Podvody na míru. Víte, jak se chránit?
Klientka České spořitelny se chytila do promyšlené sítě kyberpodvodu. Škoda přesáhla 4,7 milionu korun. Část z těchto peněz dokonce odešla z firemního účtu. Útočníci působili důvěryhodně, vystupovali jako zástupci banky a znali osobní údaje. To je příklad, který ukazuje, že se kyberzločinci uchylují ke stále sofistikovanějším metodám. Cílí na jednotlivce i firmy, kombinují technologie s psychologickým nátlakem a často se zaměřují na lidi s přístupem k firemním financím. Poznejte skutečné kyberzločiny, poučte se z chyb obětí a zjistěte, jak se zachovat v případě, že se terčem útoku stanete vy.
Kyberpodvody už dávno neprobíhají jen formou nevyžádaných e-mailů s podezřelým odkazem. Dnešní útočníci pracují promyšleně, využívají osobní informace svých obětí a často vystupují jako profesionálové z bank, státních institucí nebo důvěryhodných firem. Působí přesvědčivě a vše mají detailně promyšlené.
Zároveň se mění i okruh lidí, na které útočí. Jejich oběťmi se nestávají jen běžní uživatelé internetu. Podvodníci dnes cílí na podnikatele, účetní, provozní zaměstnance nebo asistenty vedení, tedy na kohokoliv, kdo má přístup k firemním účtům, citlivým datům nebo schvalovacím procesům.
Pro firmy tak vzniká hned dvojí riziko. Pokud budou kyberzločinci úspěšní, společnost přijde o vlastní prostředky a také o důvěru svých klientů nebo obchodních partnerů. Prevence a včasné rozpoznání útoku jsou proto pro firmy a jejich zaměstnance životně důležité.
Jak kyberútok obvykle probíhá?
Kybernetické útoky mají různé formy, scénář ale bývá podobný. Ať už se jedná o telefonát z falešné banky, podvržený e-mail od dodavatele, nebo napodobeninu oficiální webové stránky, útočníci zpravidla využívají kombinaci několika postupů. Opírají se o pečlivě připravený scénář, jehož cílem je vyvolat v oběti důvěru a zároveň ji přimět k aktivnímu jednání.
1. Vytvoření důvěryhodného příběhu
Útočníci často tvrdí, že se někdo pokusil zneužít vaši identitu – například že požádal o úvěr či hypotéku nebo z vašich účtů vybral velké množství peněz. Volají nebo píšou jako údajní pracovníci banky, úředníci státní správy nebo policie. Mluví odborně, znají vaše osobní údaje a odkazují se na konkrétní události, například na pobočku nebo město, kde k domnělému útoku došlo.
2. Řetězení osob a institucí
Oběť často komunikuje s několika různými „odborníky“, kteří navazují jeden na druhého. Jeden hovor může být z banky, další z bezpečnostního oddělení, jiný z podpory České národní banky. Tento postup vytváří dojem strukturovaného procesu a zvyšuje důvěryhodnost celé situace.
3. Falešná webová stránka nebo aplikace
Běžnou součástí útoku je odkaz na web, který imituje prostředí banky nebo oficiální instituce. Stránky často obsahují loga, funkční odkazy nebo ověřovací prvky (např. ověření, že nejste robot). Oběť se zde přihlásí, případně si vytvoří nové údaje a tím ty staré předá útočníkům.
4. Přesvědčení k převodu peněz
Útočníci neukradnou peníze přímo. Místo toho oběť přimějí, aby jim je sama odeslala. Tvrdí jí, že peníze převádí na chráněný účet nebo že je tento krok nezbytný v rámci vyšetřovacího procesu.
5. Tlak na rychlost a utajení
Útočníci často oběť nutí k bezodkladnému jednání. Tvrdí, že hrozí okamžité nebezpečí – pokud oběť nebude reagovat rychle, o všechno přijde. Zároveň žádají, aby napadený s nikým nemluvil. Jejich častým odůvodněním je, že by to mohlo narušit vyšetřování nebo zkomplikovat zabezpečení. Tím se snaží zamezit včasnému zásahu banky nebo okolí.
Jak se můžete před kyberútoky chránit?
