Læsetid: 4 min.
Spoofing er et af de mest udbredte værktøjer i cyberkriminelles arsenal, og vi møder det næsten alle sammen i hverdagen. En e-mail, der ligner den kommer fra PostNord. Et opkald, der ser ud til at være fra banken. En hjemmeside, der ligner den officielle til forveksling. For privatpersoner er spoofing blevet så almindeligt, at det kan karakteriseres som et hverdagsproblem.
Virksomheder bliver også ramt af spoofing, om end i mindre omfang grundet stærkere sikkerhedsforanstaltninger – til gengæld er konsekvenserne langt mere alvorlige. Her bruges teknikken ofte som første skridt i avanceret svindel, CEO-fraud eller målrettede erhvervsangreb, hvor både data, penge og forretningskritiske systemer er på spil.
Tallene viser, at netop denne type angreb står bag nogle af de største økonomiske tab ved cyberkriminalitet.
Derfor bør spoofing stå højt på radaren hos virksomhedsejere, it-ansvarlige og sikkerhedschefer. Det er afgørende at beskytte forretningen mod manipulation, tab og mistet tillid – så læs med her, hvor vi gennemgår, hvordan spoofing fungerer, og hvordan det kan stoppes.
Spoofing er, når en angriber udgiver sig for at være nogen eller noget, du stoler på for at narre sig til data, penge eller adgang. Det kan eksempelvis være en person, et telefonnummer, en e-mail, et website eller en enhed på dit netværk.
Spoofing er dog sjældent målet i sig selv; det er et værktøj, der ofte indgår i fx phishing, vishing (telefon), smishing (SMS), Business Email Compromise (BEC), malwareinfektioner og DDoS-angreb.
I 2024 rapporterede FBI over 16,6 mia. USD i samlede cybertab, hvor BEC og beslægtede social-engineering-angreb fortsat er blandt de mest omkostningstunge – netop angreb, der typisk starter med spoofing.
Telefon/SMS: Stol aldrig på opkalds-ID. Ring selv tilbage via kendt nummer. Del aldrig koder via telefon.
E-mail: Se efter mismatch i afsender-navn vs. domæne, usædvanlige sprog/krav/hast og DMARC-resultater i mailhovedet (IT kan gøre det synligt). Derudover er det en god idé at sikre, SPF-indstillingen er sat til "hardfail", og at DKIM-fail bliver filteret fra.
Links/web: Hold musen over link – ser du xn-- (punycode) eller små stavefejl? Gå selv til sitet via bogmærke eller ved at søge det frem.
Netværk: Uforklarlige certifikat-advarsler, hyppige session-afbrydelser eller ARP-konflikter kan indikere spoofing – giv IT besked.
Grundlæggende handler spoofing om at udnytte én af vores måske mest menneskelige mekanismer, nemlig at vi i udgangspunktet forventer, folk har gode hensigter. Vi ved jo godt, det ikke altid er tilfældet, men det er de færreste, som render rundt med en konstant agtpågivenhed og mistro til omverdenen. I stedet lærer vi, hvornår alarmklokkerne skal ringe, så vi hæver paraderne.
Det giver svindlere noget at arbejde med, for ved at udgive sig for at være nogen eller noget, du har tillid til, er der chance for, du sænker dine parader. Angriberen kan dermed nemmere overbevise dig om at dele oplysninger, godkende betalinger eller installere skadelig software.
Spoofing kan også bruges til at tilsidesætte processer ved fx at få ændret kontonumre samt manipulere afsender-id’er med det formål at omgå tekniske kontroller, som geoblokering, IP-baserede regler, kald-filtre m.m.
Hvis I oplever at blive spoofet, kan der være en række grunde til det – og det behøver ikke være fordi, der er noget galt med jeres sikkerhed. Almindelige data som offentlige kontaktdata og deltagelse i medierne gør det let at målrette CFO, økonomi eller it-drift.
Der kan dog også være mere tekniske grunde til, I bliver ramt:
Svag e-mail-autentifikation skaber en sårbarhed, svindlere kan udnytte
Mange fjernenheder og leverandører øger angrebsfladen
Høj transaktionshastighed giver angribere tempo-fordel
Derudover er der desværre også en tendens til, at hvis jeres virksomhed er bredt kendt, så er det også nemmere at genkende og derfor efterligne jer.
Ja, det kan man godt, og nogle danske virksomheder og myndigheder har efter eget ønske fået blokeret muligheden for spoofing.
