Podvody v bankovnictví a online platbách se stále častěji opírají o sociální inženýrství: útočník nepotřebuje „hacknout banku“, stačí mu přesvědčit člověka, aby sám potvrdil platbu, předal kód nebo nainstaloval nástroj pro vzdálený přístup. U firem je problém v tom, že platby dělá více lidí, používají se různé účty, platební brány, fakturační systémy a komunikace běží napříč e-mailem, telefonem a chaty. Čím víc kanálů, tím víc příležitostí pro chybu.

Nejčastější scénáře podvodů, které míří na firmy

  • Falešná faktura / změna bankovního účtu dodavatele (tzv. invoice fraud): přijde e-mail „měníme číslo účtu“, často s podpisem a grafikou podobnou reálné firmě.
  • CEO/BEC podvod: útočník se vydává za jednatele nebo manažera a tlačí na urgentní platbu („pošli hned, jsem na schůzce“).
  • Phishing banky nebo platební brány: odkaz vede na podvrženou stránku, kde oběť zadá přihlašovací údaje nebo autorizační kódy.
  • Vzdálený přístup: „bankéř“ nebo „technická podpora“ přesvědčí oběť k instalaci nástroje, pak ovládne zařízení a donutí ji potvrdit transakce.
  • Zneužití karty: únik údajů z e-shopu, uložené karty v prohlížeči, slabé zabezpečení účtů zaměstnanců.

Nastavte bankovnictví tak, aby i chyba jednotlivce měla limity

Technické nastavení firemního bankovnictví často rozhoduje o tom, zda incident skončí pokusem, nebo reálnou škodou. Cíl je jednoduchý: rozdělit pravomoci, zavést limity a snížit počet situací, kdy lze „jedním klikem“ odeslat velkou částku.

1) Dvouúrovňové schvalování plateb

U plateb nad určitou částku (např. dle interního limitu firmy) vyžadujte schválení druhou osobou. Ideální je oddělit roli „příprava platby“ a „autorizace“. Útočník pak musí zmanipulovat minimálně dva lidi nebo kompromitovat dva přístupy.

2) Limity pro převody a karty

  • nastavte denní limity pro odchozí platby a pro okamžité platby,
  • omezte karetní limity podle role (marketing vs. nákup materiálu),
  • zvažte samostatné účty: provozní účet vs. účet pro větší zůstatky.

3) Oddělené přístupy a žádné sdílené účty

Každý, kdo pracuje s platbami, musí mít vlastní přístup. Sdílené přihlašování znemožní dohledání odpovědnosti a zvyšuje riziko úniku. Odchází-li zaměstnanec nebo externista, okamžitě rušte jeho oprávnění.

4) Notifikace a rychlá kontrola

Zapněte upozornění na odchozí platby a přihlášení z nového zařízení. Smysl je praktický: když někdo spustí převod mimo standardní rutinu, dozvíte se to v minutách, ne za týden při párování banky.

Procesy ve firmě: jednoduché kontrolní kroky, které zastaví většinu podvodů

Podvody často projdou kvůli spěchu a nejasným pravidlům. Nejde o byrokracii, ale o krátké postupy, které se dají dodržovat i v malé firmě.

Kontrola změny bankovního účtu dodavatele

  1. Jakákoliv změna účtu se nepotvrzuje e-mailem jako jediným kanálem.
  2. Vždy ověřte změnu nezávisle: zavolejte na číslo, které už máte uložené v adresáři (ne to z e-mailu).
  3. Uložte do účetnictví poznámku, kdo ověření provedl a kdy.

Tento postup sice přidá 2–3 minuty práce, ale výrazně snižuje riziko, že pošlete peníze na účet útočníka.

Pravidlo „žádné kódy nikomu“ a standardní věty podvodníků

Zaměstnanci musejí vědět, že autorizační kódy, jednorázová hesla a potvrzení v aplikaci se nikdy nesdělují třetí straně. Podvodníci budou tvrdit, že je to „pro zrušení platby“, „pro ověření identity“ nebo „kvůli bezpečnosti“. Ve skutečnosti jde o potvrzení operace, kterou spustili oni.

