Rychle zaplaťte a nikomu to neříkejte. Kyberútočníci si nasadí obličej ředitele a přikazují

Loni dělalo PwC velký průzkum o kyberkriminalitě ve firmách. Jaká jsou jeho hlavní zjištění?

Javorský: Vyplynulo z něj, že nejčastějším typem kyberpodvodu jsou hackerské útoky, kdy externí útočník sám nebo ve spolupráci se zaměstnancem přiměje pracovníka, aby poslal peníze ven z firmy. Metody jsou čím dál sofistikovanější. Hacker pak ty peníze vyvede někam offshore nebo je převede na kryptoměny. Za poslední dva roky zažilo v Česku alespoň jeden takový útok 43 procent firem. Nárůst počtu případů je enormní, podobný průzkum dva roky předtím ukázal skoro poloviční četnost, bylo to 25 procent firem.

Halásek Dosedělová: Jde o anonymní průzkum, který zahrnuje 232 organizací střední a východní Evropy napříč průmyslovými odvětvími. Má dlouhou kontinuitu, provádíme jej už od roku 2003.

Jak ty útoky konkrétně probíhají?

Javorský: To schéma je vždy stejné – pod falešnou záminkou někoho přesvědčíte, aby poslal peníze ven z firmy. Nové technologie ale přesvědčivost útoků dost posunuly. Nejprve útočník jen obvolával zaměstnance, měl přesvědčivý hlas a dokázal je po telefonu nebo i po e-mailu obalamutit. S nástupem chytrých telefonů a aplikací se to přesunulo na WhatsApp a s nástupem deepfake technologií, které dokážou imitovat hlas i obraz, se tento typ útoků přesunuje i do videokonferencí. Pracovník nepozná, jestli se baví opravdu se svým nadřízeným, nebo je to real-time upravované video a mluví s někým úplně jiným. Útočníci navíc dokážou kombinovat všechny tyto postupy dohromady, aby zaměstnance nebo jejich skupinu přesvědčili, že jde o urgenci, tajnou operaci a oni jsou ti důležití, kteří musí ihned poslat peníze ven z firmy. Někdy ale použijí jen e-mail a napodobeniny faktur se změněným číslem účtu, takže zaměstnanec si myslí, že provádí běžnou obchodní transakci, třeba s dodavatelem. Nebo je to od začátku zinscenovaná operace, kdy se bavíte s fiktivními osobami z fiktivní firmy.

Přece vidíte, že vám přichází e-mail nikoli z vašeho oddělení, ale od někoho jiného…

Javorský: Útočník může připravit e-mail tak, že vypadá, jako kdyby přišel z vaší firmy nebo od opravdového zákazníka. Využívají i lidské nepozornosti a vytvoří e-mailové adresy, které vypadají velice podobně.

Halásek Dosedělová: Je tam třeba jen jediné písmenko navíc. Až někde na konci, takže musíte rozkliknout e-mailovou adresu, abyste si toho všimli.

Kyberbezpečnost

Slabý článek zdravotnictví: malé nemocnice v Česku selhávají v kyberobraně. Pomůže nový zákon?

13. 10. 2025 ▪ 7 min. čtení

Takový útočník ale určitě musí tu firmu nějakou dobu sledovat, aby věděl, jak má jednat a co má jak napodobit.

Javorský: Ano, to je klíčové – ten útočník si někdy všechno načte zvenku, ale v případech, které prošetřujeme, je velice časté, že útočník má nějakého vědomého nebo nevědomého komplice uvnitř firmy. Může to být nespokojený zaměstnanec či bývalý pracovník. Někdy to dělá úmyslně, chce se obohatit nebo se někomu pomstít, a někdy to je zcela nevědomky. Nebo to může být obchodní partner – u druhé firmy pracuje někdo, kdo je nepozorný či nespokojený a do procesu přibere externího pachatele. A jsou dokonce i případy, kdy zaměstnanec váš nebo protistrany to celé zinscenuje, založí si externí e-mailové adresy a celý útok zorganizuje.

Halásek Dosedělová: V řadě případů se k citlivým datům dostanou pachatelé při datovém úniku, kterého si poškozená firma ani není vědoma. Většina společností se také snaží prezentovat na sociálních sítích, zveřejňuje videa, informace o plánovaných projektech a útočníci s nimi pak pracují, což zvyšuje jejich důvěryhodnost.

