💼 Bedrift
Av · · 7 min lesing

CEO-svindel: Når svindlere utgir seg for sjefen din

Norske bedrifter tapte over 500 millioner kroner til CEO-svindel i 2025. Slik gjenkjenner du en falsk e-post fra "sjefen" — og hvilke fire interne rutiner som stopper svindelen før pengene er borte.

Klokken 14:47 fredag ettermiddag

Regnskapssjefen i en mellomstor norsk bedrift mottar en e-post fra daglig leder:

"Hei — er på vei i et viktig møte. Jeg trenger at du gjør en hasteoverføring på 487 000 til en ny leverandør i Tyskland. Konto-info i vedlegget. Diskret — ikke nevn det til andre før jeg er tilbake. Takk."

Domenet ser riktig ut. Tonen er som vanlig fra sjefen. Det er fredag ettermiddag og kontoret tømmes. Regnskapssjefen overfører pengene som bedt om, og lukker mailen. "Bra dagens jobb gjort."

Mandag morgen oppdager hun at daglig leder aldri har sendt e-posten — og at de 487 000 kronene er borte. Dette er CEO-svindel (også kjent som BEC — Business Email Compromise).

Kripos rapporterte at norske bedrifter tapte over 500 millioner kroner til BEC-svindel i 2025 alene. Det er mer enn alle andre former for digital økonomisk kriminalitet i Norge til sammen.

Hvordan utføres en CEO-svindel?

CEO-svindel er ikke teknisk komplisert. Den er psykologisk. Forløpet er nesten alltid det samme:

Fase 1: Rekognosering (1–4 uker før angrepet)

Svindleren samler informasjon fra åpne kilder:

  • LinkedIn — hvem er CEO, CFO, regnskapssjef? Hvem rapporterer til hvem?
  • Bedriftens nettside — kontaktinfo, "Om oss"-side, ansatte
  • Sosiale medier — er CEO-en på reise? Konferanse?
  • Brønnøysundregistrene — daglig leder, styremedlemmer, kapital

Mål: Bygge en troverdig kontekst for angrepet.

Fase 2: Domeneforfalskning eller kontoovertakelse

Svindleren bruker én av tre teknikker:

  1. Look-alike-domene: Registrerer firmaet-as.no i stedet for firmaet.no — eller firmaet.com i stedet for .no. Mailen ser nesten identisk ut for et raskt blikk.
  2. Display-name spoofing: Sender mailen fra en gmail-konto, men setter visningsnavnet til "Ola Nordmann (CEO)". Mange e-postklienter viser bare visningsnavnet.
  3. Ekte kontoovertakelse: Svindleren har tidligere phishet CEO-ens egne innloggingsdetaljer, og sender mailen fra den faktiske kontoen. Den vanskeligste varianten å oppdage.

Fase 3: Angrepet

Mailen sendes når sjansene for å oppdage svindelen er lavest:

  • Sent fredag ettermiddag (alle vil hjem)
  • Når CEO faktisk er på reise/ferie (svindleren har sjekket sosiale medier)
  • Ferieperioder — jul, påske, sommer
  • Like før månedslutt eller årsavslutning (mange overføringer i kø)

De 6 røde flaggene din regnskapsavdeling MÅ kjenne

🚨 1. Hastverk og press

"Innen 30 minutter", "før banken stenger", "umiddelbart". Ekte forretnings-overføringer har sjelden så kort tidsfrist. Svindleren vet at fart = mindre tid til å tenke.

🚨 2. Avvik i e-postadressen

Sjekk nøye avsender-adressen, ikke bare navnet:

  • ola.nordmann@firmaet.no
  • ola.nordmann@firmaet-as.no 🚨 (ekstra "-as")
  • ola.nordmann@firmaet.com 🚨 (.com i stedet for .no)
  • ola.nordmann@firrnaet.no 🚨 (rn ser ut som m)
  • "Ola Nordmann" <random.gmail@gmail.com> 🚨

🚨 3. Endring av rutiner

"Vi bytter banker", "Bruk en annen kontonummer denne gangen", "Send til en ny leverandør". Ekte selskaper har stabile rutiner og bytter ikke leverandørkonti per e-post.

🚨 4. "Diskret"-formulering

"Ikke nevn det til andre før jeg er tilbake." "Dette er konfidensielt." "Hold det mellom oss to." En ekte CEO ber sjelden om hemmeligholdelse om en ordinær overføring. Dette er svindlerens forsøk på å unngå at noen dobbeltsjekker.

🚨 5. Manglende detaljer eller vedlegg som ikke matcher

Mailen ber om en stor overføring, men har ingen tilhørende faktura. Eller fakturaen i vedlegget mangler bedriftens vanlige format, momsregistrering, eller har en utenlandsk konto for et norsk firma.

🚨 6. Avvik i tonen eller språket

CEO-en din har en kjent skrivestil. Bruker hun emoji? Skriver han på dialekt? Er signaturen alltid den samme? Når mailen "føles litt rar" — stol på magefølelsen.

Lær opp regnskapsavdelingen i å si "jeg ringer deg tilbake for å bekrefte". Svindleren forventer det ikke. Ekte sjefer tar det med fatning. Falske sjefer kommer aldri tilbake.