Schvalování „urgentních“ plateb

Zaveďte jednoduché pravidlo: urgentní platby mimo běžný proces se potvrzují druhým kanálem (telefon, interní chat) a minimálně druhou osobou. U BEC podvodů útočník často spoléhá na hierarchii a strach „neposlechnout šéfa“.

E-shopy a online platby: kde vznikají ztráty a co nastavit

Majitelé e-shopů řeší kromě bankovních převodů i chargebacky, falešné objednávky a zneužité karty. Zde pomáhá kombinace nastavení plateb a logiky ve správě objednávek.

1) Silné ověření plateb a práce s rizikovými signály

  • využívejte ověřování plateb, které zvyšuje jistotu, že platí skutečný držitel karty,
  • označte objednávky k ruční kontrole, pokud nesedí země doručení a fakturace, adresa je nestandardní nebo je objednávka extrémně hodnotná,
  • u digitálního zboží a rychlého expedování nastavte přísnější kontrolu než u běžného zboží.

2) Ověření změn v administraci e-shopu

Útočníci často necílí přímo na platby, ale na přístup do administrace (CMS, e-shop platforma, hosting). Pokud změní číslo účtu pro dobírky, napojení na bránu nebo e-mail pro notifikace, problém se projeví až pozdě.

  • zapněte dvoufaktorové ověření pro administrátorské účty,
  • omezte počet administrátorů a pravidelně kontrolujte jejich seznam,
  • logujte změny nastavení plateb a přesměrování.

3) Platební stránka a komunikace se zákazníky

Jasně popište, jaké platební metody používáte a jak vypadá standardní proces. Čím méně prostoru pro improvizaci, tím hůř se zákazníkům prodává falešná „platba přes odkaz“. Pokud provozujete magazín nebo firemní web, vyplatí se publikovat i jednoduché bezpečnostní doporučení pro uživatele v sekci nápovědy.

Bezpečnost e-mailu: hlavní vstupní brána pro platební podvody

Většina firemních podvodů začíná e-mailem. Neřešte jen „antivir“, ale praktické dopady: kdo může posílat faktury, jak se ověřují změny a jak se pozná podezřelá zpráva.

  • Kontrolujte doménu odesílatele (i drobná odchylka je varování) a skutečnou adresu pod „jménem“.
  • Neklikejte na odkazy v neočekávaných výzvách k přihlášení do banky nebo do brány; raději jděte přes uložený záložní odkaz nebo ruční zadání adresy.
  • Pozor na přílohy: faktura ve formátu, který běžně nepoužíváte, je důvod zastavit proces a ověřit odesílatele.

Co dělat, když už k incidentu dojde

V krizové situaci rozhodují minuty. Připravte si stručný interní postup (klidně na jednu stránku) a sdílejte ho s lidmi, kteří mohou platby zadávat nebo schvalovat.

  1. Okamžitě kontaktujte banku a požádejte o zablokování/odvolání platby, pokud je to možné.
  2. Odpojte kompromitované zařízení od internetu, pokud je podezření na vzdálený přístup nebo malware.
  3. Změňte přístupové údaje k e-mailu a bankovnictví z čistého zařízení a zkontrolujte nastavení (přeposílání pošty, pravidla, nové uživatele).
  4. Zdokumentujte průběh: e-maily, čísla účtů, časové údaje, záznamy z banky, screenshoty.
  5. Upravte procesy, které selhaly (např. ověřování změny účtu, schvalování plateb, přístupy externistů).

Krátký kontrolní seznam pro majitele firem a správců webů

  • Máme dvouúrovňové schvalování plateb a smysluplné limity?
  • Ověřujeme změny účtů dodavatelů mimo e-mail?
  • Má každý vlastní přístup do banky, e-mailu a administrace webu?
  • Je na e-shopu zapnuté dvoufaktorové ověření pro administrátory?
  • Máme napsané „co dělat při incidentu“ a ví o tom odpovědní lidé?

Pokud spravujete web, e-shop nebo firemní prezentaci, hodí se mít tyto zásady po ruce i v širším kontextu online provozu. Další témata k podnikání a provozu webů najdete v sekci články. Pro související služby a dodavatele v oboru se může hodit také katalog firem a přehled rubrik, například Banky a pojištění nebo IT a technologie.