VD-bedrägeri: Social engineering

VD-bedrägeri och social engineering (CEO fraud/BEC) utnyttjar brådska, sekretess och avsteg från rutiner, inte tekniska sårbarheter i första hand. Här får ni en praktisk checklista som minskar risken, plus en kravlista för att undvika försäkringsglapp om något ändå händer.

ChatGPT LogoSammanfatta med ChatGPT

Man vid skrivbord granskar meddelande på skärm i svagt upplyst kontor med lampa och växt — scenario för cybersäkerhet.

Snabbt svar: så minskar ni risken

Det som stoppar flest försök på VD-bedrägeri och social engineering är inte “mer IT”, utan tydliga spelregler i ekonomiprocessen: två kanaler för verifiering, två personer för riskmoment och spärrar som gör att brådska inte kan tvinga fram en betalning.

Utgå från en enkel designfråga: Vem får be om vad, i vilken kanal, och hur verifierar vi det innan pengar lämnar kontot?

 

Så ser VD-bedrägeri ut i vardagen

Angreppet känns ofta helt legitimt i stunden. Det kommer som ett mejl, sms, Teams-meddelande eller samtal som råkar landa när någon är stressad och vill “bara lösa det”.

Bedragaren kombinerar nästan alltid tre ingredienser: en trovärdig identitet (vd, CFO, styrelse, leverantör), en pressande tidsfaktor och ett krav som innebär avsteg från rutin (ny mottagare, kontoändring, ny betalväg eller “bara den här gången”).

Om ni vill bolla hur era nuvarande betalflöden står sig mot de här mönstren kan ni ta en kort rådgivningsstund med Advisera och utgå från 10 senaste betalningarna.

 

Checklista: rutiner som stoppar flest försök

Målet är “minst friktion, mest effekt”: gör det lätt att göra rätt, och svårt att forcera fram undantag. Sätt gärna en ägare per rutin (roll, inte person) och bestäm vad som gäller när det blir bråttom.

 

  • Två-kanalsprincip (callback/out-of-band): Verifiera alltid ny mottagare eller ändrade kontouppgifter i en annan kanal än den som begäran kom in i. Ring inte numret i mejlet; använd ett nummer från avtal/leverantörsregister och säkerställ att du pratar med rätt person.
  • Tvåpersonersprincip för riskmoment: Se till att ingen ensam kan både skapa/ändra mottagare och få iväg betalningen. Miniminivå: två personer vid ny mottagare/nytt konto och vid riskbetalningar.
  • Separera roller: Dela upp “registrera”, “attestera” och “betala”. Poängen är att angriparen måste lura fler än en person, och att avvikelsen hinner upptäckas.
  • Standardförbud mot kontobyten via mejl: Låt mejl vara en kanal för dialog, inte för att besluta kontouppgifter. Alla kontoändringar ska gå via er bestämda process + callback.
  • Spärr: “ny mottagare + betala samma dag”: Inför en enkel tidsfördröjning vid ny mottagare/nytt konto, så att brådska inte kan bli ett vapen. Undantag ska kräva definierad undantagsprocess.
  • Belopps- och risktriggers: Sätt tydliga gränser som automatiskt kräver extra kontroll, till exempel ovanligt belopp, ny mottagare, utland/nytt land, betalning utanför normala tider eller språk som “hemligt” och “bråttom”.
  • Mer insyn i leverantörsdialogen: Använd funktionsbrevlådor och skapa delad historik där det går. Då blir det svårare att isolera en person och driva igenom ett undantag ostört.
  • Grundhygien i mejl och ekonomisystem: Säkerställ MFA, begränsa automatisk vidarebefordran/regler och håll antalet administrativa konton nere. Det minskar risken för kapade trådar och manipulerade konversationer.
  • Kort mikroträning kvartalsvis: Kör 10, 15 minuter med ett realistiskt exempel: “vilken stoppregel gäller?” Repetition gör att callback och undantagsprocess sitter när stressen kommer.
  • Incidentplan för minuterna efteråt: Bestäm roller i förväg: vem ringer banken, vem stoppar betalningar i bank/ERP, vem säkrar underlag (mejl/chatt/betalorder) och vem dokumenterar tidslinjen som ofta efterfrågas i efterspel.

 

En praktisk tumregel är att göra två saker enkla: (1) att säga “jag måste verifiera” och (2) att följa en standardprocess även när någon låter senior och stressad.

 

Vanliga missförstånd som ökar sårbarheten

“Vi har attest, alltså är vi säkra”

Attest hjälper, men det räcker inte om samma person kan driva hela flödet från “instruktion” till “pengar iväg” i samma kanal. Därför gör separation av roller och tvåpersonersprincip störst skillnad.

 

“Falska mejl syns tydligt”

Många angrepp bygger på snarlika domäner eller kapade trådar där allt ser “rätt” ut. Det som avslöjar är ofta avsteget från rutin: nytt konto, ny mottagare, ny kontaktväg eller ovanlig brådska.

 

“Banken stoppar konstiga betalningar”

Banken kan flagga avvikelser, men ni behöver agera som att ansvaret att verifiera mottagare och instruktion i första hand ligger hos er. Med rätt spärrar minskar skadan även när någon blir pressad.

