Co přesně invoice fraud je a proč ho tolik lidí přehlédne
Invoice fraud — v překladu podvod s fakturou — je jeden z nejstarších triků v knize. Princip je jednoduchý: dostaneš fakturu, která vypadá legitimně, zaplatíš ji a peníze zmizí na cizí účet. Konec příběhu.
Jenže reálnost to nikdy není tak čistá. Jsou tři hlavní formy:
- Falešný dodavatel — útočník se vydává za firmu, se kterou jsi v kontaktu. Zná tvé jméno, zná jméno dodavatele, občas i číslo poslední faktury.
- Podvržení platebních údajů — originální faktura od tvého skutečného dodavatele existuje, ale v e-mailu cestou ji někdo pozměnil. Přepsal IBAN. Ty o tom nevíš.
- CEO fraud kombinovaný s fakturou — e-mail od „šéfa” říká ať uhradíš fakturu co přijde za chvíli, rychle, diskrétně. Nečekej na souhlas.
Proč to projde? Protože faktura přijde ve správný čas. Není to nahodilý spam v sobotu ve 3 ráno. Přijde v úterý dopoledne, při normálním pracovním workflow. Mozek to zpracuje jako rutinu, ne jako hrozbu. To je záměr.
Druhý důvod: urgence. Splatnost 3 dny. „Připomínáme splatnost.” „Při prodlení účtujeme úrok.” Tlak způsobí zkratku v ověřování. Přesně tak to je navržené.
Jak rozpoznat falešnou fakturu dřív než zaplatíš
Dobrá zpráva: ve většině případů jsou signály. Musíš vědět kam koukat.
Za prvé — platební údaje. Každý podvod v téhle kategorii nakonec potřebuje jiný účet. Pokud dostaneš fakturu od dodavatele se kterým pracuješ pravidelně a IBAN je jiný než minule, zadrž. Nezavolej na číslo z faktury — to může být taky podvržené. Zavolej na číslo které máš uložené ty.
Za druhé — e-mailová adresa odesílatele. Ne zobrazené jméno. Adresa samotná. „Pavel Novák” může skrývat invoices@novak-dodavatel.ru. Jeden pohled na adresu, tři sekundy. Vyplatí se.
Za třetí — změny v komunikaci. Normální dodavatel ti náhle píše z osobního Gmailu? Říká že mají „technické problémy s firemním e-mailem”? To je skoro vždy červená vlajka. Skoro bez výjimky.
Existuje ještě jeden praktický test: zavolej. Osobně. Na číslo které znáš — ne na číslo z té konkrétní faktury. Ptej se zda fakturu opravdu vystavili. Osmdesát procent podvodů by tenhle krok odhalilo okamžitě. Jenže lidi nevolají, protože to „vypadá divně”. Méně divné je zaplatit cizinci 40 000 Kč.
Kde je nejvíc ohrožen běžný člověk doma
Tohle je část co většina článků přeskočí. Mluví se o firmách, o účetních, o B2B prostředí. Ale invoice fraud zasahuje i soukromé osoby.
Typické situace:
- Platíš za energie nebo internet a přijde „upomínka” s jiným číslem účtu než máš v smlouvě.
- Najal sis řemeslníka, platil zálohu, přijde „závěrečná faktura” z jiného e-mailu než dostal první.
- Pronajímáš byt a nájemce dostane falešnou fakturu za „servisní poplatky” jakoby od tebe.
V roce 2023 řešila slovenská policie desítky případů kde soukromé osoby přišly o částky od 500 do 15 000 eur právě touhle cestou. Ne hackem. Ne trojským koněm. Fakturou v PDF.
Pokud chceš prohloubit znalost terminologie kolem podvodů s fakturami a jak fungují technicky, dobré místo k začátku je heslo Invoice fraud (falešná faktura) na portálu Infočíslo.sk — mají tam slovník pojmů kolem kybernetické bezpečnosti a podvodných praktik sepsaný srozumitelně, ne akademicky.
Co dělat když si nejsi jistý — checklist co mi fakt funguje
Mám nachystaný malý rituál. Trvá 90 sekund. Snížil počet „mohlo by to být podvod?” momentů na nulu — ne proto že podvody nepřicházejí, ale proto že odfiltruju dřív než se dostanu do stresu.
Postup:
- Zkontroluj e-mailovou adresu odesílatele. Celou. Ne jméno, adresu.
- Porovnej IBAN s poslední zaplacenou fakturou od stejného dodavatele.
- Pokud jsou platební údaje jiné — zastav. Zavolej dodavateli na číslo ze smlouvy.
- Pokud faktura přišla nečekaně od někoho nového — ověř firmu v obchodním rejstříku. Tři minuty, zdarma.
- Pokud je tam urgence („zaplaťte do 24 hodin nebo…”) — to samo o sobě je příznak. Legitimní dodavatelé netlačí takhle.
Pět kroků. Devadesát sekund. Většina podvodů nepřežije ani krok číslo jedna.
Jeden detail co mě naučila praxe: ukládej si faktury strukturovaně. Mít u každého dodavatele poslední fakturu v složce ti ušetří čas při ověřování. Nemusíš hledat — porovnáš okamžitě. Tohle dělám rok a půl, a jednou to přesně takhle chytilo problém. Nechci říct „zachránilo mi to tisíce korun” — zní to jako reklama. Ale ušetřilo mi to jeden velmi nepříjemný hovor s bankou.
Pokud falešná faktura prošla — co teď
Stane se to. I lidem co jsou opatrní. Rychlost reakce rozhoduje o tom zda dostaneš peníze zpět.
Okamžitě — a myslím do 30 minut — zavolej svojí bance. Platbu lze v mnoha případech zastavit nebo vrátit pokud je banka kontaktována dost rychle. „Recall of payment” — odvolání platby — je standardní bankovní procedura. Banky to umí. Ale jen dokud peníze ještě jsou v mezibankovním zpracování.
Pak podej oznámení na policii. Neodkládej to na „až budu mít čas”. Rychlost trestního oznámení ovlivňuje šanci na zmrazení cílového účtu. Každá hodina je rozdíl.
Pokud šly peníze do zahraničí — kontaktuj banku taky, ale realita je, že mezinárodní převody jsou hůř odvolatelné. Přesto zkus.
Nahlásit incident můžeš také přes portál CERT.CZ (Česká republika) nebo SK-CERT (Slovensko) — sledují trendy v podvodech a informace pomáhají chránit ostatní.
Proč tohle téma patří do každé domácnosti, nejenom do kanceláří
Hodně lidí si myslí, že falešná faktura je problém účetního oddělení. Ve firmě. S razítkem. Tohle vnímání je zastaralé.
Stavíš dům a platíš dodavateli materiálu? Máš pronájem? Platíš zálohy řemeslníkům? Každý z těchto scénářů má svůj invoice fraud ekvivalent. Útočníci jsou trpěliví — sledují komunikaci (případně hádat musí jen málo z veřejně dostupných informací) a útočí ve správný moment.
Ochrana není složitá. Není technická. Nevyžaduje software za tisíce. Vyžaduje 90 sekund pozornosti a jeden ověřovací telefonát.
A taky to, že víš jak podvod vypadá. Protože nejúčinnější obrana je rozpoznání — ne software, ne firewall. Člověk co ví co hledá.
Příště když přijde faktura od dodavatele co ho neznáš, nebo s jiným účtem než minule — před zaplacením jeden hovor. Může to být nejlukrativnější tříminutový hovor co letos uděláš.
