Svátky klidu, ale i žně pro podvodníky. Pozor na falešné faktury i kyberšmejdy, radí experti
Pro jednoho jsou Vánoce a závěr roku obdobím rozjímání a rodinné pohody, pro řadu podnikatelů jde ale o nejnáročnější část roku. A to nejen z pohledu tržeb, ale i maximálního vypětí v oblasti financí či účetnictví. Nahromaděné termíny, tlak na rychlé platby, časté dovolené a oslabené týmy s sebou přinášejí mnohem vyšší chybovost. A taky aktivitu kyberšmejdů. Zvyšte obezřetnost, radí experti.
O Vánocích rostou nejen tržby, ale také úspěšnost kybernetických útoků. Lidé jsou v hektické době méně obezřetní a výrazně rostou počty chybných úhrad. Stále častěji na malé a střední firmy míří i sofistikovanější kybernetické útoky. A v neposlední řadě se o Vánocích šíří také falešné faktury.
„Konec roku je pro firmy náročnější období. Lidé řeší uzávěrky, zpracovávají víc plateb než obvykle, často pracují mimo kancelář a týmy jsou oslabené o lidi na dovolených. To samo o sobě otevírá prostor pro chyby i útoky, které by v jinou dobu neměly šanci,“ vysvětluje Robert Soudný, CEO českého digitalizačního startupu wflow.
V praxi podle něj sice nejde o velká selhání, firmu ale mohou i tak bolet. „Řešili jsme například firmu, která přišla o víc než dvacet tisíc eur (bezmála půl milionu Kč, pozn. red.) kvůli zneužité platební kartě v reklamním účtu na Facebooku,“ říká s tím, že útočník začal malými částkami a postupně je navyšoval až na 900 eur denně.
Banka sice peníze vrátila, ale firma musela během pár hodin změnit nastavení plateb u důležitých dodavatelů, na kterých byl závislý běh jejího provozu i služeb pro zákazníky.
Je to ale jen jeden případ z mnoha. Na co si tedy dát (nejen) o Vánocích pozor?
Falešné faktury je těžké odhalit
Velmi častým podvodem jsou stále obyčejné falešné faktury. Jejich odesílatelé nejčastěji spoléhají na to, že podnikatelé a firmy v záplavě byrokracie nebudou zkoumat každou fakturu a automaticky požadovanou částku zaplatí. A to i u těch faktur, které jsou za skutečně pofidérní služby a „výhody“, zejména pak v dobách hektických, ke kterým Vánoce patří.
Podvod je to snadný na provedení a spoléhá na vaši nepozornost. Oproti předchozím letům se ale i on proměnil: podvodníci už nespoléhají jen na nepozornost v podobě vystavení faktury za nikdy nedodanou službu. „Útočníci dokážou zachytit příchozí fakturu, přepsat číslo účtu a odeslat ji dál tak, aby změna nebyla na první pohled patrná,“ upozorňuje Soudný.
„Dnes už to nejsou jen amatérské útoky. Falešné faktury jsou vizuálně k nerozeznání od originálu a útočníci dokážou věrně napodobit styl komunikace i podpis konkrétního člověka. Je snadné udělat chybu, protože to v praxi často vypadá jako běžná zpráva od kolegy nebo dlouholetého dodavatele.“
Jeden z nejzákeřnějších triků, nazývaný Business E-mail Compromise (BEC), sází právě na hektické sváteční období. V běžném provozu by si možná někdo všiml drobné nuance v e-mailové adrese odesílatele nebo změny banky, v prosinci, kdy se faktury schvalují ve velkém, ale kontrola často selže.
Lze se ale takovému útoku vůbec bránit? Samozřejmě ano. A platí jednoduché pravidlo: kdo je připraven, není překvapen. K základům patří pravidelné školení zaměstnanců, jak odhalit podezřelý e-mail, zajistit dostatečně robustní kontrolu i na straně e-mailového serveru (kvalitní spam filtr) a využívat například i nástroje pro automatickou kontrolu bankovních účtů.
