FINANČNÍ BEZPEČNOST ZAMĚSTNANCI PHISHING

Podvody s fakturami stojí firmy miliony. Jak nenaletět?

Kateřina Dobrá
21. 01. 2026

Podvody v dodavatelském řetězci patří mezi nejrychleji rostoucí hrozby. Zdaleka nejčastější ztráty ale způsobují falešné faktury a manipulace s platebními transakcemi. Důsledky sahají od okamžitých finančních škod až po audity, ztrátu reputace a narušené vztahy s partnery. Jak si takového podvodu včas všimnout?

Podvody s fakturami stojí firmy miliony. Jak nenaletět?

Proti podvodům s fakturami není žádná firma imunní. Dokonce i největší online prodejce světa Amazon přišel v roce 2020 o téměř 19 milionů dolarů, když mu podvodníci vyfakturovali tisíce zubních kartáčků, které si nikdy neobjednal.

5 nejčastějších podvodů s fakturami a dodavateli

1. Kompromitace e-mailu dodavatele (vendor email compromise)

Útočníci získají přístup do e-mailové schránky skutečného dodavatele, ze které pak ve správný okamžik odešlou fakturu s falešným bankovním účtem. Protože faktura k zákazníkovi dorazí z legitimní adresy a navazuje na předchozí konverzaci, působí naprosto důvěryhodně.

V roce 2019 se stala obětí podobného útoku automobilka Toyota. Podvodníci vystupovali v e-mailové konverzaci jménem obchodního partnera jedné z jejích dceřiných společností. Členům finančního a účetního oddělení poslali zprávy s instrukcemi k úhradám na falešný účet. Toyota přišla o 37 milionů dolarů.

2. Falešné e-maily (email spoofing)

Hacker sice nemá přístup k účtu dodavatele, ale zkouší napodobit jeho adresu nebo doménu. Rozdíl bývá nepatrný – může jít o jedno písmeno navíc nebo jinou koncovku. Protože komunikace působí na první pohled normálně, účetní oddělení platbu často provede bez povšimnutí.

Takto využil falešný vedoucí nového stavebního projektu nepozornosti církve v Severní Karolíně. Vydával se v e-mailu za dodavatele, přičemž v adrese odesílatele změnil jedno jediné písmeno. Účetní církve si rozdílu nevšiml a na podvodný účet převedl téměř 793 tisíc dolarů.

3. Falešná e-mailová vlákna (fake threads)

Namísto jednoho podvodného e-mailu útočníci vytvoří celé vlákno s dlouhou historií komunikace. Vloží do něj starší „odpovědi“ a reálná jména spolupracovníků, aby celá konverzace působila autenticky. Teprve potom pošlou společnosti fakturu s novým účtem.

Pařížská realitní společnost takto přišla o 38 milionů eur. Útočníci se vydávali za právníky a navodili dojem důvěryhodné a urgentní transakce. Případ ukazuje, jak snadno může falešná identita a tlak na rychlost otevřít cestu k obrovským ztrátám.

4. Změna platebních údajů

Útočník zákazníkovi tvrdí, že coby dodavatel změnil banku, sloučil účty nebo reorganizoval firmu, a pošle mu žádost o úpravu platebních údajů. Pokud si zákazník informaci neověří, peníze automaticky posílá přímo podvodníkům.

Hackeři takto napodobili e-mailovou komunikaci stavební firmy, která opravovala kostel v Ohiu, a poslali zprávu, že došlo ke změně bankovního účtu. Farnost tím přišla o 1,75 milionu dolarů.

Lidská chyba, ale i touha po pomstě. Proč by firmy neměly podceňovat interní hrozby

Zobrazit

5. Falešní dodavatelé v systému (vendor master fraud)

Někdy útočník nebo i zkorumpovaný zaměstnanec vytvoří v ERP systému zcela nového dodavatele, který ale v reálu neexistuje. Tento „ghost vendor“ pak vystavuje opakovaně faktury za služby či zboží, které nikdy nebyly dodány.

Například účetní v dřevařské společnosti Weyerhaeuser vytvářel fiktivní dodavatele (jednoho i jménem své matky) a odčerpával z firmy prostředky. Odklonil takto 4,5 milionu dolarů.

Varovné signály, které by vám neměly uniknout
Neúplné nebo podezřelé údaje dodavatele. Náhlá změna bankovního účtu, chybějící kontaktní informace či neznámá adresa by měly vždy spustit varovný alarm.
Duplicitní faktury. Opakovaně vystavené doklady se stejnými nebo mírně upravenými čísly či daty často signalizují pokus o několikanásobné proplacení.
Kulaté částky bez detailů. Opakující se sumy typu „100 000 Kč“ bez položkového rozpisu jsou typickým trikem, jak zamaskovat fiktivní služby nebo zboží.
Tlak na rychlou úhradu. Pokud faktura nebo e-mail vyžadují rychlé zaplacení bez dostatečných podkladů, je třeba zpozornět. Podvodníci spoléhají na to, že pod časovým tlakem obejdete běžné ověřovací postupy.

8 tipů, jak předcházet podvodům s fakturami

1. Rozdělte odpovědnosti a využijte workflow systémy

Jeden člověk by nikdy neměl mít možnost fakturu zadat, schválit i uhradit. Moderní účetní a ERP systémy umožňují nastavit tento princip automaticky, takže podvod nebo chyba neprojdou bez povšimnutí.

2. Školte zaměstnance a testujte je pomocí simulací

Lidé jsou první linií obrany. Proto nestačí jednorázové školení, efektivní je kombinace průběžného vzdělávání, phishingových simulací a online platforem, které výsledky vyhodnocují. Manažeři tak vidí, kde jsou slabá místa týmu.

3. Prověřujte dodavatele a ověřujte bankovní účty digitálně

Při onboardingu i při každé změně účtu ověřujte identitu i historii partnera. Nástroje pro screening a validaci IBANů (například ComplyCube nebo IBANValidationAPI) dovedou během vteřin odhalit rizikové účty, které by manuální kontrola přehlédla.

Jak vybrat dodavatele v oblasti kybernetické bezpečnosti? Položte jim tyto otázky

Zobrazit

4. Komunikujte přes zabezpečené kanály, ne přes e-mail

Citlivé platební údaje by se neměly posílat mailem. Bezpečnější jsou šifrované portály (jako SecSign Secure Portal) nebo dodavatelské platformy s řízeným přístupem, které minimalizují riziko spoofingu nebo odposlechu komunikace.

5. Nastavte víceúrovňové schvalování přímo v ERP či bankovní aplikaci

U vyšších částek nebo změn platebních údajů je nutné mít minimálně dva schvalovatele. Dnešní systémy umožňují nastavit limity i pravidla tak, aby proces probíhal automaticky a bez výjimek.

6. Nasazujte AI pro detekci podvodných vzorců

Umělou inteligenci lze nasadit jako součást účetního systému (například SAP, Oracle, Dynamics), využít specializované nástroje pro odhalování podvodů (SAS, FICO, Kount) nebo cloudové služby (AWS Fraud Detector, Google AI). Tyto technologie dokážou v reálném čase odhalit duplicitní faktury, neobvyklý nárůst transakcí nebo kulaté částky bez detailů, a fungují tak jako nepřetržitá druhá kontrola vedle lidského oka.

7. Monitorujte platby v reálném čase a nastavte alerty

Sledování faktur a bankovních transakcí pomocí monitorovacích nástrojů umožní okamžitě upozornit na změnu účtu, náhlý skok v objemu faktur či neobvyklý čas platby. Automatické alerty dávají manažerům šanci zasáhnout včas.

8. Mějte krizový plán podpořený bezpečnostními technologiemi

Při podezření na podvod musí být jasné, kdo kontaktuje banku, právníky či forenzní tým. Současně je užitečné využít SIEM a threat intelligence platformy, které pomohou rychle dohledat zdroj útoku a dodat důkazy pro vyšetřování.

Co si z článku odnést?

Nejčastější taktiky podvodníků jsou kompromitace e-mailů, falešná vlákna a změny bankovních údajů.
Falešné faktury často působí důvěryhodně, protože využívají ukradená loga, šablony i jména skutečných partnerů.
Nejvíce peněz firmy ztrácejí tam, kde vládne rutina a nikdo si nevšimne drobné odlišnosti v platbě.
Ochranu zajistí procesy, například princip více očí a důsledné ověřování dodavatelů, spolu s technologiemi, jako jsou AI a monitoring.
Rychlá reakce a připravený krizový plán výrazně zvyšují šanci na záchranu peněz i reputace.

Kateřina Dobrá
Marketingový specialista pro B2B
Káťa se věnuje tvorbě článků, O2 CyberCastu a newsletterů na téma kyberbezpečnosti a moderních technologií. Srozumitelně překládá složitá témata do lidské řeči, propojuje technický svět s praxí a ráda jde pod povrch věcí. Zaměřuje se na bezpečnost dat, nové technologické trendy a jejich reálný dopad na firmy i jednotlivce.

Sdílet