Účetní dostane e-mail od jednatele. Je v něm jméno, které zná, tón, který zná, a jasný pokyn: „Prosím, uhraďte tuto fakturu ještě dnes, jednáme s dodavatelem a hrozí nám penále.“ V příloze je faktura, která vypadá naprosto normálně – stejné logo, stejná částka, jaká se čekala. Jediné, co se změnilo, je jedno jediné číslo. Číslo bankovního účtu. A peníze, které firma odešle, už nikdy neuvidí.

Tomuto typu podvodu se říká falšovaná faktura nebo CEO fraud a v posledních letech se s ním potýká čím dál víc menších i středních firem. Nejde o žádný sofistikovaný hackerský útok na server – stačí obyčejný e-mail a trocha psychologie. A přesně proto je tak účinný.

Jak podvod funguje

Podvodník se vydává za ředitele, jednatele nebo důvěryhodného dodavatele. Buď rovnou napodobí e-mailovou adresu, nebo si založí podobně vypadající schránku (třeba se záměnou jednoho písmene), případně se mu podaří získat přístup přímo do skutečné firemní pošty. Pošle zprávu, ve které:

  • vystupuje jako osoba s autoritou – ředitel, majitel, dlouholetý dodavatel,
  • vytváří tlak a spěch – platbu je třeba provést „ještě dnes“ nebo „co nejdřív“,
  • přiloží fakturu, která na první pohled odpovídá běžné komunikaci,
  • uvede nové číslo účtu, na které má jít platba.

Účetní nebo obchodní partner v tu chvíli nemá důvod nic tušit. Faktura vypadá dobře, jméno v hlavičce sedí, částka odpovídá domluvě. Jediná anomálie – změněné číslo účtu – snadno unikne pozornosti, zvlášť když je na člověka vyvíjený časový tlak.

Skutečný případ: skoro půl milionu za zájezd

Že to není jen teoretické riziko, ukazuje případ z Litoměřicka, který letos v květnu řešila policie. Firma si objednala zájezd a měla za něj zaplatit dodavateli. Do e-mailové komunikace se ale vloudil podvodník, který fakturu pozměnil – změnil na ní číslo účtu příjemce. Objednatel zaplatil, aniž by cokoliv tušil. Peníze ale neskončily u skutečného dodavatele zájezdu, nýbrž na účtu podvodníka. Škoda se vyšplhala téměř na půl milionu korun.

Podobný scénář se přitom neomezuje jen na cestovní kanceláře. Funguje stejně dobře u plateb za zboží, stavební práce, marketingové služby nebo cokoliv jiného, kde firmy běžně platí na fakturu.

Proč na to firmy naletí

Podvod útočí na dvě lidské slabiny najednou – respekt k autoritě a strach z prodlení. Když napíše „ředitel“, málokdo si dovolí zpochybňovat pokyn. A když je navíc přidaný spěch a expresní termín, na pečlivou kontrolu detailů často nezbývá čas ani chuť. Přesně to je cílem podvodníka: aby se platba odeslala dřív, než si někdo všimne, že je něco jinak.

Roli hraje i to, že platby na fakturu jsou ve firmách běžná rutina. Účetní denně zpracovává desítky dokumentů, čísla účtů si nepamatuje nazpaměť a spoléhá na to, co je napsané v systému nebo v poslední zprávě. Podvodník tohohle spoléhání na zavedený postup zneužívá – stačí mu jeden okamžik nepozornosti v běžném provozu.

Kde podvodník bere informace

Aby zpráva zněla věrohodně, potřebuje útočník znát alespoň základní fakta – jméno jednatele, s kým firma obchoduje, jak vypadá jejich komunikace, případně jakou částku a za co mají zaplatit. Část těchto údajů se dá najít úplně veřejně: na webu firmy, v obchodním rejstříku, na sociálních sítích nebo v tiskových zprávách. Další informace útočník získá, pokud se mu podaří nabourat nebo sledovat e-mailovou schránku jedné ze stran obchodu – v tu chvíli vidí skutečnou komunikaci a dokáže do ní v pravou chvíli „vstoupit“ s pozměněnou fakturou. Čím víc citlivých detailů je o firmě a jejích lidech volně dostupných, tím snáz se dá takový útok připravit.

Na co si dát pozor

  • E-mail tlačí na rychlost – „ještě dnes“, „urgentně“, „než uzavřeme jednání“.
  • Číslo účtu se liší od toho, na které jste dané firmě platili dříve.
  • Pokyn přichází od „respektované osoby“ (ředitel, jednatel), ale komunikace probíhá netypicky – jen e-mailem, bez telefonátu.
  • Adresa odesílatele se na první pohled zdá stejná, ale při bližším pohledu má prohozené písmeno nebo jinou doménu.
  • Faktura přišla mimo obvyklý koloběh – neočekávaně, nebo krátce po předchozí komunikaci, kterou mohl podvodník sledovat.

Co s tím

  • Každou změnu čísla účtu ověřte telefonicky. Zavolejte na známé číslo dodavatele (ne na to, které je uvedené v podezřelém e-mailu) a potvrďte si údaje ústně.
  • Zaveďte si ve firmě jednoduché pravidlo: platby nad určitou částku nebo se změnou platebních údajů vždy schvaluje druhá osoba, nikdy ne jeden člověk pod tlakem.
  • Nedůvěřujte spěchu. Legitimní dodavatel nebo skutečný jednatel firmy pochopí, že si chcete ověřit platbu, i kdyby to mělo znamenat den dva zpoždění.
  • Podezřelý e-mail nahlaste své bance – banky mají na podvodné faktury vyhrazené kontakty (například podvody@csas.cz u České spořitelny) a dokážou poradit, případně platbu ještě stihnout zastavit.
  • Pokud už peníze odešly, okamžitě kontaktujte banku a nahlaste to policii – čím dřív, tím větší šance na zablokování prostředků na účtu podvodníka.
  • Proškolte celý tým, ne jen účetní. S falešnou fakturou se může setkat kdokoliv, kdo má na starosti platby nebo komunikaci s dodavateli – od asistentky po samotného majitele.

Tenhle typ podvodu nemá nic společného s tím, jestli má firma zabezpečený web nebo silná hesla – útočí na lidi, ne na techniku. Přesto ale často souvisí s tím, jak snadno dostupné jsou o firmě informace na internetu – jména jednatelů, kontaktní e-maily, struktura firmy, popis obchodních vztahů. Čím víc si o vás podvodník dokáže zjistit z veřejně dostupných zdrojů, tím věrohodnější zprávu dokáže napsat a tím hůř se pozná, že jde o podvod.

Přesně na tohle se dívá i bezpečnostní revize webu – ne proto, že by web sám o sobě platby zpracovával, ale proto, že prozrazuje víc, než by měl. Zveřejněné e-maily konkrétních lidí, snadno dohledatelná struktura firmy nebo neopatrně publikované dokumenty dávají útočníkovi materiál, ze kterého si poskládá věrohodnou historku. Menší digitální stopa neznamená nulové riziko, ale útočníkovi to práci znatelně ztíží.

Projde váš web technickou kontrolou?

Zjistěte zdarma, jestli váš web netrpí některým z problémů z tohoto článku. Uděláme mu revizi bezpečnosti, rychlosti i viditelnosti a pošleme přehledný report – bez závazků.

Chci revizi webu zdarma →

Zdroje: Deník – Podvod s fakturou za zájezd na Litoměřicku, Česká spořitelna – Podvodná faktura, Průvodce podnikáním – Kyberpodvodníci falšují faktury ve velkém


Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *