Příručka banky HSBC pro předcházení podvodům

úterý 14. dubna 2020

Společnost HSBC bere podvody a jinou finanční trestnou činnost velmi vážně. Přestože používáme špičkové systémy pro odhalování podvodů, chtěli bychom vás upozornit na různé způsoby, jak se mohou podvodníci pokoušet ukrást nejen peníze, ale také identitu vaší společnosti.

Read our guide to Fraud and Scams here(PDF, 334KB)

Ochraňte své finance i osobní údaje

Zpravodajská média v poslední době intenzivně informovala o nebezpečích hackerských útoků a porušování zabezpečení osobních údajů, málo se ale mluví o tom, že „hacknout“ člověka je mnohem jednodušší, než když se jedná o počítače. Tomuto procesu se říká sociální inženýrství a je mnohem snazší, než se zdá.

Read our guide to Malware fraud here(PDF, 315KB)

Jak sociální inženýrství funguje

Sociální inženýrství využívá některé rysy naší povahy – chování, které je nám přirozené. Klíčem k sociálnímu inženýrství je manipulace s důvěrou – získání důvěry „oběti“, kterou následně přesvědčíme, aby nám sdělila informace, které měly zůstat utajeny.

Podvodníci kontaktují oběti obvykle telefonicky (tzv. vishing), zprávou SMS nebo e-mailem (phishing) a snaží se získat jejich důvěru například předstíráním, že jsou pracovníky banky, zástupci telekomunikační společnosti nebo dodavatele energií, nebo dokonce policie. Když si získají důvěru oběti, začnou požadovat citlivé informace nebo předměty, které jim umožní přístup k bankovnímu účtu oběti. Jedná se o informace a předměty, které by vaše banka nikdy nevyžadovala, například:

váš čtyřmístný PIN
kreditní nebo debetní karty, šekové knížky nebo hotovost
kódy nebo hesla k internetovému bankovnictví
převod prostředků „do bezpečné úschovy“ na jiný účet

Read our guide to Social Engineering fraud here(PDF, 228KB)

Nejčastější typy podvodů

Vishing

Tento typ podvodu probíhá tak, že podvodník zavolá do společnosti a představí se jako zaměstnanec banky, policista, stálý dodavatel/odběratel nebo jiná důvěryhodná osoba. Při rozhovoru se může snažit přimět osobu, která má ve společnosti na starosti finance, aby:

převedla peníze na jiný účet, například za účelem jejich údajné „ochrany“, „bezpečné úschovy“ apod.,
peníze vybrala z účtu a v hotovosti je podvodníkovi předala pro účely „vyšetřování“,
poskytla finanční údaje, které mohou být zneužity k přístupu k bankovním účtům společnosti.

Hlavní tipy:

Dávejte si pozor, pokud vás někdo bez vyzvání telefonicky kontaktuje, zejména pokud se bude ptát na důvěrné údaje vaší společnosti.
Pokud se vám zdá situace podezřelá, nebojte se hovor ukončit a odmítnout požadované informace sdělit.
Telefonické spojení musí ukončit oba účastníci. Proto se ujistěte, že volající také zavěsil a linka již není obsazená. Můžete například zkusit zavolat z jiného čísla.
Podvodníci mohou také úmyslně zfalšovat zobrazované telefonní číslo (tzv. spoofing), takže se volanému zobrazí skutečné číslo banky.
Z banky HSBC vám nikdy nebude nikdo volat a požadovat, abyste mu sdělili svůj PIN nebo stisknutím žlutého tlačítka vygenerovali bezpečnostní kód.
Nikdy nesdílejte údaje vaší společnosti týkající se zabezpečení s nikým jiným než s jejími pověřenými zaměstnanci. Údaje o účtech a údaje týkající se jejich zabezpečení je nutné chránit.

Podvodníci již mohou disponovat základními informacemi o vaší společnosti (např. názvem, adresou, údaji o bankovním spojení). I když vám volající tyto informace řekne nebo bude tvrdit, že zastupuje důvěryhodnou organizaci, nepředpokládejte automaticky, že je skutečně osobou, za kterou se vydává.

Útok prostřednictvím firemního e-mailového účtu

Útok prostřednictvím firemního e-mailového účtu (Business E-mail Compromise – BEC) je propracovaný podvod, který cílí na společnosti s dodavateli v zahraničí a/nebo ty, které často zadávají platby na základě potvrzujícího e-mailu od vlastníka společnosti (CEO nebo CFO). Zpracovatel platby přitom nemá tušení, že se jedná o podvrh.

