Tjekliste: Kan du spotte en falsk e-mail? Det kan koste dig dyrt, hvis du ikke kan!
Hver dag bliver der sendt millioner af falske e-mails, der ligner noget fra din bank, din chef – eller måske bare en “faktura” fra en kunde. Ét forkert klik kan koste dine data, penge eller virksomhedens omdømme.
Men hvordan genkender du en falsk mail i tide?
Er det nok at se på afsenderen – eller gemmer faren sig i links og vedhæftede filer?
Jeg har samlet en praktisk og brugervenlig tjekliste, du (eller dine kolleger) kan bruge, hver gang en e-mail føles bare en smule forkert. Den er lavet, så alle – også ikke-tekniske brugere – kan følge den.
Hvad kan du selv gøre, hvis du modtager en email, som du føler kunne være mistænkelig?
Mange har spurgt mig hvordan jeg selv håndtere sådanne mails. Jeg har derfor samlet mine egne tjek-punkter i nedenstående liste, som du skal være velkommen til at bruge.
| Tjek afsender og indhold | |
| ▢ Afsenderens e-mailadresse | – Ser den rigtig ud? Tjek især det der kommer efter snabelaet (fx @ma1crosoft.com i stedet for @microsoft.com). – Brug evt. musen til at holde over navnet – så ser du hele adressen. |
| ▢ Navn stemmer ikke overens med e-mailadressen | – Hvis navnet siger fx “HR-chef” men adressen er en Gmail – pas på! |
| ▢ Uopfordret og presserende sprog | – Bruger e-mailen trusler eller haster-ord som “NU”, “vigtigt”, “haster”, “konto bliver lukket”? Klassisk phishing! |
| ▢ Stavefejl og dårlig grammatik | – Dårligt oversat tekst eller stavefejl er ofte tegn på, at noget ikke stemmer. – AI hjælper i dag med at teksterne bliver bedre! |
| ▢ For godt til at være sandt | – Har du “vundet noget” – uden at have deltaget? Pas på. |
| ▢ Tidspres | – Hvis teksten indeholder noget med at du skal svare indenfor få dage eller timer, så pas på. |
| ▢ Bestemte handlinger | – Vær især på vagt, hvis mailen beder dig om: > At overføre penge > At godkende en faktura > At dele CPR- eller loginoplysninger |
| Tjek links (uden at klikke!) | |
| ▢ Hold musen over links | – Højreklik ikke – hold blot musen over linket. Visningen nederst i browseren eller mailklienten afslører, hvor linket egentlig fører hen. Matcher det teksten? |
| ▢ Log aldrig ind via linket i mailen. | – Hvis mailen udgiver sig for at være fra fx bank, IT-afdeling, MitID eller SKAT: Gå selv til den officielle hjemmeside og log ind der. |
| ▢ Skjulte URL’er | – Hvis teksten siger fx “www.mitid.dk” men linket peger på noget andet, fx bit.ly/XYZ123 eller russia-nemid.ru så er dette mistænkeligt! |
| Vedhæftede filer | |
| ▢ Er der en uventet vedhæftet fil? | – Vær ekstremt forsigtig. Særligt med .zip, .exe, .js, .docm eller makroaktiverede Office-filer. – Du bør ikke åbne eller downloade mistænkelige filer. Kontakt evt. virksomhedens IT-afdeling. |
| ▢ Navn og type virker mistænkelig? | – Filnavne som “faktura”, “lønseddel”, “sagsnummer”, uden kontekst, er typiske trick-navne. |
| Afsenders troværdighed og relation | |
| ▢ Uventet mail | – Kommer mailen, kravet, mv. uventet? Hvis ja, så vær ekstra påpasselig. |
| ▢ Kender du personen? | – Hvis det ligner en kollega, ven eller chef – men noget virker off, så kontakt personen på en anden kanal (telefon, sms, Teams). |
| ▢ Er det en falsk chef (CEO fraud)? | – Hvis en “chef” beder dig overføre penge eller give oplysninger, uden det giver mening: stop og dobbelttjek! Gerne fysisk med Chefen. |
| ▢ Slå hjemmesiden op | – Kopier domænet (det efter snabelaet, fx comm2ig.dk) og slå det op på nettet. Kontroller nu telefonnumre, adresser i forhold til mailen. – Kontroller fx en faktura ved at ringe til telefonnummeret på hjemmesiden (ikke den i mailen) |
| ▢ Brug aldrig kontaktoplysninger, som står i den mistænkelige mail | – Hvis en svindler skriver “hvis du er i tvivl, så ring til vores kundeservice på 88 88 88 88” – så kan det også være fup. |
| Hvad gør du nu | |
| ▢ Lyt til din mavefornemmelse | – ”If in doubt, leave it out!” – stol på dig selv og den træning, som du har fået løbende. – Kontakt afsenderen, som skrevet ovenfor, på en anden måde, for at få mailen verificeret. |
| ▢ Besvar ikke en mail, hvis du er i tvivl | – Marker som phishing eller spam. |
| ▢ Markér som phishing eller spam | – Hjælper både dig og andre. – Bedre end blot at slette mailen. |
Spørg IT – hvis du er i tvivl. Hellere en gang for meget, end for lidt!
Pas på, hvis du læser mails på mobilen!
