Historky z kyberpodsvětí aneb jak nenaletět
Kyberzločin je stále sofistikovanější a útočníci využívají nejen technologie, ale i psychologii k tomu, aby z lidí vylákali citlivé údaje nebo peníze.
O aktuálních hrozbách, nejčastějších podvodech a hlavně o tom, jak se jim bránit, si popovídal Honza Dolejš s expertem na kybernetickou bezpečnost Pavlem Matějíčkem. Pokud chcete získat záznam z webináře, stačí se zpětně zaregistrovat zde.
Shrnutí těch nejdůležitějších poznatků a praktických tipů, jak se chránit, máte zde.👇
Phishing: Stále nejrozšířenější hrozba
Phishing je technika, při které útočník vydává falešnou zprávu za důvěryhodnou (např. e-mail od banky, známé firmy nebo kolegy) a snaží se oběť přimět k tomu, aby klikla na podvodný odkaz nebo sdílela citlivé údaje.
V současné době patří mezi nejrozšířenější tyto typy:
⛔ Quishing – útoky pomocí podvržených QR kódů (např. falešná platební stránka po naskenování kódu v restauraci).
⛔ Business Email Compromise (BEC) – napadení e-mailových účtů dodavatelů nebo partnerů, jejichž jménem pak útočníci posílají falešné faktury a výzvy k platbám.
⛔ Smishing & vishing – podvody přes SMS nebo telefonáty, kde se útočníci vydávají za zákaznickou podporu, bankéře nebo dokonce rodinného příslušníka.
Jak se bránit?
🛡️ Kontrolujte odkazy v e-mailech – rozklikněte si URL a ověřte, zda vede na oficiální web.
🛡️ Neposílejte citlivé údaje e-mailem ani po telefonu – banky a firmy to nikdy nevyžadují.
🛡️ Používejte dvoufázové ověření (2FA) – ideálně přes aplikace jako Google Authenticator nebo Microsoft Authenticator (lepší než SMS).
🛡️ Ověřujte si podezřelé zprávy jiným kanálem – pokud vám šéf napíše e-mail s podivným požadavkem, zavolejte mu pro ověření.
Podezřelé URL můžete zkontrolovat zde:
👉 URLScan.io (https://urlscan.io) – Analyzuje webové stránky, vykresluje jejich náhled a poskytuje podrobné informace o síťových požadavcích, skriptech a dalších potenciálních hrozbách.
👉 CheckPhish.ai (https://checkphish.ai) – Zaměřuje se na detekci phishingových webů a zobrazuje jejich náhled.
👉 VirusTotal (https://www.virustotal.com) – Umožňuje analyzovat URL pomocí více antivirových motorů a někdy i zobrazí náhled stránky.
👉 Webpage Screenshot Services – Například služby jako https://www.site-shot.com umí vygenerovat statický náhled stránky.
Dvoufaktorové ověření: Jak ho útočníci obcházejí?
Sice se neustále omílá dvoufaktorové ověřování jakožto záruka bezpečí, ale přestože tato metoda výrazně ztíží útočníkům neoprávněný přístup, není úplně neprůstřelná.
Útočníci už přišli na způsoby, jak dvoufaktor obejít. Jde zejména o tyto dvě metody:
1️⃣ Bombardování žádostí (MFA Fatigue Attack) – útočník vás neustále spamuje notifikacemi o přihlášení, dokud v zoufalství přístup neautorizujete.
2️⃣ Krádež přístupových tokenů – útočník zachytí váš přihlašovací „odznáček“ (session cookie) a pak se za vás přihlásí.
Jak se bránit?
🛡️ Nikdy neklikejte na opakující se výzvy k přihlášení, pokud jste se sami nikam nepřihlašovali.
🛡️ Používejte hardwarové klíče (např. YubiKey) nebo aplikace místo SMS.
🛡️ Zkontrolujte, kde jste přihlášeni – v nastavení svého Google/Microsoft účtu můžete vidět aktivní relace a neznámé odhlásit.
Deepfake: Když už nemůžete věřit vlastním očím a uším
Deepfake videa a audia jsou stále sofistikovanější. Technologie se neustále zdokonaluje a podvodníci ji čím dál častěji využívají k manipulaci a podvodům.
Už nejde jen o falešná videa politiků nebo celebrit – dnes může být deepfake vytvořen i o vás nebo vašich blízkých.
Reálné příklady útoků:
⛔ Deepfake vydírání – podvodníci vygenerovali falešné nahé fotografie influencerek a požadovali výkupné. Tento typ deepfaků je momentálně velice rozšířený a ohrožuje prakticky každého.
