Tre konkrete råd: Sådan undgår du nemt at blive fuppet med 'CEO-fraud'

CEO-fraud har kostet danske virksomheder mere end 200 millioner kroner i det sidste år, og senest er det gået ud over Statens Museum for Kunst, der blev franarret 805.000 kroner. Tre enkle procedurer kan sikre virksomheden markant bedre mod de falske direktører.

Artikel top billede

(Foto: Dan Jensen)

CEO-fraud er it-kriminalitet i rivende udvikling, og det koster danske virksomheder millioner af kroner, når hackere sender falske mails fra direktører til ansatte og får dem til at overføre store beløb til udenlandske konti.

Senest er det kommet frem, at hackere har lokket ansatte ved Statens Museum for Kunst til at overføre 805.000 kroner ved på email at udgive sig for at være direktør Mikkel Bogh.

Hackerne udnytter de ansattes ønske om at gøre det godt på arbejdet, og det er svært at købe et it-sikkerhedsprodukt, der beskytter mod velvilje.

Men ifølge sikkerhedsekspert Rasmus Theede kan man ved hjælp af helt enkle procedurer beskytte sin virksomhed eller organisation mod det meste CEO-fraud.

Etabler et system for finansielle transaktioner

Rasmus Theede er nordisk sikkerhedschef i CSC og har gennem årene arbejdet med it-sikkerhed i både Maersk, KMD og NNIT.

Og ifølge ham handler forsvar mod CEO-fraud først og fremmest om at få etableret de rigtige arbejdsgange.

"Det undrer mig meget, at enkelte ansatte mange steder kan føre penge ud af virksomheden. Så et godt råd er at få de helt basale procedurer for finansielle transaktioner på plads, så der altid er en anden person, der skal godkende overførsler. Hvis du har det på plads, så kræver det i hvert fald, at svindlerne snyder minimum to personer," siger han til Computerworld.

Rasmus Theede tilføjer, at man som fast praksis bør tale med den chef, der efterspørger en stor pengeoverførsel:

"Det er let at indføre, at hvis en transaktion overstiger et givent beløb, så skal man tale med personen i telefon eller ansigt til ansigt. Det er noget sværere at forfalske. Alternativt kan man få sat tofaktor-godkendelse op, så man er sikker på, at det rent faktisk er chefen, der har godkendt det."

Email er usikkert

CEO-fraud forekommer næsten altid i form af falske email-henvendelser fra direktør til ansat, og hvis hackeren bare kender direktørens navn, er det relativt let at skabe en falsk email-adresse, der tilsyneladende tilhører chefen.

Derfor anbefaler Rasmus Theede, at man sætter sit system op til kun at kunne modtage sikre emails.

"Det er vigtigt at forstå, at email som udgangspunkt ikke er sikkert. Enhver email kan forfalskes, og derfor er det en god ide for eksempel at gøre TLS til standarden for mails i virksomheden," siger han.

Han peger på, at TLS er simpel at bruge, da det i de fleste tilfælde kan slås til og fra i en mail-kontos indstillinger:

"Det koster ikke mange konsulenttimer at tjekke det flueben af."

Fortæl intet om din virksomhed

For at CEO-fraud skal fungere, skal hackerne i første omgang vide, hvem den pågældende leder er.

Det er svært at lave identitets-fusk, hvis man ikke kender identiteten.

Derfor er en stor del af de cyber-kriminelles arbejde at skabe overblik over virksomheders organisation, så de kan finde ud af, hvem de skal imitere.

Rasmus Theede har hos tidligere arbejdsgivere oplevet daglige telefonopkald fra kriminelle, der under påskud af forretningsanliggender ville have navne på ledere på forskellige niveauer.

Til sidst havde de totalt overblik over virksomheden, og så begyndte der at tikke phishing-mails ind hos alle chefer.

Derfor anbefaler han, at man gør de falske direktørers arbejde meget sværere ved simpelthen ikke at fortælle nogen, hvem der arbejder hvor i virksomheden.

"Vi har en politik om, at man aldrig udleverer nogen former for information om organisationen, medmindre man kender personen i den anden ende. Det kan være lidt grænseoverskridende, men det gør det noget sværere at kortlægge virksomheden," siger han.

