Kyberhrozby a sociální inženýrství: Největší slabinou je člověk, varují experti z ESETu
Ondřej Novotný a Jakub Souček byli hosty podcastu RESET. Zdroj: CNN Prima NEWS
Manipulace, cílené útoky a stále dokonalejší podvody. Sociální inženýrství už dávno neznamená jen masové e-maily plné chyb. Útočníci dnes využívají umělou inteligenci, sociální sítě i psychologické triky, aby oběti přiměli k prozrazení citlivých dat nebo odeslání peněz. „Čím větší je naléhavost, tím větší je riziko, že jde o podvod,“ varuje kyberbezpečnostní analytik Jakub Souček. Společně s kolegou Ondřejem Novotným z ESETu v podcastu RESET popisují nejčastější scénáře útoků a radí, jak se jim bránit.
Tři výzkumné laboratoře malware najdeme i v Česku a to v Praze, Brně a Jablonci nad Nisou. „Sociální inženýrství si můžeme představit jako manipulaci v několika podobách,“ vysvětluje Ondřej Novotný.
V minulosti šlo často o hromadné e-maily bez bližšího cílení. Dnes už vidíme výrazný posun – zprávy jsou personalizované a míří na konkrétní osoby.“
Podle Jakuba Součka se v případě sofistikovanějších metod útočníci pečlivě připravují. Typickým příkladem je tzv. spear phishing, což je cílený útok na konkrétní osobu či instituci. „Zjistí si, kde oběť pracuje, v jakém prostředí se pohybuje, a přizpůsobí tomu obsah zprávy. Často se vydávají za nadřízeného či kolegu, používají direktivní tón a časovou urgenci, aby oběť neměla čas přemýšlet.“
Sociální sítě jako zbraň
Útočníci často začínají u veřejně dostupných informací. „Ideálním zdrojem jsou sociální sítě,“ upozorňuje Novotný. „Podvodníci z nich dokážou zjistit, kdy jste na dovolené, jakou práci děláte i jaké máte zvyklosti. Na základě toho si postaví věrohodný příběh, který při útoku použijí.“
Přílišná otevřenost může útočníkům doslova nahrát do karet. „Lidé někdy na fotkách omylem zachytí i klíče od domu nebo auta. Ty pak lze v extrémních případech zneužít – třeba k vydírání,“ varuje Novotný.
Umělá inteligence mění pravidla hry
Dříve byly gramatické chyby v e-mailech jasným signálem podvodu. To už dnes neplatí. „AI pomáhá útočníkům tvořit jazykově dokonalé texty a uvěřitelný obsah,“ říká Souček. Stejně tak roste hrozba deepfake videí. „Kvalita zatím není vždy dokonalá, ale na mobilních zařízeních to nevadí. V příštích pěti letech čekáme jejich masivní rozšíření při podvodech.“
Psychologické triky: Strach, naléhavost a autorita
Podle Novotného útočníci nejčastěji cílí na emoce: „Nejčastější je vyvolání strachu, časová tíseň a nabídka odměny.“ V českém prostředí už například kolovaly SMS s falešnou pokutou za překročení rychlosti. Oběť byla navedena na podvodné přihlášení přes bankovní identitu – a tím útočníkům odevzdala přístup k účtu. „Čím větší naléhavost, tím větší pravděpodobnost, že jde o podvod,“ doplňuje Souček.
Policie po vás nikdy nebude chtít číslo karty po telefonu. V případě pochybností hovor ukončete a ověřte si situaci přímo u instituce.“
Call centra podvodníků a staré triky v moderním kabátě
Existence specializovaných „podvodnických call center“ je podle ESETu realitou. „Hovoří perfektní češtinou, takže mohou být zapojeni i rodilí mluvčí,“ říká Novotný. A dodává, že i když jsou technické obranné systémy stále lepší, lidská psychologie se nemění – a stejné triky fungovaly už v 16. století.
Dávno pryč jsou časy, kdy útoky byly doménou útočníků v kapucích někde ve sklepě. Dnes jde často o organizované skupiny, které pracují z kanceláří od 9 do 5, upozorňují experti.
Prevence a technická obrana
Už více než tři desetiletí staví společnost ESET svou pověst na důvěře milionů uživatelů po celém světě. Od svého založení v roce 1987 nepřestává inovovat a hledat nové způsoby, jak chránit a zlepšovat digitální životy. Sílu a odbornost čerpá z 13 výzkumných a vývojových center rozmístěných na klíčových místech planety, kde špičkoví odborníci neustále sledují hrozby a přinášejí řešení pro bezpečnější budoucnost.
Podle Součka je základem povědomí o hrozbách. „Technická opatření, jako je dvoufaktorové ověření, fungují. Ale pokud mě někdo přesvědčí, abych autorizoval platbu s odůvodněním ‚jde jen o ověření‘, měl by se rozsvítit varovný signál.“
K technickým pomocníkům patří bezpečnostní software (lidově antivir), který dokáže blokovat podezřelé e-maily či hovory, nebo bankovní aplikace ověřující volajícího. „Ale útočníci si zakládají nové účty a používají jednorázová čísla, takže stoprocentní ochrana neexistuje,“ připomíná Novotný.
Závěrem experti varují: Největší slabinou je vždy člověk. Kromě technických opatření je proto klíčová vlastní obezřetnost, schopnost odolat nátlaku a ochota ověřovat si informace z nezávislých zdrojů.
Celý díl pořadu RESET najdete na oficiálním YouTube kanálu společnosti ESET. Součástí je i bonusová část určená IT expertům. Rady, jak poznat podvody na internetu najdete v tomto e-booku. Další praktické tipy, jak se chránit nejen před phishingem, se dočtete v magazínu Dvojklik.