Det er fristende – og helt normalt – at læse e-mails på sin smartphone. Men vær ekstra forsigtig, når du gør det! På mobilen bliver mange af de detaljer, der kan afsløre en falsk mail, nemlig skjult eller forkortet:
- Vedhæftede filer åbnes nemt ved et uheld
- Du ser ofte kun navnet, ikke hele mailadressen
- Links forkortes, så du ikke kan se hele URL’en
- Det er sværere at “holde musen over” et link uden at klikke
- Du kan ikke se hele mail-headeren uden ekstra apps eller teknisk viden
Hvis du er i tvivl, så luk mailen op på en pc og undersøg den der – det giver dig bedre overblik og flere muligheder for at spotte svindel.
Vis, at du faktisk HAR reageret, hvis mailen skulle vise sig at være god nok.
Hvis du er i tvivl om fx. en faktura er korrekt og vælger at slette mailen, så vil jeg anbefale dig at sende en email til den mailadresse, der står på hjemmesiden – og ikke den mailadresse, der står i mailen – hvor du oplyser dem om at denne mail, med dette reference nummer, osv. er blevet slettet, fordi du mistænkte den for at være svindel. For skulle det nu vise sig at fakturaen ikke var falsk og du nu bliver mødt med et rykkergebyr, så kan du henvise til din fremsendte mail, der viser at du har handlet og ikke bare forholdt dig passiv og slettet mailen ukritisk.’
For dig, der gerne vil kigge lidt dybere…
De fleste mistænkelige e-mails kan afsløres med nogle simple tjek – som vi allerede har gennemgået. Men hvis du gerne vil gå et spadestik dybere og har lidt teknisk snilde (eller bare nysgerrighed), så er der flere ting, du selv kan undersøge.
Det kræver ikke, at du er IT-ekspert – bare at du har lyst til at kigge lidt under motorhjelmen. Her får du en række ekstra tjek, som kan hjælpe dig med at afsløre mere avanceret fup og forstå, hvordan svindlere forsøger at narre dig.
| ▢ Google dele af mailens indhold | – Kopiér fx hele sætninger fra mailen og søg dem i Google. – Mange phishingmails er masseudsendelser og er tidligere blevet rapporteret – de dukker ofte op på fora som Reddit, eller scam-advarsler på fx: > https://www.scamwatcher.com > https://www.virustotal.com/ > https://www.reddit.com/r/Scams/ |
| ▢ Se mailheaders (mere teknisk – men nyttigt) | – Du kan se, om mailen virkelig kommer fra det sted den påstår. Kig efter: > Received: linjer (viser rute) > Return-Path: (ofte den egentlige afsender) > SPF, DKIM, DMARC status (hvis de fejler rødt flag) – Brug fx online værktøjer til at analysere headers: > https://mxtoolbox.com/EmailHeaders.aspx |
| ▢ Åbn mailen i “ren tekst”-tilstand | – Mange mailklienter (fx Thunderbird) giver mulighed for at åbne mailen i “plain text”. – Her kan du nemt se skjulte links, trackingpixels, eller forsøg på at skjule noget visuelt. – Outlook: Få vist “Meddelelseskilde” → højreklik på mailen > “Vis kilde”. |
| Tjek om link eller afsender er kendt som ondsindet | |
| ▢ Tjek domænet | – Brug WHOIS-værktøjet til at tjekke domænet: https://who.is/ – Hvis domænet er meget nyt (oprettet for få dage siden) → rødt flag. – Hvis ejerinfo er skjult bag “privacy protection”, og domænet prøver at ligne noget officielt (som skattestyrelsen-support.dk) → mistænkeligt. |
| ▢ Brug online sikkerhedstjenester: | – https://www.virustotal.com/ – tjek links eller filer – https://www.urlvoid.com/ – tjek domæner – https://haveibeenemotet.com/ – tjek for kendte Emotet-svindeladresser – https://haveIbeenpawned.com – tjek om mailadressen har været hacket før |
| ▢ Tjek for skjulte “reply-to”-felter | – Afsender ser måske ud som info@netbank.dk, men svaret ryger til scam@hotmail.com. – Kig i headeren efter feltet Reply-To: og se, om det matcher From:. |
| ▢ Spor IP-adressen (via mailheaders) | – I headeren (se tidligere punkt) kan du finde IP-adressen på serveren, mailen kom fra. – Brug fx: https://whatismyipaddress.com/ip-lookup – Hvis mailen siger den er fra Danmark, men IP’en peger på Pakistan, Rusland eller lignende → rødt flag. |
| ▢ Analyser links med sandbox-værktøjer (OBS! Med forsigtighed) | Hvis du er lidt teknisk og meget forsigtig, kan du bruge: > https://urlscan.io/ – indtast mistænkeligt link og se, hvad det ville gøre (uden du klikker). > https://any.run/ – avanceret sandbox til mistænkelige filer og URL’er (mest for nørder). |
Der findes garanteret flere forslag til, hvordan man kan tjekke modtagne e-mails. Disse er lige dem, som jeg har kunne trække frem basseret på hvad jeg selv (og mine skønne kollegaer) gør. Har du et forslag, så send det gerne til mig.
Du skal være velkommen til at kopiere ovenstående og bruge det i din egen virksomhed eller blot derhjemme. Det væsentlige for mig er at vi – ved fælles hjælp – får passet på hinanden.
