VD-bedrägerier — Så skyddar du ditt företag mot CEO fraud

VD-bedrägerier (CEO fraud) lurar anställda att genomföra obehöriga betalningar. Lär dig hur attacken fungerar och hur rutiner kan stoppa den.

✍ Bluff.se redaktionen Publicerad 5 juni 2026

Baserad på information från Polisen . Texten är omskriven av Bluff.se:s redaktion.

Vad är ett VD-bedrägeri?

VD-bedrägerier (även kallade CEO fraud eller Business Email Compromise, BEC) är en attack där bedragaren utger sig för att vara VD eller annan ledande befattningshavare och instruerar en ekonomiansvarig eller administratör att genomföra en brådskande betalning.

Det är ett av de mest lönsamma ekonomiska brotten mot företag globalt. I Sverige anmäls hundratals fall per år — och mörkertalet är stort eftersom många företag inte vill skylta med att de blivit lurade.

Hur attacken går till

Förberedelse

Bedragaren studerar er verksamhet via LinkedIn, er hemsida, pressmeddelanden och sociala medier. De lär sig:

Vem som är VD
Vem som hanterar ekonomi/betalningar
Vilka leverantörer ni har
Pågående affärshändelser (förvärv, avtal)

Anfallet

En ansvarig för betalningar får ett mejl som verkar komma från VD:n. Mejlet:

Ser ut att komma från VD:ns riktiga e-postadress (eller en nära kopia)
Hänvisar till ett konfidentiellt ärende — ett förvärv, en skattebetalning, ett akut leverantörskrav
Betonar att det är bråttom och hemligt — “prata inte med andra om detta”
Ber om en banköverföring till ett nytt konto

Variantformat

Mejl från förfalskat avsändar-domän (t.ex. company-se.com istället för company.se)
Komprometterat e-postkonto — VD:ns riktiga konto har hackats
SMS/WhatsApp — kortare instruktioner, svårare att verifiera

Varningssignaler

Ovanlig kommunikationskanal (VD skriver normalt inte via WhatsApp om betalningar)
Stark brådska och krav på sekretess
Instruktioner att gå runt normala rutiner
Kontonummer ni inte känner igen
Begäran utanför kontorstid eller när VD är bortrest

Rutiner som stoppar attacken

Dubbelkontroll via separat kanal

Aldrig betala baserat på en enskild betalningsinstruktion via mejl. Ring alltid avsändaren på ett känt telefonnummer (inte det som eventuellt anges i mejlet) för att bekräfta.

Kräv godkännande från två personer

Betalningar över ett tröskelbelopp (t.ex. 25 000 kr) ska kräva attestering av minst två behöriga personer.

Utbilda alla som hanterar betalningar

Den mänskliga faktorn är den svagaste länken. En kort utbildning om hur attacken fungerar minskar risken dramatiskt.

Ha en tydlig rutin för nya kontonummer

Nya kontonummer från befintliga leverantörer ska alltid verifieras via telefon till ett sedan tidigare känt nummer — inte via den instruktion som ändringen kommunicerades.

Om ni blivit drabbade

Kontakta banken omedelbart — be dem försöka stoppa eller återkalla överföringen
Anmäl till Polisen — ring 114 14 eller gör en e-anmälan på polisen.se
Anmäl till NCSC — Nationellt cybersäkerhetscenter tar emot incidentrapporter
Informera er revisor och juridiska rådgivare
Dokumentera allt — skärmbilder av mejlkonversationen, kontouppgifter, tidslinje

Kontakta oss om ni vill rapportera ett misstänkt bluffföretag kopplat till händelsen.

Vanliga frågor

Vad är skillnaden på VD-bedrägeri och nätfiske?

Nätfiske (phishing) försöker lura dig att klicka en länk eller lämna uppgifter. VD-bedrägerier manipulerar dig att genomföra en riktig betalning frivilligt, med en falsk auktoritet som motivation.

Kan vi kräva tillbaka pengarna av banken?

Vanligtvis inte — betalningen görs av behörig person, vilket gör det svårt att stoppa. Kontakta banken omedelbart efter upptäckt, ibland kan de försöka stoppa internationella överföringar. Anmäl till Polisen.

Vilka belopp handlar det om?

Allt från 50 000 kr till flera miljoner beroende på hur stor verksamheten är. Bedragarna anpassar beloppet till vad som verkar trovärdigt för er verksamhet.

Källa och vidare läsning

Den här artikeln baseras på officiell information från Polisen . Vill du läsa originalkällan hittar du den via länken.

← Skydda ditt företag Företagarguiden