Od „nigerijského prince“ k průmyslu sociálního inženýrství
Kyberkriminalita se za posledních dvacet let změnila zásadně. Dříve dominovaly hromadné podvody s nízkou úspěšností, které cílily na co největší počet lidí. Typickým příkladem byly e-maily od „nigerijského prince“: jednoduché, často gramaticky chybné zprávy slibující vysokou odměnu výměnou za malý poplatek nebo pomoc s převodem peněz.
Podle bezpečnostních firem dnes útočníci postupují přesně opačně. Místo masového rozesílání spoléhají na personalizaci, automatizaci a časový tlak. Využívají veřejně dostupné informace z LinkedInu, firemních webů, sociálních sítí i uniklých databází. Cílí na konkrétního člověka, jeho roli, zvyky i slabiny. Výsledkem je útok, který je na první pohled mnohem věrohodnější než staré spamové kampaně.
Jak útoky vypadají dnes: phishing, smishing, vishing a deepfake
Moderní kyberpodvody už nejsou jen o e-mailech. Útočníci kombinují více kanálů, aby oběť znejistěli a přiměli ji jednat rychle. Nejčastější formy jsou:
- Phishing – podvodné e-maily nebo weby napodobující banku, e-shop, logistickou službu nebo interní systém firmy.
- Smishing – podvodné SMS zprávy, často s odkazem na „doručení zásilky“, „blokaci účtu“ nebo „vrácení přeplatku“.
- Vishing – telefonát od falešného bankéře, technické podpory nebo policie.
- Deepfake podvody – hlas nebo video vytvořené umělou inteligencí, které má napodobit nadřízeného, kolegu nebo člena rodiny.
Vishing je dnes obzvlášť nebezpečný, protože oběť slyší „živého člověka“ a reaguje emocionálně. Útočník často zná jméno, poslední čtyři čísla účtu, název banky nebo interní označení projektu. Stačí mu minimum informací, aby působil důvěryhodně.
Podle zpráv bezpečnostních týmů roste i počet útoků, které využívají AI generovaný text. E-maily jsou bez chyb, stylisticky přirozené a přizpůsobené oboru i jazyku příjemce. To snižuje dřívější „varovné signály“, na které byli lidé zvyklí.
Proč jsou dnešní útoky úspěšnější než dřív
Hlavní změna není jen technologická, ale psychologická. Útočníci dnes útočí na emoce a rozhodovací zkratky: strach, spěch, autoritu a zvědavost. Pokud oběť uvěří, že jí hrozí zablokování účtu nebo že „vedení firmy“ potřebuje okamžitou platbu, často přestane ověřovat detaily.
Úspěšnost zvyšuje i to, že útočníci pracují s daty z úniků. Pokud někdo použije stejné heslo na více službách, získá útočník po úniku jedné databáze přístup i k dalším účtům. Bezpečnostní incidenty pak často nezačínají sofistikovaným hackem, ale obyčejným opětovným použitím hesla.
Praktický příklad z firemního prostředí: zaměstnanec dostane e-mail z adresy podobné dodavateli, v němž je přiložena „aktualizovaná faktura“. Příloha obsahuje odkaz na přihlášení do cloudového úložiště. Po zadání přihlašovacích údajů útočník získá přístup k firemní poště a začne rozesílat další zprávy z legitimní adresy. V ten moment se z jednoho phishingu stává interní incident.
V Česku i v Evropě se zároveň zvyšuje tlak na firmy kvůli ransomwaru. Zprávy bezpečnostních organizací dlouhodobě ukazují, že většina větších incidentů začíná kompromitovaným účtem, ne technickou zranitelností v jádru systému. To znamená, že lidský faktor zůstává nejslabším článkem.
Jak se bránit: konkrétní postupy pro jednotlivce i firmy
Základní obrana už dávno není jen „neklikat na podezřelé odkazy“. To je málo. Potřebný je vícevrstvý přístup, který kombinuje technická opatření a procesy.