Rasmus Theede understreger, at man aldrig kan helgardere sig mod svindel, hvis man samtidig skal have en dagligdag til at køre:

"Man kan aldrig være 100 procent sikker, men hvis man har de rigtige procedurer, så tager man nok 85 procent af det. Og jeg tror, at der sidder nogen inde på Statens Museum for Kunst og river sig i håret over, at de ikke havde dette her på plads."

Læs også: Morgenbriefing: Statens Museum for Kunst snydt til at udbetale formue via CEO-fraud / Anklage: Bose spionerer via hovedtelefoner og sælger dine data.

Læses lige nu
    Computerworld Events

    Vi samler hvert år mere end 6.000 deltagere på mere end 70 events for it-professionelle.

    Ekspertindsigt – Lyt til førende specialister og virksomheder, der deler viden om den nyeste teknologi og de bedste løsninger.
    Netværk – Mød beslutningstagere, kolleger og samarbejdspartnere på tværs af brancher.
    Praktisk viden – Få konkrete cases, værktøjer og inspiration, som du kan tage direkte med hjem i organisationen.
    Aktuelle tendenser – Bliv opdateret på de vigtigste dagsordener inden for cloud, sikkerhed, data, AI og digital forretning.

    Sikkerhed | Højbjerg, Aarhus

    Cyber Security Summit 2026 - Aarhus

    Lær om organisationers evne til at modstå, håndtere og komme videre efter alvorlige digitale hændelser, herunder ledelsesansvar, forretningskritiske afhængigheder og de valg, der afgør, om plan B holder, når systemer eller leverandører svigter.

    Digital transformation | Aarhus

    AI i det offentlige - Aarhus

    Hør hvordan offentlige AI-løsninger skaleres til stabil drift med reel effekt. Få erfaringer, arkitekturvalg og styringsgreb fra frontløbere. Lær at bygge fælles AI-infrastruktur med ansvarlighed, sikkerhed og compliance.

    Digital transformation | Køge

    Derfor skal du videre fra Dynamics AX – og sådan gør du

    Computerworld giver klar viden om vejen videre fra Dynamics AX. Du ser forskellen mellem AX og moderne cloud-ERP og får et konkret beslutningsgrundlag for næste skridt. Tilmeld dig og få styr på skiftet til Dynamics 365 FO eller BC.

    Se alle vores events inden for it

    Navnenyt fra it-Danmark

    Comsystem A/S har pr. 15. april 2026 ansat Iver Jakobsen som Technical Key Account Manager. Han skal især beskæftige sig med teknisk løsningssalg. Iver Jakobsen har 25 års erfaring fra TelCo-branchen. Han kommer fra en stilling som Key Account Manager hos E.ON Drive ApS. Han har tidligere beskæftiget sig med rådgivning og løsningssalg. Nyt job

    Iver Jakobsen

    Comsystem A/S

    Elbek & Vejrup A/S har pr. 1. juni 2026 ansat Mikkel Bernt Buchvardt som AI Architect & Product Manager. Han skal især beskæftige sig med udviklingen af AI-Services og AI-Agenter i og omkring Business Central. Han kommer fra en stilling som Lead Data & Analytics hos IBM. Han er uddannet MSc. i softwareudvikling fra ITU. Han har tidligere beskæftiget sig med Data og BI hos KMD og Seges Innovation. Nyt job

    Mikkel Bernt Buchvardt

    Elbek & Vejrup A/S

    WITRICS A/S har pr. 1. juli 2026 ansat Tim Meicker som Sales & Marketing Manager. Han skal især beskæftige sig med marketingstrategi, salgsaktiviteter, samt virksomhedens kommercielle vækst. Han kommer fra en stilling som projektansat hos WITRICS A/S. Han er uddannet BA (hons) Strategic Management og MBA fra Syddansk Universitet. Nyt job

    Tim Meicker

    WITRICS A/S

    Alexander Hoffmann, SVP, Technology & IT hos GlobalConnect, er pr. 1. maj 2026 forfremmet til EVP, Tech, IT & Security. Han skal fremover især beskæftige sig med at lede den fortsatte udvikling af en mere integreret og software-drevet infrastrukturplatform. Forfremmelse

    Alexander Hoffmann

    GlobalConnect