Kontakt

Direktørsvindel 2.0: BEC, deepfakes og 7 advarselstegn

FORFATTER

Oliver Magaard

Executive summary.


Business Email Compromise er ikke klassisk phishing. Angriberen misbruger tillid i kendte relationer og bruger kompromitterede mailkonti, falske fakturaer og i stigende grad AI til at efterligne ledere eller leverandører. Et enkelt kontoskifte eller en hastemail kan være nok til at flytte store beløb uden at nogen opdager det i tide.

Danske SMV’er er særligt udsatte, fordi betalinger ofte kan omdirigeres med få interne kontroller. Generativ AI gør det let at skrive fejlfri dansk, lave troværdige lyd- og videoklip og orkestrere flere kanaler på én gang. Løsningen er ikke mere frygt men bedre rammer: klare processer, to-personers godkendelse, konsekvent verifikation og træning, så I trygt kan sige stop og dobbelttjekke, når noget føles forkert.

Vi gennemgår den typiske “historie” i et BEC-forløb, de syv mest pålidelige advarselstegn og hvad I gør i tvivlssituationer. Undervejs peger vi på simple tiltag, der styrker forretningskontinuitet og gør jer NIS2-klar i praksis, ikke kun på papiret.

Hvad er BEC og direktørsvindel 2.0

Business Email Compromise er målrettet social engineering, hvor angriberen udgiver sig for at være en person, I allerede stoler på. Det kan være jeres CEO, CFO, en projektleder eller en kendt leverandør. Målet er at få jer til at overføre penge, dele følsomme oplysninger eller åbne adgang til systemer. Når mailkonti først er kompromitteret, kan angriberen læse med i tråde, lære jeres tone og timing og derefter sende beskeder, der passer præcist ind i jeres forretning.

AI forstærker angrebet. Sprogmodeller hjælper svindleren med naturligt dansk uden de små sproglige “fejl”, I ellers ville opdage. Med stemmekloning eller syntetisk video kan en leder pludselig “ringe” fra et møde og bede økonomi om at godkende en hastbetaling. Billed- og videomanipulation kan få et Teams-møde til at virke ægte, selv om det er en forfalskning.

Vil I læse mere om truslen i generelle termer, så se oversigterne fra FBI IC3, CISA om BEC, Europol om AI-aktiveret kriminalitet og ENISA. I Danmark kan I anmelde it-relateret kriminalitet hos politiet.

Sådan udvikler et BEC-forløb sig i praksis

Forestil dig, at en leverandørkonto bliver kompromitteret gennem et genbrugt password. Angriberen læser med i jeres igangværende projektmail og venter på det rette tidspunkt. Når en milepæl nærmer sig, sender angriberen en besked fra den ægte konto med korrekt sagsnummer og tone. Budskabet er, at fakturaoplysninger er opdateret, og at betalingen bør fremskyndes for at undgå forsinkelse.

Mailen ser normal ud. Der er ikke et ondsindet link, ingen vedhæftede filer, kun nye IBAN-oplysninger. Hvis økonomi godkender ændringen uden forretningsmæssig verifikation, ryger betalingen til svindlerens konto. I nogle tilfælde skifter angriberen samtidig kanal. En medarbejder modtager en chatbesked eller en kort stemmemeddelelse fra “direktøren” med tak for hjælpen og en opfordring til at få betalingen ekspederet med det samme. Trykket forstærkes, og beslutningen flyttes væk fra normal kontrol.

Andre forløb starter med at en ledermail kompromitteres. Angriberen sætter videresendelse op, følger med og skriver til økonomi i lederens stil. Mails kan tidsstyres til sene aftentimer, hvor modtageren ofte sidder alene. Hvis virksomheden ikke har en fast proces for at verificere betalingsændringer via et kendt nummer, er udfaldet forudsigeligt.

De 7 advarselstegn ledere i SMV’er skal kende

Brug listen som en tjekliste i hverdagen. Ét tegn er nok til at stoppe en betaling, indtil en kollega har verificeret anmodningen.

  • Kontoskifte uden korrekt proces. Forslag om nyt IBAN, ny modtager eller nyt land uden forudgående leverandørændring i ERP og to-personers godkendelse.
  • Hastesag og pres i sprog og kanal. Formuleringer som “kan du lige nu” eller “jeg sidder i møde” og opfordring til at bruge sms, privat mail eller chat i stedet for jeres normale kanaler.
  • Ændret tone og stil. Mails, der pludselig er fejlfrie på en måde, personen ikke plejer at skrive på, eller skifter til uventede høflighedsfraser. Også omvendt, hvis dansk pludselig bliver usædvanligt hakkende.
  • Ulogisk timing. Anmodninger om betaling uden for jeres normale cut-off, sent om aftenen, i weekenden eller netop som en leder er kendt for at være på rejse.
  • Ny bank eller land. Betalinger, der flytter fra dansk eller kendt EU-bank til en for jer ukendt bankforbindelse eller et højrisikoland.
  • Kanalskifte væk fra verifikation. Ønske om at bekræfte på et nyt nummer, en privat WhatsApp eller en usædvanlig Teams-invitation.
  • Uventet stemme eller video. Kort videomøde eller talebesked med små uoverensstemmelser i mimik, læbesynk eller lyd, eller hvor personen undgår at svare konkret på kontrolspørgsmål.