Pro jednotlivce
- Zapněte dvoufaktorové ověření všude, kde je to možné. Ideálně přes autentizační aplikaci, ne SMS.
- Používejte správce hesel a pro každou službu mějte unikátní heslo.
- Kontrolujte doménu odesílatele i celé URL adresy. Rozdíl jednoho písmena může znamenat podvod.
- Neřešte finance pod tlakem. Když „banka volá hned teď“, zavěste a volejte zpět na oficiální číslo.
- Aktualizujte systém i aplikace, protože útočníci často kombinují sociální inženýrství se známými zranitelnostmi.
Pro firmy
- Zaveďte MFA na e-mail, VPN, CRM i administraci webu.
- Oddělte pravomoci pro platby, změny bankovních údajů a schvalování objednávek.
- Školte zaměstnance pravidelně, ideálně formou simulovaných phishingových kampaní.
- Nasazujte e-mailovou ochranu s detekcí spoofingu a technikami SPF, DKIM a DMARC.
- Monitorujte přihlášení z neobvyklých lokalit, zařízení a času.
- Mějte incident response plán, aby bylo jasné, kdo co dělá při podezření na útok.
U e-mailové bezpečnosti je důležité správně nastavit doménovou ochranu. SPF určuje, které servery mohou posílat poštu za doménu, DKIM přidává kryptografický podpis a DMARC říká, co dělat s podezřelými zprávami. Bez těchto technologií je jednodušší napodobit firemní identitu a rozesílat podvodné faktury nebo žádosti o platbu.
Role webu, formulářů a firemní identity v ochraně před podvody
Kyberkriminalita se netýká jen pošty a telefonátů. Velká část útoků dnes míří přes webové formuláře, falešné přihlašovací stránky a napodobeniny zákaznických portálů. Pokud firma provozuje web, musí řešit nejen SEO a výkon, ale i důvěryhodnost a bezpečnost.
Prakticky to znamená používat HTTPS všude, mít aktuální CMS, omezit zbytečné pluginy a chránit administraci silným heslem a MFA. U e-commerce a SaaS projektů se vyplatí přidat bezpečnostní hlášky při přihlašování, detekci podezřelých pokusů a přehledný kontakt na podporu, aby klient snadno ověřil, zda komunikuje s firmou nebo s podvodníkem.
Pro značky je zásadní také monitoring falešných domén. Útočníci často registrují adresy podobné originálu, například se záměnou písmen, přidáním pomlčky nebo jinou koncovkou. Nástroje jako Google Alerts, monitoring brand mentionů nebo specializované služby typu BrandShield či ZeroFox pomáhají zachytit problém dřív, než se rozšíří mezi zákazníky.
Co bude dál: AI podvody, hlasové klony a rychlejší reakce
Další vývoj kyberkriminality bude pravděpodobně ještě víc spojený s umělou inteligencí. Útočníci už dnes testují hlasové klony, které dokážou napodobit konkrétní osobu během několika sekund z krátké nahrávky. S rozvojem generativní AI bude jednodušší vytvářet přesvědčivé zprávy v češtině, personalizované scénáře i falešná videa pro interní komunikaci.
To mění i obranu. Nestačí sledovat jen antivir nebo spam filtr. Firmy potřebují proces ověřování mimo jeden kanál, například potvrzení platby přes interní systém, ne přes telefonát. U citlivých operací se doporučuje princip čtyř očí, tedy dvoustupňové schválení. U jednotlivců zase platí jednoduché pravidlo: jakmile někdo žádá o peníze, heslo nebo přístup „okamžitě a bez ověření“, jde o varovný signál.
Kyberkriminalita se z amatérského podvodu změnila v organizovanou disciplínu, která pracuje s daty, emocemi i technologiemi. Starý „nigerijský princ“ byl snadno rozpoznatelný. Současný podvodník může znát vaše jméno, pracovní roli i poslední transakci. O to důležitější je kombinovat technická opatření, školení lidí a rychlé ověřování mimo standardní komunikační kanály.
