Rapport

Danmark cyber: volumener, vektorer og forbrugs-signaler

Live-visning af hændelser og svindelmekanismer for 2024–2025.

12 min læsetid

Et kompakt overblik over hændelsesvolumener, almindelige indgangspunkter (phishing, tyveri af legitimationsoplysninger, eksponerede API’er) og hvor organisationer investerer. Vi og vores underleverandører og partnere opdaterer dette med offentlige statistikker og anonymiserede indsigter.

Brug dette til at orientere ledelsen om, hvad der sker nu i Danmark, hvad der driver tabene, og hvilke kontroller der får budget, fordi de faktisk reducerer risikoen.

Omfang og kilder

  • Omfang: Danske organisationer med internetvendte apps/API’er, SaaS-miljøer og betalings-eksponering (B2C og B2B).
  • Kilder: offentlige situationsrapporter, sektoradvarsler, hændelsesoffentliggørelser, retsdokumenter og vores anonymiserede engagementdata.
  • Kadence: opdateres når nye offentlige data kommer; tendenser ser 12–18 måneder tilbage for at udjævne støj.

Ledelsesresumé

  • E-mail-baseret indgang forbliver dominerende: phishing og sessionstyveri fortsætter med at åbne døren for de fleste hændelser.
  • API-eksponering stiger hurtigt: tokens med for brede rettigheder og svage autorisationskontroller ses i flere reelle hændelser.
  • Bedragerimetoder ændrer sig hurtigt: muldvarperekruttering og fakturamanipulation tilpasser sig stærkere MFA og bankkontroller.
  • Investeringssignaler: organisationer prioriterer phishing-resistent MFA, runner-isolering i CI/CD og verifikation af artefakter før deploy.

Hændelsesvolumener (vejledende)

Vi grupperer sager efter dominerende vektor for at holde billedet beslutningsklart. Optællinger er retningsgivende og de-duplikeret, hvor det er muligt.

  • Phishing/sessions-tyveri: stabil høj baseline med periodiske stigninger knyttet til tematiserede kampagner (levering, skat, fordele).
  • Business email compromise (BEC): færre men mere alvorlige sager; fakturaomdirigering og leverandørimitation forbliver dyre.
  • Web/API-udnyttelse: gradvis stigning drevet af auth-huller og for tilladende scopes frem for klassiske input-fejl.
  • Ransomware/afpresning: lavere frekvens end toppen i 2021–2022, men forbedret opdagelsestid muliggør hurtigere inddæmning.

Top-indgangsvektorer (hvordan angribere kommer ind)

  • Opsnapning af legitimationsoplysninger: sessionscookies stjålet via injicerede scripts eller reverse-proxy phishing; afspillet før detektion.
  • SaaS-miskonfiguration: for brede app-tilladelser og ældre protokoller eksponerer mails, filer eller chat-historik.
  • API authZ-huller: manglende kontroller på tenant- eller objektgrænser tillader læsning eller skrivning på tværs af konti.
  • CI/CD-pivots: delte privilegerede runners og usignerede artefakter muliggør manipulation i stil med forsyningskædeangreb.

De mest sete bedragerimetoder

  • Fakturamanipulation: angriber skjuler sig i postkasser, redigerer PDF’er eller portaldetaljer og skubber til betalingstidspunkt og destination.
  • Kontoovertagelse: stjålne sessioner bruges til at ændre gendannelsesmuligheder eller 2FA-koder, hvorefter kontosaldi tømmes eller loyalitetsaktiver flyttes.
  • Refusionsmisbrug: scripting på svagt beskyttede flows for at omdanne små kundeservice-gestusser til gentagne tab.
  • Muldyr-pipelines: hurtig onboarding af konti til gennemstrømning af midler; detektion afhænger af hastighed og enhedsklyngedannelse.

Hvor danske teams investerer (fordi det virker)

  • Phishing-resistent MFA for administrator- og betalingsrelaterede roller; betinget adgang knyttet til enhedens tilstand.
  • Sessionsforsvar: bind tokens til stærke klientsignaler og tilbagekald ved risikoforandringer eller rejseafvigelser.
  • CI/CD-sikkerhedsværn: repo-/tenant-isolerede runners, artefakt-signering og verifikation før promotion eller deploy.
  • API-autoriseringsgennemgange: håndhævelse ved grænsen med eksplicitte tenant-/objektkontroller og tilladelister.
  • Postkassehygiejne: deaktiver legacy-auth, stram app-samtykke og overvåg ændringer i mailregler og OAuth-udstedelser.

Metrikker ledere kan overvåge hver uge

  • Phishing-til-klik-rate: Procentdel af målrettede brugere, der interagerer med lokkemad; kombiner med rapporteringstid.
  • Registrering af sessionstyveri: Antal tilbagekaldte sessioner på grund af enheds- eller geo-afvigelser.
  • Signerede + verificerede deploys: Andel af udgivelser, der verificerer oprindelse og signatur før udrulning.
  • API authZ-blokeringer: Forespørgsler afvist ved eksplicit lejer-/objektkontrol (sund friktion).
  • BEC-dvæletid: Median timer fra kompromitteret postkasse til inddæmning; bring dette ned.

Hvad der skal gøres dette kvartal

  1. Beskyt din release-vej: aktiver artefaktsignering og verifikation på én kritisk service; udvid derfra.
  2. Luk huller i ældre mailautentificering og app-samtykke; giv alarm ved risikable OAuth-tilladelser og ændringer i indbakke-regler.
  3. Bind sessioner til stærke klientsignaler; tilbagekald ved ændring af enhedsstatus eller placering.
  4. Gennemgå API-autorisationsgrænser på højtrafikerede endpoints; tilføj eksplicit lejer-/objektkontrol.
  5. Øv BEC-playbooks med finans: out-of-band verifikation før enhver ændring af bankoplysninger.

Metodologi og forbehold

Vi sammenfletter offentlige statistikker med anonymiserede engagementsresultater. Nogle hændelser er underrapporteret; kategorier kan overlappe. Behandl diagrammer som retningsgivende signaler til prioritering af kontrolarbejde, ikke som en præcis optælling.

Det danske billede er konsistent: e-mailbaserede sessioner, fejlscopede API’er og pipeline-svagheder driver størstedelen af den reelle påvirkning. Den gode nyhed er, at et lille sæt værn — stærk MFA, sessionsforsvar, CI/CD-hærdning og ren authZ — hurtigt gør en forskel.