Hvorfor danske SMV’er er særligt udsatte

Danske SMV’er er effektive og tillidsbaserede. Det er en styrke, men også grunden til at BEC virker. I mange virksomheder kan en leverandør få opdateret bankoplysninger via mail uden en formel proces. Når der samtidig er travlt, og ansvar ligger hos få nøglepersoner, skaber det et sårbart punkt i værdikæden.

Flere tekniske kontroller findes allerede i jeres miljø. Multifaktorgodkendelse, overvågning af auto-forwarding og korrekt SPF, DKIM og DMARC i domæner reducerer risikoen for misbrug. Men den vigtigste barriere er kultur og klare beslutningsrammer. I praksis er det bedre at stoppe en betaling en gang for meget end en gang for lidt. Det kræver opbakning fra ledelsen, så medarbejdere føler tryghed ved at sige fra.

Hvis I vil starte enkelt, så kombiner et praktisk sikkerhedstjek af opsætning og kontroller med målrettet awareness træning for økonomi og projektledelse. Det giver hurtige gevinster uden store projekter.

Hvad gør I, når I er i tvivl

Når noget føles forkert, må tvivlen komme sikkerheden til gode. Brug denne korte handleplan.

  • Sæt betaling eller dataudlevering i bero. Ingen bliver fyret for at trykke pause.
  • Ring op på et kendt nummer fra jeres adressebog. Besvar aldrig via nummeret eller linket i den tvivlsomme besked.
  • Kræv to-personers godkendelse ved kontoskift, engangsbetalinger og ændringer af IBAN.
  • Tjek mailhoved og domæne. Små variationer i domænenavn eller reply-to er klassiske indikatorer.
  • Slå op i ERP eller leverandørkartotek. Bekræft bankoplysninger mod eksisterende data og tidligere fakturaer.
  • Opret en hændelse i jeres helpdesk eller sikkerhedsværktøj. Lær af hændelsen og del læringen på næste teammøde.
  • Hvis der er sket tab, kontakt banken straks og anmeld sagen hos politiet. Gem beskeder, mailhoveder og logfiler.

Sæt rammerne nu: processer, kontroller og træning

Ledere sætter tempoet. En kort beslutning i dag kan spare jer for mange timers oprydning i morgen. Start med få, klare regler.

  • Definér en standardproces for leverandørændringer. Brug kendte kontaktveje, skriftlig dokumentation og to-personers godkendelse.
  • Etabler betalingsstop ved mistanke. Gør det legitimt at sige pause og kræv fælles verifikation.
  • Indfør tekniske kontroller. MFA på mail, overvågning af videresendelse, advarsler om login fra nye lokationer og konsistent SPF, DKIM og DMARC.
  • Træn målrettet. Kør scenariebaseret awareness for økonomi, projektledere og ledere. Inkludér øvelser med stemme og video, så alle har mærket scenariet i praksis.
  • Test jer som en angriber ville gøre. Brug pentest og BEC-simulationer til at verificere, at processer og teknik spiller sammen.
  • Få et helhedsgreb. Med Forkant™ arbejder vi løbende med overvågning, træning og ledelsesrapportering, så I holder jer foran truslen.
  • Dokumentér ansvar og modenhed. Link indsatsen til krav i NIS2 og ISO 27001, så styring og forretningskontinuitet hænger sammen.

Eksempel fra dansk hverdag

En økonomimedarbejder i en mellemstor virksomhed modtog en mail fra en kendt leverandør om ændrede kontooplysninger. Samtidig tikkede en sms ind fra “direktøren” om at få betalingen hastet igennem. Medarbejderen valgte at stoppe betalingen, ringe til leverandøren via det nummer, der stod i kontrakten, og bad en kollega kigge med. Det viste sig at være svindel. Den beslutning tog fem minutter og sparede virksomheden for et større tab. Pointen er enkel. Giv medarbejdere mandat til at trykke pause og følg en fast verifikation.

Handlingsopfordring: gør det nemt at gøre det rigtige

  • Aftal i ledelsen at kontoskift altid kræver to-personers godkendelse og telefonisk verifikation via kendt nummer.
  • Planlæg et hurtigt sikkerhedstjek for at lukke oplagte huller, og læg en plan for træning og test de næste tre måneder.
  • Giv økonomi en konkret tjekliste og øv et kort stop-go ritual på næste afdelingsmøde.
  • Vil I have sparring om bestyrelsens ansvar og risikotolerance, så book en workshop for ledelse og bestyrelse.

Kilder og videre læsning: FBI IC3, CISA om BEC, Europol: AI-enabled crime, ENISA publikationer og Politiet: anmeld it-relateret kriminalitet. Find flere indlæg på bloggen.