Útočníci cílí na naše účty. Na co si dát tento měsíc pozor?
Ahoj všem!
Účetní a finanční týmy jsou pro kyberzločince celosvětově terčem číslo jedna. Útočníci nezkoušejí prorazit naše firemní firewally – zkoušejí obelstít nás. Za poslední měsíc evidují bezpečnostní agentury (včetně českého NÚKIB) masivní nárůst útoků, které využívají pokročilou umělou inteligenci (AI).
Přečtěte si, jaké tři největší hrozby teď hýbou světem financí a na co si dát okamžitě pozor.
1. Podvody s fakturami: Útočník v e-mailu našeho dodavatele (VEC)
Zapomeňte na špatně přeložené e-maily s podivným písmem. Dnešní trend se jmenuje Vendor Email Compromise (napadení e-mailu dodavatele). Útočník nejprve nabourá e-mailovou schránku našeho skutečného partnera či klienta. Týdny jen tiše čte konverzace, a jakmile se blíží termín splatnosti reálné faktury, pošle zprávu přímo z legitimního e-mailu dodavatele: „Omlouváme se, ale kvůli auditu máme dočasně změněné číslo účtu. Použijte prosím toto.“
📌 Reálný příklad z poslední doby: Obětí podobného útoku se stala britská strojírenská firma. Útočníci sledovali její komunikaci s dodavatelem materiálu a v pravou chvíli poslali podvrženou fakturu s novým číslem účtu. Finanční oddělení platbu schválilo, protože e-mail přišel z reálné adresy obchodního partnera. Škoda? V přepočtu přes 4 miliony korun.
Jak se bránit? Pokud v e-mailu svítí věta o změně bankovního účtu, změně IBAN nebo naléhavém doplacení, platbu okamžitě stopněte. Vezměte telefon a zavolejte dodavateli na číslo, které máte ověřené v systému (nikdy nevolejte na číslo uvedené v tom podezřelém e-mailu!).
2. „Šéf“ spěchá a tlačí na pilu (CEO podvod a Deepfakes)
CEO podvody (Business Email Compromise) získaly s nástupem AI děsivou zbraň: klonování hlasu. Útočníkům stačí minuta audiozáznamu generálního ředitele (např. z rozhovoru na YouTube), aby pomocí AI vytvořili věrný hlasový vzkaz nebo realizovali telefonát. Vám pak zavolá „pan ředitel“ s tím, že tajně kupujeme novou firmu a je potřeba okamžitě odeslat zálohu na přiložený účet.
📌 Reálný příklad z poslední doby: Finanční manažer nadnárodní korporace v Hongkongu převedl v přepočtu 600 milionů korun poté, co se zúčastnil videohovoru s lidmi, kteří vypadali a mluvili přesně jako finanční ředitel a další kolegové. Všichni kromě něj byli deepfake generovaný umělou inteligencí.
Jak se bránit? Kyberzločinci vždy sázejí na velký spěch, časový tlak a požadavek na tajnůstkářství („Nikomu o tom neříkejte, je to v řešení“). Pokud po vás nadřízený chce nestandardní platbu mimo schvalovací proces, ověřte si to druhým komunikačním kanálem (např. osobně, přes MS Teams nebo interní kódovou frází).
3. QR phishing neboli „Quishing“
Klasické odkazy v e-mailech už naše filtry umí docela dobře zachytit. Útočníci proto přešli na novou taktiku – posílají do e-mailu PDF dokumenty nebo obrázky s QR kódem. E-mail se tváří například jako „Nová směrnice z HR – povinné potvrzení identitních údajů“ nebo „Přihlášení k daňovému portálu“. Když kód naskenujete svým firemním mobilem, dostanete se na perfektní kopii přihlašovací stránky (např. do Microsoft 365), kde útočníkům odevzdáte své heslo i MFA kód.
Jak se bránit? Nikdy neskenujte QR kódy z e-mailů, které vás nutí se někam přihlašovat nebo zadávat platební údaje. Naše systémy po vás nikdy nebudou chtít ověření identity přes QR kód v e-mailu.
💡 Zlatá pravidla pro tento měsíc:
Dvakrát měř, jednou plať: Každá změna účtu dodavatele = povinné telefonické ověření.
Nenechte se stresovat: Pokud někdo v e-mailu křičí „SPĚCHÁ TO / PENALIZACE“, je to varovný signál. Zpomalte.
Chraňte data klientů: Nikdy neposílejte citlivé finanční výkazy nebo osobní data klientů na neověřené e-maily (pozor na překlepy v adresách – např. firma-sro.cz místo firmasro.cz).
Pokud máte sebemenší podezření, e-mail raději hned přepošlete na naše IT oddělení. Lepší nahlásit deset planých poplachů než jeden úspěšný útok.
Děkujeme, že pomáháte chránit naše data i finance našich klientů!