Poslední zhasne
Malé firmy si často mylně myslí, že pro útočníky nejsou zajímavým cílem. Opak je ovšem pravdou. Jsou ideálním terčem. Nemusí přitom jít hned o takzvaný ransomware útok, při kterém vám útočník zablokuje důležitá data a požaduje výkupné, byť je to jedna z nejvýnosnějších forem útoku, která míří ve 37 % případů právě na firmy do sta zaměstnanců – e-shopy, účetní kanceláře a podobně.
V době svátků a nižší vytíženosti kanceláří roste i počet úspěšných kyberútoků. Kyberšmejdi mají díky dovoleným a uvolněnějším režimům ve firmách mnohem více prostoru. I proto se čím dál častěji zaměřují na malé a střední podniky. Důvod pro to je až cynicky prozaický: velké korporace investují do zabezpečení miliardy, zatímco malé firmy často nemají ani vlastní IT oddělení.
Statistiky jsou neúprosné. Podle mezinárodních analýz se s kybernetickým útokem setkalo 43 až 48 procent malých a středních podniků. A pokud podnikáte v obchodě, je riziko ještě vyšší – v tomto sektoru se s útokem setkalo podle Asoiace malých a středních podniků dokonce 42 procent firem. Hackeři navíc velmi dobře znají firemní rytmus a sázejí na roztěkanost lidí v předvánoční špičce.
Vedle falešných faktur proto podvodníci zkoušejí nachytat vaše zaměstnance třeba e-maily od údajných dopravců (protože o Vánocích téměř každý očekává nějaký ten balíček), ale i zprávami od majitele, který nutně potřebuje urgentní platbu. Díky pomoci umělé inteligence navíc nejsou tyto e-maily na první dobrou snadno rozlišitelné a člověka snadno oklamou.
Technika, při níž se útočníci snaží podvodným způsobem vylákat z lidí citlivé údaje, je známá jako sociální inženýrství. Pracovníci malých firem čelí až o 350 procent více pokusům o sociální inženýrství než jejich kolegové ve velkých korporacích. Jeden jediný neuvážený klik přitom může firmu stát nejen finance, ale i reputaci či dokonce existenci.
„Nejčastějším útočným vektorem není prolomení firewallu, ale obyčejná lidská chyba. Kliknutí na špatný odkaz, stažení přílohy z falešného e-mailu nebo sdílení hesla po telefonu vede ve firmách každé velikosti k incidentům s reálnými následky,“ říká Jan Dvořák, výkonný ředitel Počítačové školy Gopas.
Nebezpečí hrozí i uvnitř
Nejde však jen o anonymní hackery ze druhého konce světa. Prosinec odhaluje slabá místa taky přímo uvnitř firemních procesů ve formě interních zpronevěr.
Kombinace stresu, snížené ostražitosti a snahy mít „čistý stůl“ vede k tomu, že se obcházejí standardní postupy. Pokud má ve firmě jeden člověk pravomoc fakturu přijmout, schválit i uhradit – což je v malých firmách běžné – vzniká prostor pro podvod.
„Pokud má jeden člověk možnost fakturu zaúčtovat, schválit i uhradit, otevírá to prostor pro omyly i úmyslné jednání. V praxi často nejde o závratné částky, ale o nenápadné položky, které se postupně nasčítají,“ varuje Soudný s tím, že chytré rozdělení kompetencí v kombinaci s digitalizací procesů dokáže těmto situacím efektivně zabránit.
Zásadním problémem českých SME je podle expertů na kyberbezpečnost reaktivní přístup, kdy problémy řeší až ve chvíli, kdy je pozdě. Pouze čtyři z deseti firem pravidelně – alespoň jednou za čtvrt roku – vyhodnocují kybernetická rizika. Ještě horší je situace se vzděláváním lidí.
Zaměstnanci malých firem denně pracují s citlivými daty a přístupy do bankovnictví, ale často nikdy neprošli ani základním školením, jak poznat útok. V praxi to znamená, že nerozeznají podvrženou přílohu a nepoznají falešný login formulář. Pro hackery je to ideální stav.
