Business Email Compromise I 2026: Sådan Stopper Du Faktura-Svindel

24. februar 2026

En faktura lander i indbakken. Den ligner en helt normal leverandørmail. Beløb og sprog passer, og tråden ser "kendt" ud. Alligevel kan den være starten på et dyrt tab.

Business email compromise (BEC) handler sjældent om avanceret malware. Det handler om tillid, tempo og små huller i proces og opsætning. Derfor rammer BEC især mindre og mellemstore virksomheder, hvor én person ofte håndterer både indkøb, økonomi og godkendelse.

Her får I et nøgternt overblik over, hvordan faktura-svindel typisk sker i 2026, og hvad der realistisk stopper den, både teknisk og i hverdagen. Fokus er på SMV'er i Århus, Lystrup og Randers, hvor drift og tid er lige så vigtige som sikkerhed.

Hvad Business Email Compromise er, og hvorfor fakturaer er målet

Økonomimedarbejder ved laptop, hvor en falsk faktura stoppes af et skjold- og låseikon i et moderne kontormiljø. Illustration af, hvordan en falsk faktura kan blive stoppet af simple sikkerhedskontroller, skabt med AI.

BEC er "mail som angrebskanal" med et økonomisk mål. Angriberen udgiver sig som direktør, leverandør eller kollega, og presser en betaling igennem. Nogle gange kommer mailen fra en lookalike-domæneadresse. Andre gange kommer den fra en rigtig konto, fordi den allerede er kompromitteret (Vendor Email Compromise, VEC).

Det er derfor fakturaer er så attraktive. De ligger i en fast rytme. De bliver betalt under tidspres. Og de håndteres ofte af få personer.

I 2026 ser man også flere angreb, der bruger AI til at skrive mere overbevisende mails. Det fjerner de "klassiske" sproglige fejl. Samtidig viser internationale opgørelser, at BEC stadig er blandt de dyreste typer cyberkriminalitet målt på tab, fordi ét enkelt klik kan udløse en bankoverførsel.

Vil man have en dansk forklaring, der matcher virkeligheden i regnskabsfunktionen, er Sikkerdigitals gennemgang af CEO-fraud og BEC et godt sted at starte.

Tommelfingerregel: Når en mail ændrer "hvor pengene skal hen", er det ikke bare en faktura. Det er en risikohændelse.

For SMV'er i Århus og omegn er udfordringen ofte praktisk. Man skal både passe drift, kunder og løn. Derfor skal BEC-beskyttelse være enkel, og den skal passe ind i hverdagen.

Sådan foregår faktura-svindel i praksis (BEC og VEC)

Ikonkæde der viser BEC-angreb fra phishing til kompromitteret leverandør og ændret bankkonto, stoppet af to-personers godkendelse. Typisk angrebskæde ved BEC og faktura-svindel, skabt med AI.

Angrebet starter næsten altid med adgang til en indbakke eller en tråd. Det kan være via phishing, stjålne kodeord eller en "samtykke-app" (OAuth), der får lov til at læse mail. Derefter arbejder angriberen stille.

En klassisk VEC-sag ser sådan ud:

  1. Angriberen læser med i en eksisterende leverandørdialog.
  2. På et tidspunkt indsættes en besked om "nyt kontonummer" eller "midlertidig bank".
  3. Der vedhæftes en faktura, ofte i korrekt format og med rigtige projektreferencer.
  4. Hvis der bliver spurgt, svarer angriberen hurtigt, og ofte i samme tråd.

Det ligner en pakke, hvor afsenderlabelen er rigtig, men indholdet er byttet. Derfor hjælper det ikke kun at "se efter stavefejl". Man skal ændre kontrollen.

Hold især øje med disse signaler, fordi de går igen i mange sager:

  • Ændring af bankoplysninger lige før betaling.
  • Pres på tempo , fx "skal betales i dag".
  • Ny mailadresse der næsten matcher, fx ét tegn ændret.
  • Betaling til udlandet eller til en konto, man ikke kender.

Banker beskriver flere af de samme mønstre, fordi BEC ofte kobles til andre svindeltyper. Se fx Danske Banks oversigt over svindel mod virksomheder for en praktisk vinkel.