Jaké psychologické triky hackeři v komunikaci používají?

Halásek Dosedělová: Vzbudí důvěru zaměstnanců a dostanou je pod časový tlak. Důraz kladou na to, že dotyčný o záležitosti nesmí mluvit, že je to přísně tajný projekt v rámci firmy nebo skupiny a že on byl vybraný, aby se na tom podílel. Psychologie lidí bohužel funguje tak, že se cítí být součástí něčeho zajímavého, a tím pádem jsou více ochotni porušit pravidla, která znají z interních školení a tréninků, kde se učí, aby byli vždy ostražití a nestandardní situace okamžitě konzultovali. Bohužel takové situace jsme viděli i na úrovni nejvyššího vedení společnosti, když je manažerům například slíbeno, že za to dostanou nějakou další roli v rámci skupiny. S takovým příslibem obezřetnost neuvěřitelnou rychlostí klesá.

Javorský: Naplánovat útok je navíc jednodušší, než by člověk čekal. Návod dá i ChatGPT. Proto teď sledujeme tak velký nárůst počtu útoků.

Mají tyto útoky společné znaky?

Javorský: Společným znakem většiny útoků je zmíněná naléhavost, vzbuzení pocitu výjimečnosti v daném zaměstnanci, že on je ten jediný vybraný a s nikým z firmy svůj úkol nesmí konzultovat.

Halásek Dosedělová: Což by mělo být okamžitě podezřelé. Proč bych neměla o svém úkolu s nikým mluvit? Typické je také stupňování požadavků a tlaku.

Javorský: Varovný je také fakt, že vás osloví někdo po WhatsAppu nebo po videohovoru. Není to kanál z vašeho korporátního prostředí. Tohle je ale těžké u malých a středních firem, které to korporátní prostředí nemají, a je běžné, že si všichni píší v pracovní WhatsApp skupině.

Jaké konkrétní útoky jste v poslední dobou řešili?

Halásek Dosedělová: Měli jsme případ jednoho vysoce postaveného manažera, který byl ve společnosti nově. Procházel zrovna školením mimo jiné i na deepfake. Útočníci mu sdělili nejprve po SMS, pak po WhatsAppu a následně přes Teams meeting, že byl vybraný, aby se účastnil nového projektu a řídil jeho komunikaci. Dali mu vidinu, že za to získá vyšší pozici a také vyšší odměny. Namluvili mu, že má zafinancovat konkrétní projekt schválený skupinou. Tento manažer byl schopen obejít relativně dobře nastavená interní pravidla a přesvědčil své podřízené, že musí ty platby zprocesovat. Asi po čtvrté platbě to zaměstnancům přišlo divné, sami se začali zajímat, co se vlastně děje, a nahlásili to nahoru do skupiny.

Jak pokročilá jsou deepfake videa a jak je poznat?

Javorský: Ty technologie jsou hodně vyspělé, útočníkům stačí třeba jen minuta originálního videa s určitou osobou, aby vytvořili přesvědčivou kopii daného člověka. Přitom třeba na síti LinkedIn je mnoho videí ředitelů, kteří pronášejí motivační řeči. A nepotřebujete k tomu ani speciální hardware, stačí silnější laptop. Navíc na internetu jsou na to návody.

Halásek Dosedělová: Většinou si člověk během online rozhovoru nedává pozor na detaily, je spíš soustředěn na náhlou situaci, že má něco dělat v časovém presu. Poznávací znaky jsou, třeba že se osoba na videu nepřirozeně hýbe, nejsou jí kupříkladu správně vidět rámečky brýlí a podobně. Ale často si těchto detailů zaměstnanci vůbec nevšimnou.

Javorský: Navíc takový online hovor funguje real-time. Není tam žádné zpoždění, počítač dokáže překreslit váš obličej v řádu milisekund.

Kdo má odpovědnost u finančního úniku? Po kom je to vymahatelné?

Halásek Dosedělová: To záleží na interních předpisech společnosti. Může v nich například mít, že platby nad určitou částku musí schválit dvě nezávislé osoby. Je pak právní otázka, o jaký typ porušení šlo. Někdy je banka ještě schopná zastavit platbu, ale většinou se podvodníci snaží vše zprocesovat v rámci jednoho dne a rychle peníze rozeslat dál. Náhrada se pak vymáhá po zaměstnanci, ale podle zákoníku práce existuje maximální částka, závislá na měsíčním výdělku, do které je možné náhradu škody vymáhat. Existují také pojištění proti těmto typům kyberpodvodů a škoda se může krýt z něj, pokud jsou splněny podmínky pojištění. A v mnoha případech to znamená prostě škodu odepsat, což může být pro menší společnosti likvidační.

