Deepfake opkald sætter tillid på prøve

Eskil Sørensen

02.24.2026 11:07

Kan du høre, hvem du taler med?

Generativ AI har sat turbo på en velkendt disciplin: at lyde som en anden. En troværdig stemme var engang det sikreste identitetsbevis, man kunne møde i telefonen. Nu er det blevet et af de mest usikre. Deepfake baserede telefonopkald er på vej mod at blive hverdag, og der er både penge, adgang og omdømme på spil.

Sådan står det at læse i en artikel i We Live Security, som er en mediekanal for det sikkerhedsvirksomheden ESET.

We Live Security henviser til en rapport fra britiske myndigheder, hvor det fremgår, at der i 2025 blev delt op mod otte millioner syntetiske audio/videoklip online – en stigning fra 500.000 i 2023. Men, som det fremgår, kan det reelle tal være langt højere. Samtidig viser oplysninger fra bl.a. ESETs Jake Moore, at et deepfake opkald kan skabes ud fra få sekunders offentligt tilgængeligt lydmateriale. Resultatet er et angreb, hvor det eneste, offeret skal gøre, er at tage telefonen.

Sådan udføres et opkaldsangreb

De fleste deepfake opkald følger et nogenlunde klassisk mønster – blot understøttet af moderne GenAI:

Angriberen vælger en person at imitere - typisk en CEO, CFO, institutleder eller leverandør. Jo højere autoritet, jo højere succesrate.
Der fremskaffes lyd: Et interview, en podcast, et oplæg eller et opslag på sociale medier er nok. Nogle værktøjer kræver kun 5–10 sekunder.
Der identificeres en målperson - ofte økonomi medarbejdere, helpdesk, sekretærer eller projektadministratorer.
Kontakten ”forvarmes” - angriberen sender måske en kort mail: “Jeg ringer om lidt – meget vigtigt, ingen andre må vide det.”
Opkaldet foretages med en syntetisk stemme - i dag kan værktøjer oversætte angriberens stemme til den imiterede stemme i nær realtid, inkl. pauser, baggrundslyde og fyldord.

Resten overlades til social manipulation: pres, fortrolighedsopfordringer og en tidskritisk fortælling om nødvendige pengeoverførsler, nulstilling af MFA eller fremsendelse af fakturaer.

Psykologiske og tekniske faktorer

I praksis er deepfake opkald svære at afkode, dels fordi teknologien bliver bedre, og dels fordi mennesker bliver mindre kritiske – når de er stressede, distraherede eller møder en autoritet.

Derfor læner angribere læner sig typisk op ad det klassiske business email compromise-metoder:

Der etableres et tidspres: “Det skal ske nu.”
Fortrolighedskrav “Ingen andre må høre om det.”
Hierarki: “Jeg vil ikke spørge ham/hende igen – det vil se dårligt ud.”

Når lydkvaliteten samtidig kan formes så den indeholder realistiske telefonforstyrrelser eller baggrundsrumklang, bliver “AI artefakterne” mindre tydelige for modtageren.

Alligevel er der stadig spor at spille på, skriver WeLiveSecurity/ESET, idet teknologien stadig indeholder tegn på, at stemmen i røret ikke er menneskelig. Der peges bl.a. på

Rytme, der lyder… forkert - taletempo kan være en anelse for jævnt eller monotont.
Flade følelsesmæssige udsving - AI rammer ordene, men ikke altid affekten. Et vredt budskab leveres uden vrede.
Ulogisk eller fraværende vejrtrækning - lange sætninger uden pauser – eller pauser, der falder på mærkelige tidspunkter.
“Robotklang” - Ikke som sci fi robotter, men subtile glitch agtige artefakter, hedder det.
Underlig baggrundsstøj - enten for ensformig, for ophøjet eller helt fraværende.

Ingen af disse i sig selv afslører svindel. Men tilsammen bør det vække mistanke der burde være nok til at stoppe op

Når opkaldet koster millioner

Deepfake svindel er ikke længere hypotetisk. WeLiveSecurity beskriver et eksempel fra 2020, hvor en en medarbejder i en virksomhed i Emiraterne blev snydt til at overføre 35 millioner dollars, fordi direktørens stemme lød overbevisende. Angrebet var primitivt efter nutidens standarder.

Nu, seks år senere, er både kvaliteten og angrebsvolumen steget drastisk. Det gør det nødvendigt for organisationer at genoverveje, hvad et “sikkert opkald” egentlig betyder. Det kræver træning, der tager højde for deepfake-risikoen, fx stimulering af en kritisk tækning over for ikke kun BEC, men også for det, der kan kaldes business phone compromise, Derudover bør der være andre processer på plads, fx at transaktioner skal kræve dobbeltgodkendelse, brug af alternative kanaler og evt. anvendelse af kodeord.

WeLiveSecurity kommer til slut med denne lidt ildevarslende melding:

Hør efter – men tro ikke på alt, du hører.

Læs mere

https://www.welivesecurity.com/en/business-security/faking-it-phone-how-tell-voice-call-ai/

Trusselsvurdering