Kategorie
Podvody zaměřené na podnikatele: jak chránit svá data i finance
Pokusů o podvodné jednání vůči podnikatelům přibývá a jsou čím dál propracovanější – od e-mailů z externích i interních zdrojů přes podvodné SMS, falešné hovory či nápodobu rejstříků. Připravili jsme pro Vás slovník nejčastějších termínů, které se s podvodným jednáním pojí, a vysvětlíme Vám, jak podvody odhalit, a chránit tak svá data i finance.
Online podvody a podvodné telefonáty
Phishing, smishing, quishing a vishing – i když se může zdát, že jsme náhodně zkombinovali písmena z anglické abecedy, ve skutečnosti jde o nejčastější typy online podvodů. Jejich princip je podobný. Když však pochopíte, co znamenají a v čem se odlišují, lépe se jim vyhnete.
Phishing
S phishingem ve formě podvodného e-mailu se setkal snad každý z nás. Tyto e-maily mohou přicházet jak z externích zdrojů, tak i v rámci společnosti.
Útočník, který Vám podvodný e-mail poslal, se v takovém případě tváří jako:
- autorita, která očekává Vaši reakci – typicky úřad, ministerstvo, policie nebo celní správa,
- obchodní či dodavatelský partner – komu z nás někdy nepřišla falešná žádost o zaplacení faktury nebo odkaz na sledování zásilky,
- klient – častá je forma falešné poptávky nebo žádosti o pomoc s vyřízením reklamace.
Cílem útočníka bývá získat od Vás citlivé údaje nebo přimět Vás kliknout na odkaz, který Vás zavede na podvodné stránky (které se samozřejmě tváří věrohodně), případně si stáhnout zavirovaný soubor či celý software.
V případě interních podvodů v rámci společnosti pak útočník obvykle cílí na top management nebo se naopak vydává za generálního ředitele společnosti, případně ředitele obchodu či financí. Požaduje proplacení důležité faktury po splatnosti nebo urgentní převod peněz v rámci firmy. A spoléhá, že když pracovník vidí e-mail od nadřízeného, kterého často osobně ani nezná, vyhoví jeho požadavkům bez většího zkoumání.
Podvodné zprávy cílí i na sociální média. Tento příklad ukazuje snahu o krádež firemní stránky na Facebooku.
Smishing
Smishing je kombinací slov SMS a phishing. Princip je stejný jako výše, ale podvodník se na Vás snaží zaútočit přes zprávu zaslanou na mobilní telefon. Vyzve Vás k doplnění důležitého údaje jako např. CVV kódu z platební karty pro dokončení online platby nebo k aktivaci mobilního klíče k přihlášení do banky. Vše samozřejmě za účelem vylákat z Vás platební či přihlašovací údaje, ke kterým by se jinak nedostal – ty pak dokáže využít pro krádež peněz z karty nebo rovnou celého účtu.
Stejně tak tyto zprávy často obsahují podvodné odkazy, kterými se máte buď přihlásit do svého účtu, sledovat zásilku, zažádat o vyplacení přeplatku, nebo si stáhnout aktualizaci aplikace do telefonu.
Takto například vypadala podvodná SMS k daňovým přiznáním, kterou podvodníci rozesílali jako domnělou SMS od Finanční správy. Skutečná webová adresa portálu Moje daně přitom zní https://adisspr.mfcr.cz/. Na první pohled tedy zpráva působí opravdu věrohodně.
TIP: Zavedení jednotného portálu gov.cz pro jednotlivá ministerstva a státní instituce má za cíl nejen větší uživatelskou přívětivost, ale i vyšší kybernetickou bezpečnost. Díky tomu můžete vidět reálné ukázky podvodných zpráv napříč úřady, a lépe si tak ověřit jejich věrohodnost.
Quishing
Quishing je ještě o krok propracovanější podvod, protože podvodné odkazy skrývá do QR kódu. Zatímco URL adresu v e-mailu nebo SMS vidíte a dokážete posoudit, zda vede na skutečné stránky adresáta, u QR kódu už je situace složitější. Navíc jsou v dnešní době QR kódy velmi oblíbené pro svou jednoduchost a přímočarost, takže se mnohdy mohou tvářit jako proklientský krok s cílem usnadnit Vám požadovanou akci.
Vishing
Vishing je nejnovější formou podvodů, kdy Vám iniciátor neposílá zprávu, ale osobně zavolá. I zde se nejčastěji tváří jako autorita (například Vaše banka nebo dokonce Česká národní banka či policie).
Hovory mají obvykle stejný cíl – sdělit Vám, že Váš bankovní účet byl napaden a peníze je nutno společně okamžitě převést na jiný účet, než se tento kybernetický útok vyřeší. I zde se útočník snaží zjistit Vaše přihlašovací údaje do banky nebo Vás zavést na (své) falešné webové stránky, které co nejvěrněji napodobují oficiální web banky nebo aplikace.