⛔ Falešný únos dítěte – podvodníci napodobili hlas dítěte a zavolali rodičům s tím, že ho unesli. Klonování hlasu je na špičkové úrovni, při kombinaci několika dostupných nástrojů stačí pár vteřin záznamu a prakticky kdokoliv může promluvit vaším hlasem.
⛔ Podvodné videohovory – generální ředitel firmy dostal videohovor od svého „nadřízeného“, který mu nařídil převést velkou částku na podvodný účet. Realistické avatary se neustále posouvají a umožňují vytvářet věrné reprodukce reagující na podněty v reálném čase.
Jak se bránit?
🛡️ Buďte skeptičtí vůči nečekaným telefonátům i videocallům – ověřujte si informace jiným kanálem.
🛡️ Ověřovací otázky – pokud vám znenadání volá nadřízený, rodič, dítě, kamarád... a požadují nestandardní platbu, ideálně v bitcoinech, tak se pro jistotu zeptejte na něco, co ví jen dotyčná osoba.
🛡 Dávejte si pozor, co sdílíte online – čím méně materiálů o sobě zveřejníte, tím méně podkladů mají útočníci pro tvorbu deepfake obsahu.
🛡 Sledujte vývoj technologií – vznikají nástroje na detekci deepfake obsahu, které mohou pomoci odhalit manipulaci. Zkusit můžete například deepware.ai/.
OSINT: Co všechno o vás útočníci zjistí?
OSINT je nebezpečný, protože útočník dokáže z veřejně dostupných informací sestavit překvapivě detailní obraz o vaší identitě, návycích i pracovním prostředí.
A čím víc toho o vás ví, tím snadněji může provést cílený útok – například phishing, vydírání nebo dokonce fyzický útok.
Jak konkrétně může OSINT ohrozit vás nebo vaši firmu?
🔍 Cílený phishing (spear phishing): Pokud útočník zjistí, kde pracujete, kdo je váš nadřízený a jak komunikujete, může vám poslat podvržený e-mail, který bude vypadat jako zpráva od šéfa nebo kolegy. Může vás tím donutit kliknout na škodlivý odkaz nebo stáhnout infikovanou přílohu.
📍 Fyzická bezpečnost: Sdílíte fotky ze své kanceláře nebo domova? Pokud ano, můžete nevědomky ukázat citlivé informace – třeba poznámky s hesly na stole, bezpečnostní kamery nebo vstupní karty.
🔑 Únik hesel a přihlašovacích údajů: Pokud jste někdy používali stejnou e-mailovou adresu pro osobní i pracovní účely, útočník může najít úniky vašich hesel v databázích jako Have I Been Pwned a pak se pokusit je zneužít.
📸 Metadata ve fotkách: Každá fotka, kterou nahrajete na internet, může obsahovat skryté informace – například GPS souřadnice, datum pořízení nebo typ zařízení, kterým byla vyfocena. Útočník tak může zjistit, kde bydlíte, kde pracujete nebo kde trávíte volný čas.
🎥 Nezabezpečené webkamery a IoT zařízení: Veřejně dostupné kamery, které nejsou správně zabezpečené, umožňují útočníkovi sledovat, co se děje v kanceláři, obchodě nebo i doma. To samé platí pro nezabezpečené chytré zvonky, hlasové asistenty nebo dětské chůvičky.
👥 Manipulace a sociální inženýrství: Pokud sdílíte hodně informací o sobě (např. kde pracujete, kam chodíte na kávu, koho sledujete na LinkedInu), útočník může využít sociální inženýrství a manipulovat vás tak, abyste mu sami poskytli další citlivé údaje.
Jak se bránit?
🛡️ Buďte opatrní, co sdílíte online.
🛡️ Vypínejte ukládání metadat ve fotkách (v nastavení telefonu).
🛡️ Zkontrolujte, jestli nejsou vaše data někde zveřejněná (např. pomocí Have I Been Pwned).
Jak zůstat online v bezpečí?
Kyberbezpečnost není jen o technologiích, ale hlavně o lidské ostražitosti.
✅ Používejte správce hesel – jako je Bitwarden, 1Password nebo KeePass.
✅ Zálohujte svá data – ideálně na offline disk nebo šifrovaný cloud.
✅ Nesdílejte citlivé informace online – nikdy nevíte, kdo se na ně dívá.
✅ Buďte o krok napřed – vzdělávejte se, sledujte nové trendy a buďte skeptičtí.
Pokud vás téma bezpečnosti zajímá víc, sledujte Pavla Matějíčka a Digiskills, protože i my se kyberbezpečností dlouhodobě zabýváme a pomáháme firmám i jednotlivcům se v ní zorientovat.
A nezapomeňte – nejlepší obrana je prevence!
