Din virksomhed har MFA på alle konti. I tror, at I er sikre.
Men I tager fejl.
For 850 kroner kan en kriminel købe et værktøj på Telegram, der omgår jeres MFA. Det kræver minimal teknisk kunnen. Og det virker.
Velkommen til 2025, hvor MFA ikke længere er nok.
Forestil dig dette
Ingen af jeres kunder har betalt de seneste to uger. Fakturaerne er sendt korrekt. I venter lidt. Måske er det tilfældigt.
Efter ti dage sender I rykkere. Kunderne svarer vredt: “Vi HAR betalt. Til det nye kontonummer, som I sendte, og som fremgik af fakturaen.”
Hvilket kontonummer?
I tjekker økonomisystemet. Nogen har ændret fakturaskabelonen. Alle fakturaer de seneste tre uger er udsendt med en ukendt konto i Østeuropa. 14 kunder har betalt i god tro. 1,2 mio. kr. er væk.
Bogholderen forstår ikke hvordan. Hun har MFA på både Microsoft 365 og økonomisystemet. Hun har ikke delt sine koder.
Men tre uger tidligere klikkede hun på et link, der lignede en Microsoft-login. Hun loggede ind. Godkendte sin MFA-prompt. Alt så rigtigt ud.
Det var det ikke.
Angrebet hedder Adversary-in-the-Middle
Hackeren sendte en phishing-mail med et link til en side, der lignede Microsoft 365 til forveksling. Da hun tastede sine oplysninger, blev de sendt videre til den ægte Microsoft-side i realtid. Hun fik sin MFA-prompt. Godkendte den. Og uden at vide det gav hun hackeren en sessionscookie, der fungerer som en digital nøgle til hendes konto.
Hackeren behøvede aldrig hendes MFA-kode. Han stjal adgangen efter godkendelsen.
Det er ikke science fiction. Ifølge Barracuda brugte 60-70% af alle phishing-angreb i 2025 den type værktøjer. Tycoon 2FA, der er det mest udbredte kit, står bag op mod 90% af sagerne. Det sælges på abonnement med support og løbende opdateringer.
Phishing er blevet en service.
Danske virksomheder er i farezonen
Ifølge Danmarks Statistik bruger 49% af små danske virksomheder nu MFA. Det var 37% i 2022. Godt gået.
Men 40% af danske SMV’er har stadig et sikkerhedsniveau, der ikke matcher deres risikoprofil. Og de fleste bruger MFA-typer, der kan omgås: SMS-koder, authenticator-apps, push-notifikationer.
De beskytter mod password-tyveri. Ikke mod session hijacking.
Der findes MFA, der ikke kan snydes
FIDO2 hardware keys, som YubiKey, bruger kryptografisk binding til det ægte domæne. Prøver du at logge ind på en falsk side, virker nøglen simpelthen ikke. Microsoft kalder det “phishing-resistent MFA” og anbefaler det til alle kritiske brugere.
En YubiKey koster fra 180 kr. Et vellykket angreb kan koste op mod 140.000 kr. i tabt drift. Om dagen.
Regnestykket er ikke svært.
Tre ting du kan gøre nu
Giv kritiske brugere hardware keys. Eller aktiver Passkeys i Microsoft Entra ID. Start med dem, der har adgang til økonomisystemer, kundedata og admin-rettigheder.
Slå Conditional Access til. Så login fra ukendte enheder eller lande blokeres automatisk. Det stopper ikke alt, men det gør angrebet sværere.
Træn medarbejderne i én simpel regel. Godkend aldrig en MFA-prompt, du ikke selv har udløst. Hvis prompten kommer uventet, er det fordi nogen prøver at bryde ind.
MFA var et stort fremskridt
Men teknologien bliver overhalet. De kriminelle har tilpasset sig. Det skal jeres sikkerhed også.
Spørgsmålet er ikke, om I har MFA. Men om I har den rigtige.
En cybersikkerhedsaudit afslører, om jeres nuværende MFA-setup holder mod moderne angreb. En teknisk sikkerhedsgennemgang kortlægger konfigurationen i jeres Microsoft 365 og identificerer de huller, hackerne udnytter.
Og awareness-træning sikrer, at jeres medarbejdere genkender phishing, før de klikker.
Hvornår tjekkede du sidst, hvilken type MFA jeres virksomhed bruger?
Har du brug for at vide, om jeres MFA-setup holder? Kontakt Nielco IT på telefon 70 13 63 23 eller via kontaktformularen.