Dejte si pozor, že číslo volajícího v tomto případě může vypadat jako skutečné telefonní číslo instituce, za kterou se útočník vydává (tzv. spoofing).
TIP: Podvody s hovory jsou nejen nové, ale také velmi propracované. Jejich princip vysvětluje novinář Jiří Burýšek ve svém YouTube videu, které určitě stojí za zhlédnutí. Svůj odhad na rozpoznání podvodných znaků v online světě si můžete otestovat v interaktivním Kybertestu od České bankovní asociace.
Typické varovné znaky online podvodů
Když se naučíte podvody rozpoznávat, je mnohem snazší se jim úspěšně bránit. Následující patero varovných znaků Vám s tím pomůže:
- 1
Neznámý adresát
Místo oficiálního telefonního čísla instituce (např. klientská linka) použije útočník náhodné číslo, které nelze dohledat ani ověřit. Výjimku tvoří maskování telefonního čísla u vishingu popsané výše. U e-mailů se pak typicky adresa odesílatele neshoduje s firmou, za kterou se vydává, nebo působí celkově odlišně.
- 2
Špatná čeština
Ve zprávě jsou gramatické chyby, překlepy, špatný slovosled nebo krkolomná spojení. Zpráva nepůsobí profesionálně ani lidsky, spíše strojově.
- 3
Urgence
Čím méně času máte na zkoumání obsahu zprávy a jejích náležitostí, tím spíše můžete udělat chybu. Proto je typickým varovným znakem pro rozpoznání podvodníků jejich snaha vyvolat urgentní problém, který vyžaduje okamžité řešení.
- 4
Zvláštní obsah
Vsaďte i na vlastní úsudek a praxi. Přišel Vám e-mail od nadřízeného nebo obchodního partnera, který zní úplně jinak než obvykle? Je možné, že i v rámci Vaší firmy nebo dodavatelského řetězce byl někdo napaden a jeho skutečné údaje má teď útočník k dispozici.
- 5
Podezřelý odkaz
Pokud je odkaz ve zprávě zkrácený a nevede na oficiální web odesílatele, nevíte, co se pod ním skutečně skrývá. Pozor, útočníci dokáží adresy velmi věrohodně napodobit anebo použijí již zmíněný QR kód, který link maskuje.
Jak se bránit online útokům
Pokud Vám přijde zpráva, která se tváří jakkoliv podezřele, zlaté pravidlo zní: nereagujte. Jakýkoliv kontakt s podvodníkem mu může jen lépe nahrát, aby dosáhl svého. Je ve Vašem zájmu říci si raději 3× NE:
- Na zprávu neodpovídejte.
- Na odkazy ani QR kódy neklikejte.
- Nikdy nesdělujte údaje ke svým platebním kartám, bankovním účtům ani dokladům.
Co naopak můžete dělat:
- Pokud si nejste čímkoliv jistí, kontaktujte firmu nebo odesílatele vlastní cestou (kontakt již máte ve svém adresáři nebo jej sami najdete na oficiálních stránkách).
- Dejte si čas na kontrolu varovných znaků podvodných zpráv a informace si ověřte z vlastních zdrojů (např. sami se přihlásíte do své banky obvyklým způsobem).
- Pokud Vám vznikla škoda, obraťte se na oficiální autoritu – banku, Úřad pro ochranu osobních údajů, Policii ČR a jim podobné.
TIP: Ne všechny zkrácené odkazy jsou automaticky podvodné. Například oblíbené bit.ly nebo goo.gl se běžně objevují v marketingové komunikaci. Ve zprávě jiného charakteru na ně raději neklikejte.
Offline podvody na podnikatele
Ani offline světu se podvody nevyhýbají. Falešné úřední dopisy či výzvy k registraci do rejstříků, adresářů a katalogů firem nejčastěji cílí na začínající podnikatele, kteří si nově založili firmu nebo živnost. Ti ještě nemají tolik zkušeností a jednají v dobré víře, aby měli administrativu spojenou s podnikáním v pořádku.
V Česku máme dva oficiální rejstříky pro podnikatele: živnostenský rejstřík a obchodní rejstřík. Registrace do jiného rejstříku je tedy čistě dobrovolná a na úrovni placené propagace, ne zákonného požadavku.
Zbystřete, pokud Vám přijde dopis se složenkou za placenou registraci například do:
- Živnostenské komory,
- České komory živnostníků,
- Evropského rejstříku,
- Centrálního rejstříku firem,
- Rejstříku obchodu a živností,
- Podnikatelského registru apod.
Jistota v podnikání
Držíme palce, ať se Vám podvody vyhnou obloukem. A pokud budete potřebovat pomoc s podnikáním, obraťte se na profesionály. Se správným založením živnosti, registrací do obchodního rejstříku nebo třeba zřízením virtuálního sídla si poradíme – máme dlouhou praxi a všestranné zkušenosti. Nezbytnou administrativu vyřídíme za Vás a Vy se můžete soustředit na rozvoj svého byznysu.
Napište nám a my se Vám
ozveme do 24 hodin.