Kyberzločinů raketově přibývá
Česká republika trpí pod náporem kybernetických podvodů. Ve srovnání s loňským rokem policie zaznamenala obrovský nárůst kybernetické kriminality a s nervozitou vyhlíží letošní Vánoce, kdy bývají podvodníci velice aktivní. Mnozí z nich dokážou kromě falešných e-mailových výzev od známých institucí napodobit také telefonní čísla a vydávat se za bankéře. „Snaží se zmanipulovat lidi, aby své finanční prostředky převedli jinam,“ varoval Ondřej Kapr z Úřadu kriminální policie a vyšetřování. S blížícími Vánoci očekává, že počet případů ještě výrazně vzroste.
Ke konci letošního srpna zaznamenali strážci zákona 12 083 nelegálních skutků, které byly spáchány v kybernetickém prostoru. Že jde o alarmující nárůst, ilustruje mimo jiné loňská statistika – za celý rok 2021 jich policie evidovala 10 957. „Blíží se Vánoce, což je období, které pachatelé zneužívají. Čísla (pro letošní rok) tedy budou velká. Statistika je to opravdu příšerná,“ konstatoval Kapr na setkání expertů ke kybernetické bezpečnosti.
Podvody jsou navíc čím dál sofistikovanější a propracovanější. Už dávno proto neplatí pravidlo jako u běžného „phishingu“ (tzn. podvodné techniky, které mají z lidí vylákat citlivé údaje), že se uživatel musí jenom koukat po překlepech, špatně formulovaném textu či ošklivém logu a pochybné doméně. Podobným „chybám“ se totiž podvodníci naučili vyhýbat a jejich falešné e-mailové výzvy proto mnohdy vypadají velice důvěryhodně.
České občany v poslední době zaskočil i tzv. vishing, tedy podvod uskutečněný skrze telefonní hovor. „Málokdo ví, že existuje ‚spoofing‘, tedy že pachatelé dokážou napodobit jakékoliv telefonní číslo a vydávají se za nějakou autoritu, ať už je to banka, či policie. Snaží se zmanipulovat lidi, aby své finanční prostředky převedli jinam – ideálně přes bitcoiny, aby to nebylo dohledatelné,“ varoval Kapr.
Cílem vishing útoků bývají spíše vytipovaní starší lidé, kteří mohou skočit na manipulaci falešného bankéře. Ten se jim snaží nejčastěji namluvit, že jejich bankovní účet byl napaden hackery, a tudíž by měli přenést své finance na jiný zabezpečený účet. Jelikož podvodník zvládne napodobit telefonní číslo, aby vypadalo například jako infolinka bankovní instituce, oběť mnohdy nepojme podezření, že by mělo být cokoliv špatně.
Zde platí jednoduché pravidlo: banky nikdy nepožadují po svých klientech, aby posílali peníze na cizí účty či je ukládali do vkladomatů. „Manipulace je na obrovské úrovni. Chceme oslovit veřejnost, aby se vzdělávala, jaké jsou hrozby v kyberprostoru. Nikdo by to neměl přehlížet s tím, že se mu to stát nemůže, protože by to odhalil. Když útočník chce, nějakým způsobem vás vždy dostane,“ podotkl Kapr.
Kyberútoky směřují i na nemocnice či volební weby
Třebaže valnou většinu kybernetických zločinů tvoří podvody, policie musí rovněž řešit mnohem složitější útoky, které pro změnu směřují na kritickou infrastrukturu. Své o tom ví například benešovská nemocnice, kterou ochromil ruský vyděračský počítačový vir Ryuk. Ten napadl počítačový systém, kvůli tomu nešlo spustit žádný přístroj. Nemocnice tak musela odložit plánované operace. V minulosti se pod kybernetickým útokem ocitly i struktury veřejné správy či volební web.
Kapr doplnil, že by se měli stejnou měrou vzdělávat i policisté, aby mohli asistovat napadeným či okradeným lidem na lokální úrovni. „Každý policista by měl znát základy. Chceme tým expertů, kteří budou pomáhat nižším policejním článkům. Chceme rovněž vytvořit systém na oznamování podezřelých aktivit pro běžné občany. Zatím je (současný) systém zkostnatělý, měl by být daleko efektivnější,“ dodal na závěr Kapr.
Česká republika byla v průzkumu společnosti Surfshark označena za 13. nejhorší zemi světa v počtu prolomených internetových účtů. Oproti minulému čtvrtletí se objem hackerských útoků a podvodů zvýšil dokonce o 135 procent. To znamená dva až čtyři prolomené účty za minutu.
Útoky mohou mít různou formu, vždy si ale pohrávají s emocemi člověka, které experti tradičně považují jako nejslabší článek v zabezpečení. Typicky se jedná o zprávu oznamující nedoplatek na daních či pojištění. Podvody ale mohou na sebe vzít formu výhrůžky o zveřejnění (neexistujících) kompromitujících fotografií. Dále pracuje i s pocitem možné ztráty ve formě slibu rychlého výdělku či obdržení finanční výhry pod časovým tlakem.
Základním bezpečnostním opatřením je dvoufázové ověřování. V praxi jde o proces, kdy je nutné po přihlášení na účet heslem ještě potvrdit pravost uživatele skrze kód ze SMS zprávy nebo e-mailu.