Hvordan adskiller CEO-fraud sig fra almindelig phishing?

Phishing vil typisk have dig til at klikke eller afgive login. CEO-fraud vil have dig til at handle — overføre penge — og indeholder ofte hverken links eller vedhæftninger, hvilket gør den svær for filtre at fange. Forsvaret er derfor procedurer og DMARC frem for spamfiltre alene.

Er små virksomheder også mål?

Ja, ofte foretrukne mål: Beslutningsvejene er korte, betalingsprocedurer uformelle, og “direktøren beder om noget” er hverdag. Beløbene tilpasses virksomhedens størrelse, så de ikke vækker opsigt.

Kan vi få pengene tilbage?

Nogle gange, hvis banken reagerer inden for de første timer. Men pengene flyttes typisk hurtigt gennem muldyrkonti, så forebyggelse og hurtig reaktion er reelt jeres eneste sikre kort.

Hjælper DMARC, hvis svindleren bruger et lookalike-domæne?

Nej — DMARC beskytter kun jeres eget domæne mod forfalskning. Lookalike-domæner kræver opmærksomhed (træning, flagning af eksterne afsendere) og kan suppleres med overvågning af nyregistrerede domæner, der ligner jeres.

Viden

Hvad er CEO-fraud — og hvorfor virker det så ofte?

CEO-fraud (også kaldet direktørsvindel eller Business Email Compromise, BEC) er målrettet svindel, hvor en angriber udgiver sig for at være direktøren eller en kendt leverandør og narrer økonomi til at betale eller ændre et kontonummer. Der er hverken malware eller links — våbnet er autoritet, tidspres og en troværdig mail. Det gør CEO-fraud til en af de dyreste angrebstyper pr. hændelse.

Udgivet: 13. juni 2026Opdateret: 13. juni 2026Læsetid: 5 min.

Hvordan foregår et CEO-fraud-angreb?

Angriberen researcher først: Hvem er direktør, hvem sidder med betalinger, hvilke leverandører bruges, og hvornår er ledelsen på rejse? Informationen ligger ofte frit på hjemmesiden, LinkedIn og i CVR.

Selve angrebet kommer typisk som en mail “fra direktøren”: kortfattet, fortrolig og hastende — en opkøbssituation, en leverandør der skal betales i dag, et nyt kontonummer. Afsenderen er enten et forfalsket (spoofet) domæne, et lookalike-domæne (auroa.dk vs. aur0a.dk) eller i de værste tilfælde direktørens rigtige postkasse, som er blevet kompromitteret.

Hvilke varianter findes der?

Den klassiske hastebetaling: “Jeg sidder i møde, denne overførsel skal afsted nu — diskret.”
Fakturasvindel: En ægte leverandørfaktura efterlignes, men med nyt kontonummer. Ofte udløst af, at leverandørens mailkonto er kompromitteret, så svindelmailen kommer fra den ægte adresse midt i en ægte korrespondance.
Lønsvindel: “HR bedes ændre min kontooplysning før næste lønkørsel.”
Gavekorts-varianten: Mindre beløb, men hyppig — “køb gavekort til kunderne og send mig koderne.”

Hvordan stopper I CEO-fraud?

To lag gør det meste af arbejdet:

Én ufravigelig procedure: Alle kontonummerændringer og alle uvarslede hastebetalinger verificeres via en anden kanal — et opkald til et nummer, I selv har i forvejen (aldrig nummeret i mailen). Reglen skal gælde alle, inklusive direktøren selv, og det skal være udtrykkeligt legitimt at sige “det tjekker jeg lige først” — uanset pres.
Teknisk spærring af jeres domæne: Håndhævet DMARC (p=reject) gør, at mails, der forfalsker jeres eget domæne, afvises hos modtageren. Det beskytter både jeres egen økonomifunktion og jeres kunder mod svindel i jeres navn. Suppler med MFA på alle postkasser, så angriberen ikke kan overtage de ægte konti, og med regler der flager eksterne mails og lookalike-domæner.

Hvad gør I, hvis betalingen allerede er sendt?

Ring til banken med det samme og bed om at standse eller tilbagekalde overførslen — chancen falder time for time, især ved udlandsbetalinger. Politianmeld forholdet, og undersøg straks, om en postkasse er kompromitteret (videresendelsesregler, ukendte logins), så svindlen ikke fortsætter mod jeres kunder. Behandl forløbet som en sikkerhedshændelse, ikke kun en bogholderifejl.

Ofte stillede spørgsmål

Hvordan adskiller CEO-fraud sig fra almindelig phishing?
Phishing vil typisk have dig til at klikke eller afgive login. CEO-fraud vil have dig til at handle — overføre penge — og indeholder ofte hverken links eller vedhæftninger, hvilket gør den svær for filtre at fange. Forsvaret er derfor procedurer og DMARC frem for spamfiltre alene.
Er små virksomheder også mål?
Ja, ofte foretrukne mål: Beslutningsvejene er korte, betalingsprocedurer uformelle, og “direktøren beder om noget” er hverdag. Beløbene tilpasses virksomhedens størrelse, så de ikke vækker opsigt.
Kan vi få pengene tilbage?
Nogle gange, hvis banken reagerer inden for de første timer. Men pengene flyttes typisk hurtigt gennem muldyrkonti, så forebyggelse og hurtig reaktion er reelt jeres eneste sikre kort.
Hjælper DMARC, hvis svindleren bruger et lookalike-domæne?
Nej — DMARC beskytter kun jeres eget domæne mod forfalskning. Lookalike-domæner kræver opmærksomhed (træning, flagning af eksterne afsendere) og kan suppleres med overvågning af nyregistrerede domæner, der ligner jeres.

Kilder

Forsvarets Efterretningstjeneste / CFCS: trusselsvurderinger om cyberkriminalitet

Rigspolitiet/NSK: vejledning om anmeldelse af it-relateret økonomisk kriminalitet

RFC 7489 (DMARC)

Vil I have styr på det i praksis?

Auroa hjælper SMV'er og kommuner med at omsætte krav og risici til konkrete tekniske løsninger. Book en uforpligtende afklaringssamtale.

Book en afklaringssamtale Se relateret ydelse

Vil I have styr på det i praksis?

Auroa hjælper SMV'er og kommuner med at omsætte krav og risici til konkrete tekniske løsninger. Book en uforpligtende afklaringssamtale.