Ale pozor. Bez jasně nastavených rolí a kontrolních mechanismů ani digitalizace před chybami nechrání. Jak upozorňuje Soudný, pokud digitalizujete chaos, máte jen digitalizovaný chaos.
Co tedy dělat, aby Vánoce byly skutečně svátky klidu? Z doporučení expertů lze vydedukovat pět základních poučení, která by měl podnikatel zpracovat ideálně ještě předtím, než rozkrojí jablko u štědrovečerní večeře:
Nevěřte očím, věřte procesům
Nespoléhejte na to, že účetní pozná falešnou fakturu pohledem. Zavedťe pravidlo „čtyř očí“ pro každou platbu nad určitou hranici.Ověřujte změny
Pokud dodavatel náhle změní číslo účtu, vždy si to ověřte jiným kanálem (telefonátem na známé číslo, nikoliv na číslo z podezřelého e-mailu).Nastavte limity
Platební karty používané pro online služby (reklama, software) musí mít nastavené striktní limity. Ideální je používat jednorázové virtuální karty.Školte, i když není čas
Upozorněte zaměstnance na aktuální hrozby. Stačí krátká schůzka nebo e-mail s varováním před falešnými dopravci a fakturami. Připomeňte jim, že nikdo z vedení po nich nebude chtít urgentní převod peněz třeba přes Whats App.Automatizujte kontrolu
Využívejte nástroje, které automaticky hlídají shodu bankovních účtů s databází a upozorní na anomálie. Stroj nemá „vánoční stres“ a neudělá chybu z nepozornosti.
Kyberbezpečnost a NIS2 na Finmag.cz
📘 Zajímá vás nový zákon o kybernetické bezpečnosti?
Směrnice NIS2 přináší zásadní změny, které se týkají i středních firem. Koho přesně se týká? Co bude nutné zavést? Kolik to bude stát? A jak nenaletět „prodavačům hrnců“? Čtyřdílná podcastová minisérie s šéfem NÚKIB Lukášem Kintrem je součástí našeho velkého speciálu k blížícímu se zákonu o kybernetické bezpečnosti:
Nebo si rovnou poslechněte celý rozhovor s šéfem NÚKIB Lukášem Kintrem a udělejte si jasno, co vás skutečně čeká:
Zaujali jsme vás? Pokračujte...
PDCA cyklus. Objevte jednoduchý nástroj, který vám pomůže s růstem i směrnicí NIS2
NIS2 v režimu nižších povinností. Co vše musíte splnit a kdo je „povinná osoba“? (velký přehled)
Neuniká vám něco? Lhůta pro registraci se krátí, nová povinnost se týká tisíců firem
Budou startupy motorem české ekonomiky?
Když je byznys rodu ženského… čtěte v novém Finmagu
Podnikatelek a manažerek přibývá. Jenže pomalu. Na vině jsou stále předsudky. To potvrzují i ženy, jež se na špici světového byznysu přece jen prodraly.
Zdroj: FinmagBYZNYS JE VĚDA
Julia Sveet je šéfkou obří společnosti Accenture, ale o spolupráci s někdejšími kolegy - muži stále nevypráví ráda. • Ana Botín zase roky musela dokazovat, že v čele banky Santander není jen kvůli svému původu. • A Mary Barra? Předsudků okusila sama tolik, až v sídle General Motors rozjela projekt, který pomáhá ženám prosadit se v IT.
BYZNYS JE HRA
Když jste vědkyně a přihlásíte se do akcelerátoru pro začínající podnikatele, musíte mít fakt hodně kuráže. Aspoň jako Kateřina Komrsková. • Do smělé hry se pustila také Šárka Hayna Fuchsová, dnes řídí Volvo Czech Republic. • A kdo musí mít odvahy na rozdávání? Každý startupista, který to nezabalí po prvním nezdaru.
Další články autora
Související témata
Související články
Nejčtenější články
Nejnovější podcasty