 

“Cyberförsäkring täcker social engineering”

Det finns ofta gränsdragningar mellan cyber, kriminalitet/fidelity och särskilda tillägg för social manipulation. Därför behöver villkoren matcha era faktiska scenarier och era rutiner.

 

Försäkringen: där glappet brukar uppstå

Vid VD-bedrägeri och social engineering sker betalningen ofta “frivilligt” av en medarbetare, men på falska grunder. Just den mekaniken gör att ersättning kan bero på vilken produkt ni har, vilka tillägg som ingår och vilka rutinkrav som gäller.

Två fallgropar återkommer: (1) särskilda ersättningstak för social manipulation (sublimits) och (2) villkor som kräver att ni kan visa att callback, dubbelgodkännande eller MFA faktiskt användes och går att dokumentera.

 

Checklista: krav att ställa på försäkringen

Använd kravlistan vid upphandling, förnyelse eller när ni vill stresstesta befintligt skydd mot verkliga betalflöden.

 

  • Täckning för social manipulation: Bekräfta att skyddet gäller när anställd initierar/utför betalning efter falska instruktioner (inte bara vid “tekniskt intrång”).
  • Realistiska gärningsidentiteter: Säkerställ att scenarier där bedragaren utger sig för vd, annan anställd, leverantör, kund eller ombud omfattas.
  • Kanaldefinitioner som matchar vardagen: Kontrollera att mejl, telefon, sms och chatt/Teams omfattas och att definitionerna inte är onödigt snäva.
  • Leverantörsbedrägeri vid kontoändring: Få svart på vitt om ändrade bankuppgifter hos leverantör täcks även utan bevisat intrång i era system.
  • Sublimits och beloppstak: Be om tydlighet kring eventuellt separat tak för social engineering och jämför med er normala betalningsstorlek.
  • Rutinkrav som villkor: Lista exakt vilka kontroller som krävs (callback, tvåpersonersprincip, dokumenterad attest, MFA m.m.) och säkerställ att ni kan uppfylla dem i praktiken.
  • Beviskrav vid skada: Ta reda på vilka underlag som normalt efterfrågas (betalorder, attestspår, verifieringssteg, leverantörsregister, tidslinje) och bygg dokumentationen i processen redan nu.
  • Självrisk och tidsvillkor: Klargör självrisk, eventuella tidsgränser och när en skada anses “upptäckt”, så att anmälan inte försenas.
  • Outsourcing: Kontrollera hur skyddet gäller om redovisning/ekonomi är outsourcad, och hur ansvarsfördelning och rutinkrav ser ut.
  • Samspel mellan försäkringar: Red ut gränsdragning mellan cyber och kriminalitets/fidelity, och om “other insurance”-villkor kan skapa fördröjning.
  • Kostnader runt incidenten: Klargör om utredning, juridisk rådgivning, revisionsstöd och återkravshantering ingår eller om bara nettobeloppet ersätts.

 

 

FAQ

Frågor och svar

 

Vad är skillnaden mellan VD-bedrägeri, CEO fraud och BEC?

Begreppen överlappar. VD-bedrägeri/CEO fraud syftar ofta på att någon utger sig för att vara vd (eller annan senior person) och pressar fram en betalning. BEC (Business Email Compromise) används ofta bredare för upplägg där mejlkonversationer manipuleras eller där en trovärdig mejlidentitet används för att styra betalflöden.

 

Räcker det att införa callback-regeln?

Callback är en av de mest effektiva kontrollerna, men den måste göras rätt: ring rätt nummer (inte från mejlet), nå rätt person och dokumentera verifieringen. Kombinera gärna med tvåpersonersprincip och en spärr mot “ny mottagare + betala samma dag” för att få verklig effekt.

 

Varför ska ekonomi bry sig om MFA och mejlsäkerhet om detta “inte är IT”?

Många social engineering-upplägg förstärks av kapade konton eller manipulerade mejltrådar. MFA och begränsningar av vidarebefordran/regler minskar sannolikheten att en angripare kan fortsätta en pågående konversation med perfekt timing och ton.

 

Vad är viktigast att dokumentera om en incident sker?

Fokusera på en tydlig tidslinje, vilka verifieringssteg som gjordes, vilka som attesterade/godkände och vilka underlag som fanns vid beslutet (mejl, chattloggar, betalorder, kontouppgifter). Den dokumentationen hjälper både banken och försäkringsprocessen.

 

 

Vill ni minska risken snabbt? Be Advisera granska era nuvarande betalrutiner och ert försäkringsskydd mot social engineering. Då får ni en konkret gap-lista: vilka rutiner som saknas, vilka som behöver skärpas och vad som bör krävas vid nästa förnyelse.

 

Bli kontaktad

Kostnadsfri rådgivning om smartare lösningar och lägre kostnader!

För supportärenden når du oss på support.advisera.se

Contact Form [SE]

Fler blogginlägg

Bästa cyberförsäkringen 2026

Läs mer

Fullgörandeförsäkring entreprenad

Guide för entreprenadbolag: vad en fullgörandeförsäkring är, när den behövs och vilka underlag som gör processen snabbare.

Läs mer

Apple Care vs Advisera Care

Apple Care vs Advisera Care: så avgör ni om ni behöver Apple-nära support eller ett tydligt skydd mot vardagsskador på iPhone 2026.

Läs mer