Blokeringen begrænser imidlertid muligheden for fleksibelt arbejde og opkald fra udlandet, hvorfor det ikke er en holdbar løsning for alle, selvom det er effektivt.
Blokeringen betyder, man ikke kan regne med, at opkald går igennem, hvis man er i udlandet, ligesom den kan påvirke opkald og visning af numre ifm. avancerede telefoniløsninger, cloud-baseret telefoni og softphone-løsninger.
En blokering kan altså skabe komplikationer for virksomheden og gøre det sværere for borgere og kunder at genkende et ægte opkald.
Det er selvfølgelig vigtigt at kunne spotte spoofing og kende de forskellige typer, for derved bedre at kunne undgå at blive ramt af dem. Generelt handler modforanstaltningerne om at træne jeres medarbejdere og opsætte processer, der modarbejder spoofing, samt eventuelle tekniske sikkerhedsforanstaltninger.
1. Caller ID- og SMS-spoofing
Angriberen får opkald/SMS til at ligne et kendt nummer, som banken, “IT-support” eller egen hovedlinje. Formålet er typisk at lokke koder, kort-oplysninger eller en betaling ud af en medarbejder.
2. E-mail spoofing
Afsenderfelt og e-mail-headers forfalskes, så mailen ligner en legitim kollega eller en leverandør. Det kaldes også ”impersonation” og bruges i skræddersyede phishing-angreb – især BEC, Business Email Compromise. Angreb af denne type forekommer også via beskeder i Teams.
3. Website-/URL-spoofing
En angriber registrerer et look-alike domæne (fx via punycode/homoglyffer) eller maskerede links, så brugere lander på en falsk login-side.
4. IP-spoofing
Data-pakker sendes med forfalsket kilde-IP for at skjule oprindelse, snyde geokontroller eller forstærke DDoS.
5. ARP-spoofing & MAC-spoofing
På et lokalnet kan angriberen inficere ARP-cacher og afbryde/aflytte trafik eller efterligne enheders MAC-adresse.
6. DNS-spoofing
Her forfalskes DNS-cachen, så brugere sendes til en forkert IP.
7. GPS- og “deepfake”-spoofing
I GPS-spoofing får svindlere udstyr og apps til at tro, de er et andet sted. Deepfake går ud på at benytte AI til at klone en chefs eller kollegas stemme, så den lyder ægte, for at presse en “haster”-betaling igennem.
Lige præcis AI-baseret stemmeopkald og video gør, ifølge Europol, organiseret svindel mere præcis og sværere at opdage. Det er derfor også en type spoofing, vi må forvente vil stige markant i takt med, at AI bliver kraftigere og nemmere at bruge.
Implementér sikkerhedsprotokoller som SPF, DKIM, DMARC – og etablér overvågning samt rapportering. Danske myndigheder anbefaler DMARC netop for at reducere domænemisbrug.
Brug MFA, “two-person-approval” ved kontoskift/udbetalinger og bevidstliggørelse gennem regelmæssig træning med phishing-øvelser.
Økonomiske anmodninger via telefon/SMS skal altid verificeres via en anden kanal og kendt nummer – uanset hvor “ægte” opkaldet ser ud.
Bed jeres internetudbyder om at aktivere ”ingress filtrering”, som stopper pakker med falsk afsender-IP. Aktiver port-baseret adgangskontrol på switche, så enheder skal godkendes, samt IP Source Guard og port-security på switche.
Brug DNSSEC-validerende navneserver, beskyt egne DNS-zoner, og overvej DNS-filtrering for at stoppe look-alike domæner.
Håndhæv HSTS, korrekt certifikatstyring og brand-/typosquatting-overvågning for jeres domæner. Indfør zero-trust-principper, så afsender-ID alene aldrig giver adgang.
24/7 overvågning af events og endpoints hjælper med at opdage misbrug hurtigt (fx forsøg på session-overtagelse via spoofede IP’er).
Kritiske systemer, der benytter tid/position, bør have alternative timingkilder og alarmer for spoofing og jamming.
Spoofing forsvinder ikke af sig selv – men med de rigtige greb kan I gøre det svært for angriberne og let for jer selv. Hos 3Business kombinerer vi netværks- og it-viden med Arctic Wolfs markedsledende sikkerhedsløsninger.
På den måde sikrer vi jer en samlet cybersikkerhedsløsning, der reducerer siloer og forkorter tiden fra angreb til detektion og respons.
Kontakt 3Business, så samler vi de rette specialister fra Arctic Wolf og lægger en plan, der passer til jeres risikoniveau, budget og ressourcer.
