En CEO godkänner en rutinmässig finansiell överföring efter att ha fått ett email och ett uppföljande samtal från CFO:n.

• Emailet ser legitimt ut.
• Telefonnumret stämmer.
• Rösten låter helt rätt.

Begäran är brådskande – men inte ovanlig.

Några minuter senare är €240,000 borta.

Inga system blev hackade. Ingen malware var inblandad. Ingenting var “trasigt”.

Istället utnyttjade angriparen något betydligt kraftfullare: förtroende.

Genom att kombinera email spoofing, spoofing av telefonnummer och AI-genererad röstkloning skapade de ett perfekt trovärdigt scenario – ett som kringgick både teknik och mänsklig intuition.

Den här typen av attack är inte längre teoretisk. Och även om du inte fullt ut kan kontrollera röstkloning eller telefonspoofing, kan du kontrollera en avgörande del:

Om din domän kan användas mot dig.

Vad som egentligen hände under ytan

Det började långt innan emailet skickades.

Från utsidan såg företaget ut som vilket annat som helst. Inga uppenbara sårbarheter. Inga tecken på kompromettering. Men för någon som letade efter möjligheter framträdde en helt annan bild.

Angriparen började med domänen.

En snabb kontroll av företagets email security avslöjade små men kritiska brister. SPF var konfigurerat, men tillåtande. DMARC fanns, men endast i övervakningsläge. DKIM saknades helt. Var för sig kan detta verka som mindre förbiseenden. Tillsammans innebar det en sak:

Emails kunde skickas som såg ut att komma från företaget – utan att pålitligt stoppas.

Det räckte för att gå vidare.

Nästa steg var reconnaissance.

Angriparen kartlade organisationen med hjälp av publikt tillgänglig information. Namn, roller, rapporteringslinjer – allt som behövdes för att förstå hur kommunikationen normalt flödade inom företaget.

CFO:n stack ut. Synlig. Trovärdig. Ofta medverkande i webinars, intervjuer och korta videoklipp online.

Mer än tillräckligt med material.

Med hjälp av detta material skapade angriparen en röstmodell.

Dagens verktyg kräver inte timmar av ljud. Några rena ljudklipp räcker för att skapa något som fångar ton, tempo och viktiga röstegenskaper. Det behöver inte vara perfekt – det behöver bara låta tillräckligt verkligt i rätt sammanhang.

Och i rätt ögonblick gör det det.

Själva emailet var enkelt.

När domänen kunde spoofas försvann den tekniska utmaningen. Det som återstod var att skriva något trovärdigt. Ett kort meddelande. Lätt brådska. Bekant ton.

Den typen av förfrågan som passar in i en vanlig arbetsdag.

Telefonsamtalet fullbordade illusionen.

Caller ID matchade CFO:ns nummer. Rösten matchade förväntningarna. Tidsmässigt stämde det perfekt med emailet. Varje del förstärkte de andra, utan någon tydlig anledning att ifrågasätta situationen.

När begäran godkändes hade det inte funnits någon enskild felpunkt – bara en sömlös kedja av förtroendesignaler.

Det är därför dessa attacker är så effektiva.

De bygger inte på att utnyttja tekniska sårbarheter. De bygger på att återskapa de mönster människor litar på: identitet, igenkänning och rutin.

Och de behöver bara en sak för att komma igång:

En domän som kan imiteras.

Även om företag inte helt kan förhindra röstkloning eller telefonspoofing är de inte maktlösa.

Genom att säkra sin email-infrastruktur – korrekt konfigurera och enforce:a SPF, DKIM och DMARC – tar man bort ett av angriparens mest effektiva verktyg. Det skapar friktion. Det skapar osäkerhet. Och ofta räcker det för att stoppa attacken innan den ens börjar.

Tillsammans med tydliga interna processer – särskilt kring finansiella godkännanden och identitetsverifiering – kan en sömlös attack istället bli ett misslyckat försök.

Verkligheten är enkel.

Från insidan såg allt i företaget normalt ut.

Från utsidan såg det exponerat ut.

Och den skillnaden är exakt där angripare verkar.

Om du inte kan se vad angripare ser, kan du inte stoppa vad de gör härnäst.