Podvod tohoto typu může proběhnout dvěma způsoby:

Podvržení e-mailové adresy – útočník upraví e-mailovou adresu odesílatele tak, aby zpráva vypadala, jako by byla odeslána někým jiným než skutečným odesílatelem nebo z jiného místa.

Podvodník napodobí e-mailovou adresu dodavatele a pošle pozměněnou fakturu. Není nutné, aby napadl e-mailový systém dodavatele, ale místo toho pošle fakturu z e-mailové adresy, která je natolik podobná doméně dodavatele, že si většina lidí změny nevšimne, například @SpolečnostABC.com namísto @SpolečnostACB.com.

Napadení e-mailového účtu – dojde k napadení e-mailového účtu vedoucího pracovníka organizace, například CFO (finančního ředitele). Podvodník odešle z napadeného účtu žádost o zpracování platby na jiný firemní účet, často některému z méně zkušených zaměstnanců.

Hlavní tipy:

Dbejte na to, aby pracovníci věděli, že mají kontrolovat e-mailovou adresu, z níž byl odeslán požadavek na platbu, a měli zavedeny dostatečné kontrolní mechanismy na ověření všech nových požadavků, které přijdou e-mailem.
Pravidelně revidujte kontrolní mechanismy zavedené ve vaší organizaci, abyste se ujistili, že probíhají dostatečné kontroly plateb, které nedopustí, aby se vaše organizace stala obětí tohoto typu podvodu.

„Odklonění“ platby/podvod s podvrženou fakturou

Tento typ podvodu probíhá tak, že podvodník přiměje organizaci, aby při platbě změnila bankovní údaje příjemce platby. Podvodník se vydává za stálého dodavatele organizace a informuje ji o změně bankovního spojení.

Za tímto účelem může například:

vytvořit falešné záznamy o odběratelích a bankovních účtech, aby bylo možné vygenerovat falešnou platbu

Jak snížit riziko, že se vaše organizace stane obětí podvodu s podvrženou fakturou – Dbejte na to, aby zaměstnanci, kteří zpracovávají faktury a požadavky, o tomto typu podvodu věděli, když obdrží požadavek na změnu dlouhodobě používaného bankovního spojení.

Změny finančních ujednání si vždy ověřte přímo u dodavatele prostřednictvím kontaktních údajů, které již máte ověřeny.

Phishing

Jedná se o situaci, kdy lidé obdrží e-maily, které je odkazují na stránky, kde se od nich požaduje poskytnutí důvěrných osobních nebo finančních údajů. Přestože může e-mail vypadat, že pochází z důvěryhodné stránky, slouží tyto e-maily k tomu, aby vám odesílatelé ukradli osobní údaje a použili je k přístupu do vašich účtů. Tento typ podvodu se označuje jako phishing. Pokud dostanete e-mail, který vás upozorňuje, že pokud nepotvrdíte své osobní údaje, může dojít ke zrušení vašeho účtu, neodpovídejte ani neklikejte na odkazy, které e-mail obsahuje. Místo toho příslušnou společnost kontaktujte, a to prostřednictvím kontaktních údajů, které jsou zaručeně pravé, jako například potvrzeného telefonního čísla.

Také byste měli tyto e-maily okamžitě smazat.

Smishing (SMS phishing)

Dávejte si pozor na podezřelé SMS rozesílané podvodníky, které vypadají, jako by pocházely z vaší banky, a mají vás přesvědčit ke sdělení vašich osobních nebo finančních údajů (po zavolání na určité číslo nebo použití odkazu).

Důležité upozornění:

banka HSBC vás nikdy nepožádá o sdělení celého kódu PIN nebo hesla
banka HSBC vám nikdy v SMS nepošle odkaz, který vás přivede přímo na přihlašovací stránku
podvodníci mohou také úmyslně zfalšovat zobrazované telefonní číslo (tzv. spoofing), aby zpráva vypadala jako skutečná zpráva od HSBC
svoje bezpečnostní údaje nikdy nikomu neprozrazujte
pokud se vám zdá SMS od HSBC podezřelá, zavolejte nám na ověřené číslo (například na číslo uvedené na zadní straně vaší karty), abyste si před tím, než splníte pokyny uvedené ve zprávě, ověřili její pravost

Máte-li podezření, že se jedná o podvodnou zprávu (smishing), přepošlete ji na adresu phishing@hsbc.com.

