⚠️ VERKLIGT HOT — POLISRAPPORT 2023

329 miljoner kronor
stals från svenska företag
via e-post — förra året

Business Email Compromise (BEC) är det vanligaste och dyraste bedrägeriet mot svenska bolag enligt Polisens Nationella Bedrägericentrum. Det stannar sällan vid utredning — pengarna är borta.

Skydda ert företag →

Så går en fakturakapning till

Ett verkligt scenario. Det tar angriparen 20 minuter. Det tar er revisorsadvokatbyrå månader att utreda.

🕵️

Angriparen bevakar er e-post

Dag 1–30

Leverantörens e-postserver komprometteras — eller angriparen registrerar leverantör-ab.com istället för leverantörab.se. Ni märker ingenting. Angriparen läser er fakturakorrespondens tyst.

Teknik: Server-intrång via svagt lösenord ELLER typosquatting-domän med identisk layout
📄

Den äkta fakturan skickas

Dag 31

Leverantören skickar en äkta faktura på 180 000 kr till er ekonomiavdelning. Mejlet ser normalt ut. Det ÄR äkta.

Mejlet: from: anna@leverantörab.se — helt legitimt, DKIM-signerat från deras server
🎭

Angriparen ingriper i tråden

Dag 31 — 2 timmar senare

Angriparen skickar ett svar i samma e-posttråd: 'Hej, vi har bytt bank. Vänligen betala faktura #4521 till nytt bankgiro: 5432-1098 (Santander, Spanien). Mvh Anna Svensson'. Mejlet ser identiskt ut med Annas tidigare mejl.

Teknik: Reply-spoofing ELLER verklig åtkomst till Annas konto ELLER lookalike-domän anna@leverantör-ab.com
💸

Pengarna betalas ut

Dag 32

Er ekonomiassistent betalar — det ser legitimt ut, det är samma tråd, samma avsändare, same fakturanummer. 180 000 kr lämnar Sverige.

Pengarna når ett money mule-konto i Spanien. Vidarebefordras inom minuter. Omöjligt att återkalla.
🛡️

MED signedmail.se Ömsesidig — detta händer istället

Dag 31 — angriparen misslyckas

Anna skickade sin äkta faktura med sin YubiKey-signatur. Er ekonomiassistent ser ✅. Angriparens förfalskade svar saknar signaturen. Er e-postklient visar: '⚠️ OSIGNERAT — detta mejl är inte verifierat av Anna Svensson'. Betalning stoppas.

Angriparens nyckel matchar inte Annas certifikat utfärdat av signedmail.se CA. Verifiering misslyckas automatiskt.

Hur ömsesidig S/MIME fungerar tekniskt

För er IT-avdelning och säkerhetsansvarig.

🔏 Vad händer när Anna signerar ett mejl

// 1. Mejlets innehåll hashas
hash = SHA256(mejlinnehåll + headers)

// 2. Hashen krypteras med Annas PRIVATA nyckel (på YubiKey)
signatur = RSA_SIGN(hash, anna_privat_nyckel)
↑ Sker INUTI YubiKey — nyckeln lämnar aldrig hårdvaran

// 3. Signaturen bifogas mejlet (PKCS#7 / application/pkcs7-signature)
mejl.attach(signatur, anna_certifikat_publik)

// 4. Mottagarens klient verifierar automatiskt
verifierad = RSA_VERIFY(signatur, anna_cert_publik)
om verifierad: visa("✅ Signerat av Anna Svensson")
annars: visa("⚠️ OGILTIG SIGNATUR")

🔑 Varför en fysisk nyckel gör skillnad

❌ Mjukvarucertifikat
  • • Privat nyckel lagras på disk
  • • Kan kopieras vid intrång
  • • Kan stjälas av malware
  • • Server med tillgång kan signera
✅ YubiKey (hårdvara)
  • • Privat nyckel inbyggd i chip
  • • Kan aldrig exporteras
  • • Malware kan inte stjäla den
  • • Kräver fysisk närvaro + PIN

Även om angriparen får full åtkomst till Annas dator och mailserver kan de inte skapa en giltig signatur — YubiKey sitter i Annas ficka.

🔗 Certifikatkedjan — varför mottagaren litar automatiskt

Certifikatkedja för anna@leverantörab.se:
signedmail.se Root CA (betrodd av OS/webbläsare)
└── signedmail.se Intermediate CA
└── anna@leverantörab.se
RSA 2048-bit | Giltig: 2026-01-01 → 2027-01-01
Utfärdad av: signedmail.se

Outlook, Apple Mail och Gmail kontrollerar automatiskt att certifikatet är utfärdat av en betrodd CA. signedmail.se-certifikat är utfärdade av Sectigo (betrodd i alla OS sedan 1999). Mottagaren behöver inte installera något.

↔️ Ensidig vs ömsesidig — vad som faktiskt skyddar mot fakturakapning

Scenario Ensidig Ömsesidig
Falsk avsändare (spoofing) ✅ Skyddat ✅ Skyddat
Kapad mailserver ✅ Skyddat ✅ Skyddat
Förfalskat SVAR i tråden ❌ Oskyddat ✅ Skyddat
VD-bedrägeri (chef-imitation) ⚠️ Delvis ✅ Skyddat
Fakturakapning (kontonummerbyte) ❌ Oskyddat ✅ Skyddat
Juridiskt bevis i rätten ⚠️ Delvis ✅ Starkt bevis

Välj skyddsnivå

Alla planer inkluderar DKIM, SPF och DMARC p=reject.

Enkel
Skyddar er utgående mejl
149 kr/mån
Stoppar 70% av attacker
  • Er YubiKey signerar utgående
  • Mottagare ser ✅ ni är äkta
  • DMARC p=reject
  • MTA-STS transport
  • Svar kan fortfarande förfalskas
  • Mottagarens identitet overifierad
Välj Enkel
REKOMMENDERAS
Ömsesidig
Skyddar hela konversationen
499 kr/mån
Stoppar 98% av attacker
  • Båda parter signerar
  • Förfalskade svar syns direkt
  • Fakturakapning stoppas
  • Email Vault (90 dagar)
  • Juridiskt försvarbart
Välj Ömsesidig
Vault
Ömsesidig + obestridbart bevis
999 kr/mån
100% juridisk bevisning
  • Allt i Ömsesidig
  • Email Vault (10 år)
  • RFC 3161 tidsstämpel
  • PDF-bevis för domstol
  • Revisionsspår
  • Dedikerat stöd
Välj Vault

Vanliga frågor

🛡️

329 miljoner stals förra året.
Nästa offer behöver inte vara ni.

Kom igång med ömsesidig signering idag. 14 dagars gratis test.

Starta skyddat konto →