Hvorfor siger nogen, at jeg har ringet til dem?
Det skyldes ofte spoofing – altså at nogen får et opkald eller en SMS til at se ud som om, den kommer fra jeres nummer. Jeres nummer er ikke overtaget; det er kun visningen hos modtageren, der er forfalsket. Når de ringer tilbage, rammer de derfor jer.
Det betyder:
I kan bruge telefonen helt normalt.
Jeres abonnement er ikke kompromitteret.
Generne ophører som regel af sig selv, fordi svindlere skifter nummer efter kort tid (typisk 1–2 uger).
Hvad kan I gøre?
Bed medarbejdere om aldrig at dele koder eller personlige oplysninger over telefon/SMS – uanset hvem der “står” som afsender.
Overvej en kort besked på telefonsvareren i perioden: “Hvis du er blevet ringet op fra vores nummer uden grund, kan det skyldes spoofing. Del ikke følsomme oplysninger – kontakt os gerne via vores officielle kanaler.”
Kan I spærre mit nummer?
Nej, det kan vi desværre ikke. At spærre nummeret ville også blokere jer selv fra at ringe og modtage opkald. Hvis generne fortsætter i længere tid, kan vores kundeservice hjælpe med at tildele et nyt nummer – men det løser sjældent mere end at vente den korte periode, spoofingen typisk står på.
Hvad gør telebranchen for at løse problemet?
Telebranchen arbejder på fælles, tekniske løsninger, der kan begrænse spoofing. Det er komplekst, særligt fordi mange legitime opkald kommer fra udlandet, men indsatsen fortsætter, og nye tiltag rulles løbende ud.
Hvad kan I gøre nu:
Hav en intern call-back-politik: Bekræft altid uventede betalings- eller kontoændringer via et kendt nummer/kanal.
Del en kort advarsel på website/kanaler, så kunder ved, at jeres nummer kan blive misbrugt i en periode.
Kontakt kundeservice, hvis generne varer ved – så finder vi en løsning, herunder evt. nyt nummer.
Hvad er forskellen på spoofing og phishing?
Phishing er angrebsformen (social engineering), spoofing er teknikken til at få angrebet til at se legitimt ud (falsk afsender, nummer, domæne, IP).
Virker DMARC virkelig mod e-mail-spoofing?
Ja, DMARC gør det muligt at afvise mails, der ikke kan verificeres – og give jer rapporter om misbrug. Sikkerhedsstyrelser anbefaler DMARC bredt.
DMARC står for Domain-based Message Authentication, Reporting and Conformance, som er en e-mail-standard, der fortæller modtagende mailservere, hvad de skal gøre med mails, der udgiver sig for at komme fra jeres domæne.
Kan man forhindre nummer-spoofing helt?
Nej, men caller-autentifikation og stærke call-back-processer reducerer risikoen markant.
Er IP-spoofing et problem for os som SMV?
Ja, især ifm. DDoS og omgåelse af IP-baserede regler. Sørg for at jeres udbydere praktiserer BCP-38, og at I har en DDoS-plan.
Hvad gør vi, hvis vi mistænker spoofing?
Stop interaktionen, verificér via kendt kanal, isolér evt. enheder, og rapporter til it-ansvarlig/leverandør. Overvej anmeldelse via de officielle kanaler til dansk politi og Europol afhængigt af hændelsen.
Sikkerhed
Læsetid: 6 min.
Bliv klogere på, hvilke cyberangreb der udgør de største trusler for danske virksomheder og hvilke konsekvenser de kan have.
Sikkerhed
Læsetid: 6 min.
Secure Access er jeres private APN, som fungerer uden VPN og usikre WiFi. Hør om løsningen fra 3's ekspert Michael Rolff.
Sikkerhed
Læsetid: 4 min.
Bliv klogere på, hvordan du kan skabe en mere sikker forbindelse på mobile enheder med et privat APN og dermed øge cybersikkerheden i din virksomhed.
Vores erfarne rådgivere er klar til at hjælpe dig med den helt rigtige løsning til din virksomhed - uanset om det drejer sig om mobilabonnement, internet, IoT eller cybersikkerhedsløsninger.
Indtast jeres oplysninger i formularen, så kontakter vores erfarne rådgivere jer i løbet af én time på hverdage mellem 8-16.
Brug for hjælp? Kontakt os her.
Se hvordan vi opbevarer og anvender dine persondata i vores Persondatapolitik