Sådan spotter du et Business Email Compromise-angreb: Tre cases

Skrevet d. 07-10-2025 af Martin Kofoed Høding

Business Email Compromise-angreb er ikke tilfældigt eller improviseret – mange angreb er omhyggeligt planlagte og kan udvikle sig over flere uger eller måneder.

Den cyberkriminelle starter ofte med at indsamle information om virksomheden og dens ansatte gennem offentlige kilder som LinkedIn, hjemmeside og pressemeddelelser. På den måde får den cyberkriminelle information, som kan bruges til at iscenesætte et realistisk og målrettet angreb, bl.a. ved at:  

• Oprette en falsk e-mailadresse, der ligner en intern kontakt.  
• Indsætte troværdige detaljer om tidligere nævnte projekter.
• Efterligne en jargon, man plejer at kommunikere med.  

Med denne viden i baghovedet bliver det nemmere at forstå, hvorfor de følgende cases virker så overbevisende. Og hvorfor selv erfarne medarbejdere kan falde i fælden. 

CEO-Fraud, BEC, Invoice Scam – hvad er forskellen?

Kært barn har mange navne. Før vi går til de tre konkrete eksempler, så lad os lige afklare et par definitioner (som alle optræder i de tre cases).

Business Email Compromise (BEC) er en form for cyberangreb, hvor den cyberkriminelle udgiver sig for at være en betroet person, fx en kollega, chef eller samarbejdspartner, for at narre modtageren til at overføre penge, betale en falsk faktura eller dele følsomme oplysninger. BEC er ofte paraply-begrebet.  

CEO-Fraud – også kaldet direktørsvindel – er er en form for digitalt bedrageri, hvor en angriber udgiver sig for at være en topleder (typisk CEO) i en virksomhed for at manipulere medarbejdere til at overføre penge, dele følsomme oplysninger eller købe varer.

Invoice Scam er hvor svindlere sender en falsk faktura eller regning, der ser ud til at komme fra en legitim leverandør, for at narre dig til at betale for varer eller tjenester, du ikke har bestilt eller modtaget. 

3 eksempler på Business Email Compromise-angreb 

Her er tre eksempler på cases, hvor du kan se, hvordan et BEC-angreb kan se ud i hverdagen og virkeligheden:  

Case 1

En medarbejder, der sidder i økonomiafdelingen, modtager en e-mail fra chefen om, at der skal overføres penge til en forretningsforbindelse.  

Mailen kunne lyde sådan her:  

Emne: Haster! Fortrolig betaling

Hej Louise  

Jeg er til møde med bestyrelsen, og kan derfor ikke tage telefonen. Jeg har brug for, at du overfører 195.000 kr. til vores samarbejdspartner på denne konto: [kontonummer]. Det er en vigtig forretningsaftale, og vi skal handle hurtigt. Jeg stoler på, at du håndterer det diskret og professionelt.  

/Lars 

Analyse af casen:  

• Den cyberkriminelle gør brug af sin position som chef, som medarbejderen gerne vil hjælpe og adlyde.  

• Der bliver skabt et tidspres ved ord som ‘haster’ og ‘kan ikke tage telefonen’. 
• Det lyder troværdigt. Sproget er det samme som ‘Lars’ plejer at kommunikere i. Den eneste ændring er måske, at e-mailadressen er en smule anderledes. Fx. lars@itm8.co i stedet for lars@itm8.com.

Case 2

Det kunne også være, at den cyberkriminelle udgiver sig for at være en falsk samarbejdspartner, som er tilfældet i dette eksempel, hvor en leverandør, som man ofte handler med, beder om at få ændret sin bankkonto.  

Mailen kunne lyde sådan her:  

Emne: Opdatering af kontooplysninger

Hej Louise

Vi har netop skiftet bank, og vil gerne sikre, at fremtidige betalinger går til vores nye konto.

Vil du opdatere jeres systemer med vores nye kontonummer, så betalingerne fremadrettet stemmer?

Vores nye kontonummer er:  

[Indsæt falske kontooplysninger]

På forhånd tak for hjælpen.

Venlig hilsen 
Maria – [Leverandørens navn] 

Analyse af casen:  

• Troværdigheden er høj, da det er en kendt samarbejdspartner, der henvender sig.  
• Mailen virker rutinemæssig og ikke nogen stor ændring.  
• Den cyberkriminelle har muligvis opsnappet tidligere e-mails og kan derfor efterligne skrivestil og tone, så det ikke virker mistænkeligt.  

Case 3

Det tredje eksempel viser phishing forklædt som en henvendelse fra IT-afdelingen om sikkerhed, hvor en medarbejder modtager en mail fra "IT-afdelingen", der beder om at nulstille adgangskoden via et link. 

Mailen kunne lyde sådan her:  

Emne: Vigtigt: Nulstil din adgangskode i dag

Kære medarbejder

Vi har opdaget usædvanlig aktivitet på din konto. For at sikre din adgang, bedes du nulstille din adgangskode via dette link:

[Link til falsk login-side]

Med venlig hilsen 
IT-Support 

Analyse af casen:  

• Sproget er officielt og rutinepræget
• Tidsnød – ‘du skal handle nu’ – giver mindre tid til overvejelse
• Linket ligner måske virksomhedens rigtige login-side.  

Det skal du gøre, hvis du oplever noget mistænkeligt 

• Tal med din IT-afdeling – hellere én henvendelse for meget end én for lidt.
• Del mistænkelige mails med relevante kollegaer – snak om dem og stil jer kritiske over for afsender og indhold.
• Stop straks al overførsel eller datadeling.
• Kontakt den pågældende via telefon eller en anden verificeret kanal. 
  
  

Sund skepsis frem for avanceret teknologi

Business Email Compromise er en alvorlig trussel, der ikke kræver avanceret teknologi, men blot et øjebliks uopmærksomhed. Det er dét, der gør angrebsformen så effektiv og svær at opdage.

Derfor handler god cybersikkerhed ikke kun om antivirusprogrammer og IT-sikkerhed. Det handler i høj grad også om adfærd, kultur og bevidsthed. Man kan komme langt i kampen mod BEC ved at styrke medarbejderens dømmekraft og skabe en kultur, hvor man tør være skeptisk og stille spørgsmål. 

Stil det ekstra spørgsmål, dobbelttjek detaljerne og tal med dine kolleger. En sund skepsis kan være den bedste investering, du og din virksomhed gør i dag. Og i morgen. 

Hør mere om, hvordan du beskytter mod et BEC-angreb

Så hent vores e-bog ”4 måder at forhindre et Business E-mail Compromise-angreb”. Eller se vores webinar on demand ”Undgå at ryge i fælden – sådan forebygger du CEO-fraud”.