Når en virksomhed kun har én godkender og ingen fast kontrol ved kontoskift, bliver BEC en procesfejl. Det er præcis dét angriberen udnytter.

Kontroller der stopper faktura-svindel i 2026 (Microsoft 365 og processer)

Sikkerheds-ikoner for MFA, DMARC, telefonverifikation, advarsel ved ændret kontonummer og log-overvågning i et grid. De vigtigste kontroller mod BEC sat op som en enkel tjekliste, skabt med AI.

Basiskontroller i Microsoft 365, som gør en reel forskel

De fleste SMV'er i Randers, Lystrup og Århus bruger allerede Microsoft 365 . Det er en fordel, fordi man kan lukke mange huller uden at bygge nyt.

Start med disse tre, fordi de reducerer mest risiko:

  • MFA (multi-factor authentication) på alle brugere, især økonomi og ledelse.
  • Bloker "legacy authentication" , så gamle loginmetoder ikke kan omgå MFA.
  • DMARC, SPF og DKIM på eget domæne, så spoofing bliver sværere at få igennem.

Mail er identitet. Hvis login og domæne ikke er låst ned, kan afsenderen forfalskes.

Logning og alarmer er næste skridt. Her vælger mange SMV'er en pragmatisk løsning: få styr på de vigtigste hændelser (mistænkelige login, videresendelsesregler, nye apps), og få dem kigget på løbende. Det kræver typisk It-support, der tager ansvar for opfølgning, ikke kun "opsætning".

Proces i økonomi: gør kontoskift til en kontrolleret undtagelse

Teknik alene stopper ikke BEC, fordi betalingen ofte sker i et økonomisystem eller via netbank. Derfor skal processen være enkel, men fast.

En praktisk model ser sådan ud:

Kontrol Hvad den stopper Minimum for en SMV
To-personers godkendelse Enkeltperson-fejl og pres 2 godkendere over en beløbsgrænse
Telefonisk verifikation Falske kontonumre i mail Ring til kendt nummer, ikke mailnummer
"Kontoskift-lås" Hurtige ændringer før betaling 24 timers karens eller særskilt godkendelse
Advarsel ved ændret IBAN Sniger sig ind i travlhed Pop-up eller manuel markering i flow
Fast eskalationsvej Tvivl bliver håndteret Hvem kontaktes, og hvornår

Takeaway: Man behøver ikke 20 regler. Man behøver 4 til 5, som alle faktisk følger.

Når medarbejdere sidder fast: hurtig hjælp til IT og et klart beredskab

BEC rammer ofte på en tirsdag kl. 14. Ikke når der er tid i kalenderen. Derfor giver adgang til hjælp til IT konkret værdi, især når en medarbejder ser noget mistænkeligt og tøver.

Et simpelt beredskab bør indeholde:

  1. Stop betaling og sæt sagen på pause.
  2. Ring til leverandør på et kendt nummer og bekræft kontooplysninger.
  3. Lås brugerens session ned, skift adgangskode, og tjek MFA.
  4. Gennemgå mailregler, delegeringer og apps med adgang.
  5. Kontakt bank hurtigt, hvis pengene er sendt.

Her giver det mening at have faste IT-eksperter i ryggen, som kan tage analyse og afhjælpning, mens forretningen kører videre. Hos NetDK ser man typisk, at den største forskel ikke er "flere værktøjer", men hurtig reaktion, rolig fejlfinding og klare beslutninger, mens sagen stadig kan stoppes.

Som ekstra kontekst om betaling og ansvar kan det være relevant at kende SKATs anbefalinger om digitale betalinger og sporbarhed, se SKATs vejledning om at betale digitalt som virksomhed.

Konklusion: BEC stoppes med få, faste greb

Business email compromise i 2026 handler mest om kontrol af betaling, identitet og tempo. Derfor virker en kombination af MFA, DMARC og en stram kontoskift-proces. Samtidig skal der være It-support, der reagerer hurtigt, når tvivlen opstår midt i driften.

Den bedste indsats er den, der bliver brugt hver dag. Og den skal passe til en SMV i Århus, Lystrup eller Randers, hvor tiden er knap. Start med de basale kontroller, få to-personers godkendelse på plads, og aftal hvem der hjælper, når det brænder på. Det er ofte dét, der redder en betaling, før den forlader kontoen.