Základem ochrany je pečlivé zacházení s osobními údaji. Právě ty útočníci často zneužívají k tomu, aby situace působila důvěryhodně. Když se v komunikaci objeví celé vaše jméno, adresa nebo datum narození, snadněji uvěříte, že mluvíte s někým, komu můžete důvěřovat.
Tyto informace přitom často sdílíme bez rozmyslu například na sociálních sítích. Útočníkům pak stačí jen několik sekund vašeho hlasu, třeba z krátkého videa na veřejném profilu, aby mohli vytvořit deepfakeovou nahrávku, která působí jako skutečná. Sociální sítě proto mějte nastavené jako soukromé a přístup poskytujte jen lidem, které skutečně znáte.
Nikdy nesdílejte v žádné aplikaci ani své přihlašovací údaje. Pokud vám přijde e-mail, který vás pod jakoukoliv záminkou vybízí ke kliknutí na odkaz a zadání údajů, buďte obezřetní. Takové zprávy se často vydávají za komunikaci od IT nebo bezpečnostního oddělení. V případě pochybností se obraťte přímo na vaše interní IT nebo bezpečnostní tým. E-mail jim ukažte a ověřte si, zda je legitimní.
Pečlivě kontrolujte i samotné e-mailové adresy odesílatelů. Podvodníci často vytvoří adresu, která se od té skutečné liší jen drobnou změnou, třeba i jediným písmenem. Tento detail může rozhodnout o tom, jestli zůstanete v bezpečí, nebo přijdete o peníze.
Důležité je také sledovat aktuální informace a trendy v oblasti kyberbezpečnosti. Například web Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) nabízí přehled hrozeb, doporučení a varování. Kybernetickou gramotnost se vyplatí posilovat i uvnitř firem. Vzdělávejte své zaměstnance, diskutujte bezpečnostní scénáře a nastavte interní pravidla pro ověřování.
Poučte se z příběhů lidí, kteří se stali obětí kyberpodvodu. Přečtěte si, jak situace probíhaly, a zvažte, jak byste reagovali vy.
Skutečné příběhy podvodů
Vše začalo obyčejným telefonátem. Údajný pracovník jiné banky informoval ženu o podezřelé žádosti o úvěr na její občanský průkaz. Tvrdil, že se tento podvod pokusil někdo spáchat v jejich pardubické pobočce. Muž vystupoval profesionálně, znal osobní údaje oběti a působil důvěryhodně. Odkázal ji na kolegu z bezpečnostního oddělení České spořitelny, u níž měla účet, který s ní měl situaci řešit dál.
Následovalo několik telefonátů s dalšími osobami. Každá vystupovala pod jiným jménem a v jiné roli. Jiný muž ženě vysvětlil, že kvůli možnému zneužití identity je třeba okamžitě převést peníze na tzv. „záchranný účet“, vedený přes bezpečnostní systém České národní banky. Poslal jí odkaz na falešnou stránku napodobující oficiální web ČNB. Stránka obsahovala loga, funkční odkazy i ověřovací kroky. Na této stránce žena zadala své přihlašovací údaje, nastavila si nové heslo a postupně začala prostředky přeposílat na určené „záchranné účty“.
Během několika hodin provedla více než deset transakcí – nejprve ze soukromého účtu a poté i z účtu své firmy, kde působila jako jednatelka. Celkově tak přišla o 4,75 milionu korun, z toho 3,85 milionu z firemního účtu.
Ačkoliv ji „bankéř“ varoval, aby nikomu nic neříkala, žena se spojila s firemní bankéřkou z České spořitelny. Ta podvod okamžitě rozpoznala a alespoň jednu z transakcí se jí podařilo zastavit. Oběť se následně obrátila na policii.
Přestože během hovoru nikomu přímo nesdělila své přihlašovací údaje, manipulace a vytvořený dojem oficiálního postupu ji přesvědčily, že jedná správně a chrání své finance.
V tomto případě se podvodníci zaměřili na dlouhodobý dodavatelsko-odběratelský vztah. Klientka totiž pravidelně odesílala platby za zboží konkrétní společnosti, se kterou už nějakou dobu bezproblémově spolupracovala.