Javorský: Častý typ podvodu jsou také již zmíněné faktury s jiným číslem účtu. Pokud se prokáže – a už se nám to párkrát povedlo –, že se na poslání té podvodné faktury podílel zaměstnanec vašeho obchodního partnera, můžete zkusit škodu vymáhat na něm.

Jak se těmto kyberpodvodům bránit?

Halásek Dosedělová: Důležité je pravidelné vzdělávání zaměstnanců. A tím nemyslíme jenom těch, kteří přijdou do firmy nově. Mělo by se konat alespoň čtvrtletně a dále průběžně i e-mailem, který informuje, které typy podvodů se v kyberprostoru aktuálně šíří a jaké jsou jejich varovné signály. Dále podporovat zaměstnance v tom, že pokud se jim něco na jednání s kýmkoliv nezdá, měli by neprodleně informovat nadřízeného, nebát se ty věci oznámit.

Javorský: V závislosti na velikosti firmy se také dělají různé typy penetračních testů. Jako dobrá prevence se dají použít třeba cvičné phishingové kampaně. Někdo zaměstnancům napíše například přes WhatsApp nebo jim zavolá neznámé číslo a testuje se, jak na to zareagují. Samozřejmě testují se ti zaměstnanci, kteří mají možnost poslat větší finanční obnosy z firmy. Dá se to také prezentovat formou školení, ukázat alespoň v zasedačce, jaké podoby takový útok může mít.

Halásek Dosedělová: Ovšem cvičný útok nemusí být hned o tom, aby zaměstnanec poslal peníze. Ale třeba jestli sdělí nějaké citlivé informace společnosti. Někdo zavolá a představí se jako ředitel jejich mateřské společnosti nebo jiná osoba z firmy, kterou znají, ale nikdy s ní nemluvili. Často si ani neověří, že volal skutečně ten dotyčný a klidně ty informace sdělí. Cítí se totiž špatně, kdyby měli říct: „Omlouvám se, ale tyto informace vám po telefonu a bez konzultace s nadřízeným říct nemůžu.“ Pro mnoho lidí je tohle nekomfortní situace, které se snaží vyhnout.

Co dalšího se dá udělat?

Javorský: Nastavit správně schvalovací procesy plateb. Minimálně třeba to, že platby nad určitou částku musí schválit alespoň dva lidé z firmy. Aby když jeden podlehne, druhý to zastaví nebo alespoň zkonzultuje.

Halásek Dosedělová: Nebo nastavit, že platby nad určitou částku nikdy nebudou provedeny instantně, dát třeba minimálně dvou- nebo třídenní splatnost. Většina plateb totiž nehoří, toky peněz se plánují, ví se o nich dopředu. Pokud je tam časová rezerva splatnosti, mnoho lidí si třeba druhý den uvědomí varovné signály, zkonzultuje je s kolegou a platbu často lze zastavit. Je také důležité, jakým způsobem k tématu přistupuje management. Pokud říká, že tohle se nám stát nemůže, v takovém prostředí prevence fungovat nebude. Právě management si za prevencí musí stát a být pro zaměstnance vzorem.

Slyšela jsem, že útočníci umějí uniklá data využít i dvakrát…

Javorský: Ano, zrovna nedávno jsme řešili případ, že finanční ředitel byl podveden, poslal z firmy útočníkům peníze. Ty firma odepsala. Jenže mezitím, co s útočníky komunikoval, vyměňoval si s nimi dokumenty, otevíral PDF, klikal na odkazy… a útočníci těchto materiálů využili k dalšímu útoku. Dostali se k jeho e-mailové komunikaci a v té si našli, s kým daná firma obchoduje, jak vypadají faktury, jaké momentálně řeší projekty. A útočníci napadli i obchodní partnery té společnosti. Přesně věděli, o kterých produktech se mají bavit, kdy mají dorazit kamiony se zbožím a tak dále, což vypadalo obzvlášť přesvědčivě. Tedy je vždy nutné po útoku zjistit, která data mohla ještě uniknout dál a ošetřit i potenciální další úniky.