Når lønnen havner hos svindleren
Nationalt Center for It Kriminalitet (NCIK) advarer om stigende kontaktbedrageri mod virksomheder. En ny type svindel rammer nu løn- og regnskabsfunktioner direkte – og for mange SMV’er er problemet ikke teknik, men manglende procedurer.
Det kan begynde med en mail, der ser helt uskyldig ud: “Mine bankoplysninger er ændret – kan I opdatere dem inden næste lønkørsel?”
Ved første øjekast ligner det en almindelig intern henvendelse. Navnet er rigtigt. Tonen virker troværdig. Situationen ser velkendt ud. Men i virkeligheden kan mailen være sendt af en svindler, der forsøger at få virksomheden til at ændre en medarbejders kontooplysninger, så lønnen bliver sendt det forkerte sted hen.
Det er netop den type kontaktbedrageri, Nationalt Center for It Kriminalitet, NCIK, advarer virksomheder om lige nu.
En enkel svindel, der rammer direkte i driften
Ifølge NCIK ligger kontaktbedrageri mod virksomheder på et betydeligt højere niveau i 2026 end på samme tidspunkt i 2025. Det gælder både direktørsvindel, Business Email Compromise (BEC) og fakturasvindel. Samtidig ser NCIK en stigende form for svindel, hvor kriminelle udgiver sig for at være ansatte i virksomheden.
Svindlerne sender i øjeblikket mails til ledere og medarbejdere, der håndterer løn og regnskab, hvor de udgiver sig for at være en ansat i virksomheden. Typisk skriver de, at de har problemer med deres NemKonto, eller at de ønsker at ændre den konto, de plejer at få løn udbetalt til.
Hvis virksomheden gennemfører ændringen uden at kontrollere henvendelsen ordentligt, kan lønnen ende hos svindleren i stedet for hos medarbejderen.
Det er ikke nødvendigvis avanceret hacking. Det er en målrettet udnyttelse af tillid, travlhed og arbejdsgange, som i mange virksomheder kører på rutine. Og det er præcis derfor, den her type svindel er så effektiv.
Svindlerne sender i øjeblikket e-mails til ledere og medarbejdere, der sidder med udbetaling af løn, hvor de foregiver at være en ansat, som oplever problemer med sin NemKonto eller ønsker at ændre den konto, som vedkommende normalt får udbetalt løn til.
Når tillid bliver en sårbarhed
Mange små og mellemstore virksomheder er bygget op omkring en høj grad af tillid. Der er korte beslutningsveje, få led og ofte en praktisk tilgang til hverdagen, hvor tingene bare skal glide. Det er som regel en styrke.
Men i den her type angreb bliver det også en sårbarhed.
Når en mail ligner en intern besked fra en medarbejder, sænker man hurtigt paraderne. Og hvis virksomheden ikke har en fast procedure for ændring af bankoplysninger, er der reelt et hul i processen, som svindleren kan udnytte.
Det gør kontaktbedrageri til mere end bare et IT-spørgsmål. Det er i lige så høj grad et spørgsmål om ledelse, ansvar og helt almindelige forretningsgange.
Problemet ligger ikke kun i teknikken
Mange virksomheder tænker stadig cybersikkerhed som noget, der hører hjemme i IT-afdelingen. Men kontaktbedrageri følger ikke den logik.
Her lykkes angrebet ikke, fordi en firewall svigter eller et system bryder sammen. Det lykkes, fordi en medarbejder handler i god tro på baggrund af en overbevisende henvendelse.
Svindleren behøver altså ikke bryde ind i virksomheden, hvis det er nok at skrive en troværdig mail til den person, der håndterer lønnen.
Det er også derfor, angreb som phishing, identitetsmisbrug og anden social manipulation fortsat er så udbredte. De udnytter mennesker og processer langt mere end teknik.
Hvad virksomheder bør gøre nu
Det vigtigste skridt er også det mest enkle: Ingen ændringer af bankoplysninger bør ske på baggrund af en mail alene.
Hvis en medarbejder beder om at få ændret den konto, som lønnen udbetales til, bør virksomheden altid verificere det direkte med medarbejderen via en anden kanal. Det kan være telefon, en personlig samtale eller en anden kendt kontaktvej. Pointen er, at man ikke må stole på den kanal, hvor henvendelsen kom ind.
Det er samtidig vigtigt, at de medarbejdere, der håndterer løn og regnskab, er særligt opmærksomme på denne type svindel. Det er netop de funktioner, svindlerne målretter deres forsøg mod.
Virksomheder bør også være opmærksomme på afsenderadressen. I mange tilfælde bruger svindlerne den rigtige medarbejders navn, men mailadressen afslører, at beskeden ikke kommer fra den person, den udgiver sig for at være.
NCIK peger desuden på, at NemKonto er den sikreste løsning til lønudbetaling, fordi den hjælper med at sikre korrekt udbetaling, også ved bankskifte. Men det ændrer ikke på, at faste procedurer og konkret verificering stadig er afgørende.
Fem spørgsmål, det er værd at stille sig selv
- Har vi en fast procedure for ændring af bankoplysninger?
- Kræver vi altid bekræftelse via en anden kanal?
- Er vores løn- og regnskabsfunktion opmærksom på den her type svindel?
- Tjekker vi afsenderadresser grundigt, før vi ændrer noget?
- Har vi ekstra kontrol, hvis en ændring kommer tæt på en lønkørsel?
Hvis svaret er nej til bare ét af de spørgsmål, er risikoen reel.
Et ledelsesproblem forklædt som en mail
Kontaktbedrageri kan ved første øjekast ligne et teknisk problem. Men i virkeligheden er det ofte et procesproblem.
Angrebet virker, fordi det rammer virksomhedernes hverdag: deres tillid, deres tempo og deres vaner. Og netop derfor er små og mellemstore virksomheder særligt udsatte. Ikke fordi de gør noget forkert, men fordi de ofte har færre kontroller og mere direkte arbejdsgange.
Det gør den her type svindel både lavpraktisk og alvorlig.
For hvis virksomheden ikke ved præcis, hvordan en ændring af bankoplysninger skal håndteres, så er der allerede åbnet en dør, som en svindler kan prøve at gå ind ad.
Det bør virksomheder gøre nu
- Indfør en fast regel for ændring af bankoplysninger.
- Brug altid en anden kanal til verifikation.
- Gør løn- og regnskabsfunktionen ekstra opmærksom på denne type svindel.
- Tjek afsenderadresser grundigt, før der ændres noget.
- Overvej ekstra kontrol, hvis en ændring kommer tæt på lønkørsel.