4 interne rutiner som stopper CEO-svindel

1. To-personers regelen

Ingen utbetaling over en gitt grense (typisk 50 000–100 000 kr) skal kunne autoriseres av én person alene. To uavhengige godkjenninger fra to forskjellige ansatte kreves — uansett hvem som ber om det, uansett hvor presserende.

Dette er den enkleste og mest effektive enkelt-tiltaket. Ingen svindler kommer seg gjennom dette.

2. Tilbakekalls-regelen ("Call-back rule")

Ved alle uvanlige overførsels-forespørsler — spesielt hvis det involverer ny leverandør, endret kontonummer, eller hastverk — skal regnskapsmedarbeideren ringe personen som har sendt forespørselen, på et kjent telefonnummer. Ikke svar på e-posten. Ikke ring nummeret som står i mailen. Ring nummeret du vet er deres.

Dette stopper både CEO-svindel og deepfake-stemmesvindel.

3. Dual-channel-bekreftelse

Forespørsler om endring av leverandør-kontonummer skal bekreftes via en annen kanal enn den de kom inn på. Hvis e-posten kom fra leverandøren, ring leverandøren. Hvis det kom som SMS, send en e-post tilbake til den offisielle adressen.

Svindleren har sjelden kontroll over to kanaler samtidig.

4. Whitelist for leverandørkonti

Lag en låst liste over godkjente leverandørkontonummer i regnskapssystemet. Når en faktura kommer inn med et nytt kontonummer for en eksisterende leverandør, krever systemet eksplisitt godkjenning fra to personer før det legges til.

Svindlere som har overtatt en e-postkonto (BEC type 3) lirer ofte falske faktura-PDFer hvor selve fakturadetaljene er korrekte, men kontonummeret er svindlerens. Whitelist-rutinen fanger dette.

Tekniske tiltak som hjelper

SPF, DKIM, DMARC

Be IT-avdelingen sjekke at bedriftens domene har:

  • SPF (Sender Policy Framework) — definerer hvilke servere som har lov å sende e-post fra ditt domene
  • DKIM (DomainKeys Identified Mail) — kryptografisk signatur på alle utgående e-poster
  • DMARC med p=reject-policy — instruerer mottakers e-postserver om å avvise e-post som ikke består SPF/DKIM

Sammen blokkerer disse de fleste look-alike-angrep før de når innboksen.

External-merker på innkommende e-post

Microsoft 365 og Google Workspace kan automatisk merke alle e-poster fra eksterne avsendere med en gul boks: "⚠ Dette er en ekstern e-post". Når en mail som ser ut til å være fra "din egen CEO" har dette merket, er det et tydelig signal om at noe er galt.

2FA på alle e-postkontoer

Den vanligste måten ekte kontoovertakelse skjer er ved phishing av passord. 2FA på alle ansattes kontoer (spesielt CEO og økonomi) blokkerer 99 % av disse forsøkene.

Hva gjør du hvis det allerede har skjedd?

  1. Ring banken umiddelbart — hvis overføringen er innen samme bank eller til en norsk bank, kan den i mange tilfeller stoppes innen 1–2 timer.
  2. Politianmeld via politiet.no/anmelde-svindel — gi dem all info: e-post-headers, IP-adresser, mottakerkonto, beløp.
  3. Kontakt IT umiddelbart — hvis CEO-kontoen er overtatt, må passord byttes og 2FA aktiveres for å forhindre videre angrep.
  4. Varsl forsikringen — mange bedriftsforsikringer dekker BEC-svindel, men ofte med vilkår om at to-personers regelen var fulgt.
  5. Informer styret og revisor — pålagt for vesentlige tap.

Bunnlinjen: Svindelen stopper på rutiner, ikke teknologi

De fleste CEO-svindel-tap kunne vært forhindret med én telefon. Den fra regnskapsmedarbeideren til daglig leder, der hun spør "fikk du virkelig sendt den mailen?".

Sett av 30 minutter på neste avdelingsmøte for å gå gjennom de fire rutinene over. Lag det til en del av onboarding-trening. Test rutinene med en uannonsert "intern øvelse" hver kvartal.

500 millioner kroner er tapt i Norge i 2025. De fleste av dem kunne vært reddet med en oppringning.

— Christer Mustvedt, grunnlegger av Mustvedt Sentinel

🛡 Sjekk om bedriftens domene er beskyttet mot spoofing
HEADERSCAN sjekker SPF, DKIM, DMARC og andre e-post-sikkerhetsoppsett for ditt domene. PLUSS-abonnenter får varsel hvis konfigurasjonen endres.
ÅPNE HEADERSCAN →

Relaterte artikler

🔍
Guide
Forstå hva Sentinel sjekker i domenet ditt, uten IT-kompetanse
🌐
Guide
Domene-overvåkning i 2026: vit hva som skjer med navnet ditt
📥
Funksjon
Vi lanserer OSINT-recon: Se hva angriperne ser om bedriften din
Få varsler i innboksen

Vil du ha varsler om nye trusler?

Mustvedt Sentinel sender deg e-post hvis e-posten din dukker opp i en lekkasje, eller hvis domenet ditt er under angrep.

Start 7 dager gratis Logg inn