Jak útoky fungují a proč jsou tak účinné
Moderní kyber-vydírání stojí na kombinaci techniky a psychologie. Útočník si oběť obvykle vytipuje na sociálních sítích, v seznamkách, přes pracovní kontakty nebo z úniků dat. Potom přichází fáze nátlaku: hrozba zveřejněním intimních fotografií, videí nebo soukromých konverzací, pokud oběť nezaplatí, nepošle další materiály nebo nesplní jiný požadavek.
Nejde jen o „sextortion“ v úzkém slova smyslu. V praxi se objevují i případy, kdy útočník tvrdí, že má nahranou obrazovku, přístup k webkameře nebo seznam kontaktů. Často jde o bluf, ale psychologický efekt je stejný: oběť jedná pod tlakem. Podle evropských policejních statistik a dat bezpečnostních firem se podobné kampaně šíří masově a vyplatí se útočníkům i při nízké úspěšnosti, protože náklady jsou minimální.
Typické znaky útoku jsou:
- krátká lhůta typu „máš 24 hodin“ nebo „zaplať do večera“,
- požadavek na platbu v kryptoměně, přes dárkové karty nebo anonymní převod,
- hrozba okamžitého zveřejnění na sociálních sítích, rodině nebo zaměstnavateli,
- snaha izolovat oběť: „nepoužívej policii“, „neříkej nikomu“,
- opakované zvyšování požadavků i po zaplacení.
Kde útočníci získávají materiály a přístup
Nejčastějším zdrojem nejsou sofistikované hackerské útoky, ale lidská chyba. Útočníci využívají slabá hesla, opakované používání přihlašovacích údajů, phishing a podvodné odkazy. Pokud je účet chráněn jen heslem, jedno uniklé přihlášení z jiné služby může stačit k převzetí e-mailu, cloudu nebo sociální sítě.
Dalším kanálem jsou falešné profily a romantické podvody. Útočník si buduje důvěru, přiměje oběť ke sdílení intimních materiálů a teprve poté začne vydírat. V některých případech využívá i deepfake nástroje: z veřejně dostupných fotografií vytvoří falešné „důkazní“ snímky, které mají oběť zastrašit. Technicky nemusí být výsledek dokonalý, ale pro vydírání často stačí, že působí věrohodně na první pohled.
Rizikové jsou hlavně tyto situace:
- sdílení intimních materiálů přes běžné chatovací aplikace bez ochrany účtu,
- ukládání soukromých dat do cloudu bez dvoufaktorového ověření,
- přihlašování na veřejných Wi‑Fi bez zabezpečení,
- instalace neznámých aplikací a rozšíření do prohlížeče,
- příliš otevřené profily na sítích, které prozrazují vztahy, pracoviště i rutinu.
Podle bezpečnostních doporučení je dvoufaktorové ověření jedním z nejefektivnějších kroků: snižuje riziko převzetí účtu i při úniku hesla. V praxi je vhodné používat autentizační aplikaci, ne jen SMS kód, který lze u některých útoků obejít.
Co dělat v prvních 30 minutách
První reakce rozhoduje. Nejhorší je jednat impulzivně, posílat peníze nebo se s útočníkem přít na detailních argumentech. Cílem je zastavit další škody, zajistit důkazy a obnovit kontrolu nad účty.
Postup by měl být následující:
- Neplatit a nevyjednávat pod tlakem. Zaplacení nezaručuje smazání materiálů, naopak potvrzuje, že oběť je ochotná reagovat.
- Uložit důkazy. Pořídit screenshoty zpráv, profilů, platebních požadavků, URL adres, časů a uživatelských jmen.
- Změnit hesla. Začít e-mailem, sociálními sítěmi, cloudem a bankovnictvím. Použít unikátní hesla přes správce hesel.
- Zapnout dvoufaktorové ověření. Ideálně všude, kde je dostupné.
- Odhlásit všechna zařízení. Většina platforem umožňuje ukončit aktivní relace.
- Zkontrolovat přeposílání e-mailů a obnovovací kontakty. Útočník si často přidá vlastní adresu pro tiché sledování.
Pokud už došlo k úniku materiálů, je důležité rychle jednat i na platformách, kde se mohou objevit. Sociální sítě a cloudové služby mají mechanismy pro nahlášení intimního obsahu bez souhlasu. V některých zemích existují i specializované formuláře pro tzv. non-consensual intimate imagery. Čím dříve je obsah nahlášen, tím větší je šance na jeho omezení nebo odstranění.
Jak postupovat právně a kdy zapojit policii
Vydírání je trestný čin. Pokud útočník hrozí zveřejněním intimních materiálů za peníze, je vhodné kontaktovat policii co nejdříve. V České republice lze využít místně příslušné oddělení, v akutních případech i linku 158. Důležité je přinést co nejvíce podkladů: zprávy, e-maily, odkazy na profily, čísla účtů, kryptoměnové adresy a časovou osu událostí.
Prakticky pomáhá i to, když si oběť připraví stručný přehled:
- kdy útok začal,
- přes jakou platformu proběhl,
- co útočník požadoval,
- zda byly materiály skutečně zveřejněny,
- komu byl případně zaslán odkaz nebo screenshot.
U nezletilých je na místě okamžitý kontakt s rodiči, školou a policií. V takových případech se často řeší nejen vydírání, ale i šíření dětské pornografie, což je zvlášť závažná oblast. U dospělých může pomoci i konzultace s právníkem nebo organizací zaměřenou na digitální bezpečnost a ochranu obětí.
Pokud je obětí zaměstnanec a materiály souvisejí s pracovním účtem nebo firemní infrastrukturou, měl by být okamžitě informován i IT tým nebo bezpečnostní správce. Rychlé uzavření účtu, reset tokenů a kontrola přístupů mohou zabránit dalším škodám.
Prevence: co nastavit dnes, aby byl web, účet i soukromí bezpečnější
Nejlepší obrana je snížit počet míst, odkud lze útočit. Z pohledu běžného uživatele i firmy to znamená základní hygienu účtů, zařízení a sdílení dat. Většina incidentů nezačíná pokročilým hackem, ale kombinací lidské důvěřivosti a slabého zabezpečení.
Praktická prevence zahrnuje:
- Správce hesel pro unikátní a dlouhá hesla, ideálně 14+ znaků.
- Dvoufaktorové ověření na e-mailu, cloudových úložištích, sociálních sítích a bankovnictví.
- Aktualizace zařízení a aplikací, včetně prohlížeče a rozšíření.
- Omezení veřejných informací na sociálních sítích: zaměstnání, město, rodinné vazby, rutiny.
- Bezpečné sdílení souborů přes služby s řízením přístupu a časovým omezením odkazu.
- Zálohy důležitých dat do offline nebo chráněného cloudového úložiště.
Firmy by měly přidat školení proti phishingu a jasný interní postup pro incidenty. Když zaměstnanec neví, na koho se obrátit, ztrácí čas. Když má předem daný kontakt na IT, právníka a vedení, výrazně se zkracuje doba reakce. U webů a e-shopů je navíc vhodné hlídat úniky přihlašovacích údajů, používat monitoring zneužití domén a pravidelně kontrolovat, zda někdo nezneužívá značku nebo firemní identity k podvodným kampaním.
U intimních materiálů platí jednoduché pravidlo: jakmile je něco jednou online, kontrola nad dalším šířením je omezená. Proto má největší váhu prevence, rychlá reakce a důsledná ochrana účtů. Útočník spoléhá na stud a izolaci. Obrana začíná tím, že oběť nejedná sama, ale zapojí důvěryhodné lidi, platformy i orgány činné v trestním řízení co nejdříve.
