem du taler med.
Real-time deepfake-video kører nu på en almindelig gaming-PC. Forsinkelsen er under et sekund.
Domænet ligner jeres på pixel-niveau.
AI genererer hundreder af domæner der ligner jeres, plus tilhørende mailskabeloner, alt sammen før morgenmaden. Et "rn" der ligner "m", et tilføjet bindestreg, et ".co" i stedet for ".dk", kombineret med en perfekt copy-tone slipper det forbi 9 ud af 10 mennesker.
Klassiske eksempler: bestsecurlty.dk · best-security.dk · bestsecurity.co, alle realistiske, alle mulige i dag.
Det I plejede at stole på, kan I ikke længere stole på.
I årtier har vi lært medarbejdere at "se efter advarselstegn". I AI-tiden er advarselstegnene væk. Det betyder ikke at sikkerhed er umuligt, det betyder at sikkerhed nu sker andre steder end ved øjet.
Stemmer
En stemme på telefonen er ikke længere bevis. AI kan kopiere stemme, tonefald og talemåde fra få sekunders lyd.
Videoer og billeder
Et videoopkald viser ikke længere hvem der taler. Real-time deepfake virker på almindelige laptops.
Afsenderfelter og sprog
"Fra:"-feltet kan forfalskes. Teksten kan være skrevet i jeres præcise tone. Stavefejl er ikke længere et advarselstegn.
Hastværk og pres
Svindleren ved at presset bryder procedurer. "Det skal være nu, jeg er i et møde" er ikke en undskyldning, det er et signal.
Procedurer der virker mod morgendagens AI.
Det fælles ved alle fire procedurer: De bygger ikke på at genkende svindel. De bygger på at gøre svindel umulig at gennemføre, selv hvis den ikke opdages.
Fire-øjne-princippet på alle betalinger
Ingen betaling over en aftalt grænse, fx 50.000 DKK, må effektueres af én person alene. To medarbejdere skal uafhængigt godkende, helst via to forskellige systemer. Det er den enkleste og mest effektive procedure i listen, og den findes typisk allerede i jeres bogholderisystem som "approval workflow".
Hemmeligt kodeord før godkendelse
Når CEO ringer og beder om en hasteoverførsel: Et på forhånd aftalt kodeord skal nævnes, eller spørges efter, før beløbet effektueres. Et ord som "er det stadig 'Solgården'?" kan ikke gættes af AI, og det er gratis at indføre. Mange virksomheder har allerede dette på plads.
Kanal-skift ved alle hastesager
Modtager I en haste-anmodning på mail? Ring tilbage på det nummer I selv kender, ikke det nummer der står i mailen. Modtager I et opkald? Ring tilbage via firmaets switchboard. Modtager I en SMS? Verificér i et videoopkald. Aldrig samme kanal for både anmodning og bekræftelse.
Indbygget ventetid på alle store overførsler
Beløb over fx 100.000 DKK har 15 minutters ventetid før effektuering, uanset hvor presserende det virker. Det giver tid til at ringe tilbage, tjekke procedurer, tale med en kollega. Hastværk er svindlerens våben, ventetid er jeres modtræk.
Det hemmelige kodeord, gratis, simpelt, virker.
Idéen er ældgammel. Soldater brugte feltråb. Bankfolk brugte koder. Den fungerer fordi den udnytter den ene ting AI ikke kan: kendskab til jeres interne aftaler, der aldrig er nedskrevet noget sted.
Princippet er enkelt: Ledelsen aftaler ét eller flere kodeord, et tilfældigt ord, en familiehistorie, en intern joke, som kun er kendt mundtligt mellem de relevante personer. Kodeordet skal nævnes (eller spørges efter) ved enhver godkendelse af betalinger over en aftalt grænse.
Hvis kodeordet ikke kommer, eller hvis det er forkert, stopper transaktionen. Ingen undtagelser. Heller ikke hvis CEO'en lyder presset. Heller ikke hvis "det er en speciel situation". Hele pointen er at fjerne menneskelig vurdering fra den kritiske beslutning.
Vi anbefaler at skifte kodeordet hver kvartal, og at det kun deles ansigt-til-ansigt, aldrig på mail, SMS eller telefonopkald.
Vil I høre hvordan I indfører de her procedurer i jeres firma?
Ring til os eller udfyld formularen. Vi ringer tilbage inden for én arbejdsdag og taler om jeres konkrete situation, uden pres, uden salgssnak.
Eller ring 82 82 82 9510 spørgsmål I bør stille jer på næste ledermøde.
Tag denne tjekliste med til jeres næste direktionsmøde. Hvis I ikke kan svare ja på alle 10, er der huller i jeres procedurer som AI-svindlere kan udnytte.
Har vi en skriftlig beløbsgrænse for hvornår fire-øjne-princippet aktiveres?
Har vi et hemmeligt kodeord, og kender alle relevante personer det?
Skifter vi kodeordet med faste intervaller (fx hvert kvartal)?
Ved alle medarbejdere, at de altid skal ringe tilbage på et kendt nummer?
Har vi indbygget ventetid på overførsler over en aftalt grænse?
Træner vi medarbejderne i AI-trusler, ikke kun klassisk phishing?
Ved alle, at "det haster" er et signal til at gå LANGSOMMERE, ikke hurtigere?
Er der en eskaleringskanal hvor medarbejdere kan spørge uden frygt?
Tester vi vores procedurer med simulerede angreb mindst én gang om året?
Står det skrevet hvem der må godkende hvad, og bliver det fulgt?
Et angreb der slap forbi mail-filteret stoppes af en procedure I altid følger. Et angreb der slipper forbi en procedure stoppes ikke af nogen.
Procedurer er gratis at indføre. Vi hjælper med resten.
De fire procedurer ovenfor koster jer ingenting at sætte op, men de kræver at jeres medarbejdere er trænet og at jeres tekniske forsvar fanger de angreb der trods alt slipper igennem. Det er her vi kommer ind.
Phish Insights, træning der virker
Realistiske simulerede phishing-angreb sendt til jeres medarbejdere. AI-genereret indhold, tilpasset jeres branche. Resultater bliver til lærepunkter, uden navngivning, uden skam.
Læs mereEmail Security (CAS / EMS)
AI-drevet mail-forsvar der fanger BEC, typosquat og collaboration-angreb før de når jeres medarbejdere. Når proceduren skal være sidste forsvarslinje, ikke første.
Læs mereIT Support og sparring
Når I skal indføre procedurer i praksis, opsætning af approval workflows, dokumentation, træning af nye medarbejdere. Vi taler dansk og kender SMV-virkeligheden.
Læs mereKlar til at indføre procedurer der virker mod AI?
Vi tager en uforpligtende snak om hvor I står i dag, og hvor I bør være i morgen. Ingen salgssnak, ingen pressede beslutninger, bare en konkret vurdering af jeres procedurer.