Jednoho dne jí přišel e-mail s informací, že firma změnila číslo účtu. Komunikace působila důvěryhodně, a protože se změna týkala známého dodavatele, klientka nepojala podezření. Během krátké doby tak odeslala tři platby v celkové výši 80 381 eur (tedy cca 2 miliony korun).
Když však zboží dlouho nedorazilo, společnost kontaktovala. Ukázalo se, že žádné změny účtu neproběhly a e-mail nebyl odeslán dodavatelskou firmou. Zároveň se zjistilo, že adresa odesílatele se od skutečné jedním písmenem lišila.
Podvodníci tímto způsobem zneužili důvěru, rutinu a nedostatečné ověřovací procesy.
22. července 2025
3 min
Co dělat, když se stanete obětí kyberútoku?
Zachovat rozvahu není snadné. V situaci, kdy se stanete terčem podobného útoku, je ale chladná hlava velmi důležitá. Útočníci na vás často vytvářejí nátlak, abyste jednali rychle a bez přemýšlení. Pokud ale máte sebemenší podezření, že jste se stali terčem podvodu, zadali jste své údaje na neznámém webu nebo odeslali platbu, kterou jste neměli, doporučujeme postupovat následovně:
1. Kontaktujte svou banku
Zavolejte na klientskou linku České spořitelny na čísle 277 207 207 a co nejpřesněji popište, co se stalo. V některých případech je možné platbu ještě zadržet nebo reklamovat. Čas hraje zásadní roli, a proto neotálejte.
V rámci jednoho z podvodů, které byly cíleny na klienta České spořitelny, oběť svému bankovnímu poradci dokonce na radu útočníka zalhala, když ji kontaktoval ohledně podezřelých plateb na jejím účtu. Tato chyba ji stála velké množství peněz. Naši poradci mají vždy na srdci především vaše bezpečí. Včasná konzultace s bankéřem tak může pomoci transakce zadržet, ověřit komunikaci nebo zablokovat účet.
2. Změňte přístupové údaje a zablokujte přihlášení
Pokud jste se přihlásili přes odkaz v podvodném e-mailu nebo jste zadali své údaje mimo oficiální prostředí internetového bankovnictví George, ihned si změňte heslo. Můžete také zablokovat své kreditní karty nebo i Bankovní IDentitu, pokud se obáváte, že k ní útočník získal přístup.
3. Incident ohlaste Policii ČR
Na útočníka podejte trestní oznámení. Připravte si kompletní dokumentaci obsahující vaši veškerou komunikaci. Může jít o e-maily, telefonní čísla, údaje o platbách, snímky obrazovky nebo zaznamenané hovory. Čím více informací předáte, tím lépe lze případ prošetřit.
4. Informujte svého zaměstnavatele
Pokud jste ohrozili nebo použili firemní prostředky, obraťte se na svého nadřízeného, účetní nebo IT oddělení. Usnadníte tak včasné přijetí bezpečnostních opatření, jako jsou změna hesel nebo kontrola pohybů na firemních účtech.
5. Nechte si poradit
Bezpečnostní specialisté České spořitelny jsou připraveni vám pomoci. Pokud si nejste jistí, zda je komunikace, kterou jste obdrželi, důvěryhodná, nebo ne, obraťte se na nás dříve, než uděláte další krok. Včasná konzultace může zabránit škodám.
Více informací najdete na www.csas.cz/bezpecnost.
Kyberbezpečnost řeší i nová směrnice EU NIS2. Platí i pro vaši firmu?
Cílem kyberútoku se může stát každý. Podvodný e-mail, SMS nebo zpráva ve WhatsAppu mohou přijít kdykoliv. Důležité je rozpoznat, o co se jedná, a adekvátně zareagovat.
Pokud útočník uspěje a vaše údaje zneužije, neotálejte s reakcí. Ozvěte se bance, zaměstnavateli nebo policii. Požádat o pomoc není projev slabosti, naopak. To, že jste se stali obětí kyberútoku, nevypovídá nic negativního o vás. Jde o důmyslnou manipulaci, kterou je těžké odhalit i proto, že útočníci využívají moderní technologie. Právě sdílení zkušeností a otevřená komunikace mohou pomoci chránit vás i ostatní.