Podvody s falešnými šeky

U tohoto typu podvodu dochází k pozměnění, padělání nebo podvržení šeků, kterými se vybírají prostředky z vašeho podnikatelského účtu. Přinášíme několik tipů pro vaši společnost, aby se nestala obětí šekového podvodu:

Hlídejte si své šeky. Doplňte na ně nějakou informaci navíc, například identifikaci účtu.

Při podepisování šeků připojte úplný podpis, nejen parafu.

Kontrolní útržek šeku zkontrolujte oproti přehledu transakcí na účtu. Upozorněte svou banku na nesrovnalosti.

Prázdné šekové knížky uchovávejte na bezpečném místě.

Podvody s platebními kartami

Chraňte svou kartu

Novou kartu si podepište a aktivujte hned poté, co ji obdržíte.

Chraňte svůj kód PIN

PIN ani jiné bezpečnostní údaje si nikdy nikam nepište ani jinak nezaznamenávejte způsobem, který by mohl dešifrovat někdo jiný.
Dokument, kterým vám banka sděluje nový kód PIN, co nejdříve zničte.
Zvolte si PIN, který s vámi nelze nijak spojit a neskládá se z číselné řady, jako například 1234 nebo 1111. V ideálním případě byste si měli zvolit náhodnou kombinaci nebo řadu čísel, která jsou vám blízká.

Buďte opatrní při práci s bankomatem

K bankomatu může být připevněno zařízení, které by mohlo umožnit podvodníkovi, aby ukradl vaši kartu nebo zaznamenal informace uložené v magnetickém proužku. Pokud si všimnete, že je k bankomatu připevněno něco nezvyklého, nezkoušejte to sami odstranit. Odstupte od bankomatu a kontaktujte policii.
Stůjte vždy blízko bankomatu a rukama zakryjte výhled na klávesnici. Podvodník si může prohlédnout, jak zadáváte celý PIN, než se pokusí o krádež karty.
Pokud bankomat kartu nevydá, nezadávejte PIN znovu. Ztrátu karty nahlaste vydavateli karty.

Chraňte karty vaší společnosti při platbách přes telefon

Když používáte kartu k platbě přes telefon, měli byste mít kartu před sebou, protože se vás operátor může zeptat například na datum konce platnosti, číslo vydání karty nebo trojmístný bezpečnostní kód na proužku s podpisem. NIKDY ale telefonicky nesdělujte PIN, ani na přímou žádost.
Snažte se nesdělovat informace o vaší kartě na veřejných místech, kde by vás mohl někdo slyšet.
Vyžadujte potvrzení transakce dopisem nebo e-mailem.

Chraňte sami sebe, když platíte kartou osobně

Snažte se při zadávání PIN zakrývat terminál rukou.
Pokud při používání karty zaznamenáte nějaké problémy, zavolejte na zákaznické centrum vydavatele vaší karty.
Kartu vždy uchovávejte na bezpečném místě.

Krádež totožnosti

Podvodníci mohou různými metodami získat důležité osobní a identifikační údaje, jako je číslo kreditní karty, datum konce platnosti, datum narození nebo rodné jméno matky. Tyto informace lze použít k přístupu k bankovním účtům nebo získání nových úvěrových produktů.

Ke snížení rizika krádeže totožnosti na minimum vám pomůže dodržování několika jednoduchých zásad:

Skartujte všechny stvrzenky, které obsahují název vaší společnosti a adresu nebo osobní údaje. Zrušte zasílání papírových výpisů, abyste omezili zbytečné zasílání dokumentů poštou.
Nastavte si bezpečnostní kód pro telefonické hovory. S jeho pomocí bezpečně ověříme vaši totožnost, když nám budete volat.
Tento bezpečnostní kód nesdělujte nikomu, kdo vás kontaktuje. Pokud voláme z banky HSBC MY VÁM, na bezpečnostní kód se vás NIKDY nezeptáme.
Pokud ztratíte důležité doklady, jako například doklad totožnosti, nebo vám je někdo ukradne, neprodleně to nahlaste na policii.

Užitečné kontaktní údaje a zdroje

Kontaktujte nás

Na telefoním čísle:

(+420) 225 024 555

(+420) 602 606 761

Customer service help desk