Manipulace namísto hackerství. Moderní kybernetické útoky často necílí na software, ale na člověka – přes e-maily, zprávy, telefonáty nebo podvržené identity. Seznamte se s nejčastějšími triky sociálního inženýrství a naučte se, jak se před nimi bránit.
Bezpečnost na internetu už dávno není jen technickou záležitostí – stále častěji závisí na lidském chování. V době, kdy většinu podvodů neprovádí hackeři s počítačem v garáži, ale přesvědčiví manipulátoři po telefonu, v e-mailu či na sociálních sítích, se ukazuje, že nejzranitelnější prvek celého systému není software, ale člověk. Tento článek přibližuje nejběžnější podoby sociálního inženýrství, které se v současnosti používají i v České republice, a nabízí konkrétní příklady i doporučení, jak se účinně bránit.
Sociální inženýrství označuje metody psychologické manipulace, jejichž cílem je přimět oběť k určitému chování – zpravidla k tomu, aby sdělila citlivé informace, klikla na nebezpečný odkaz, nebo udělila přístup k zařízení. Útočník se nesnaží prolomit technické zabezpečení, ale lidskou důvěru. Podle Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) jde často o techniku, kterou lze uplatnit jak vůči jednotlivcům, tak ve firemním prostředí – především v kombinaci s podvrženou identitou, tlakem na okamžité rozhodnutí a falešným pocitem bezpečí.
Nejběžnější formou sociálního inženýrství zůstává phishing – podvodné e-maily nebo SMS zprávy, které se tváří jako sdělení od banky, úřadu nebo například doručovací služby. Cílem je přimět uživatele ke kliknutí na odkaz vedoucí na podvrženou stránku, nebo k vyplnění citlivých údajů. Phishingové kampaně se v posledních letech stávají čím dál sofistikovanější a stále častěji cílí i na děti a mladistvé.
Více o principech phishingu a obranných strategiích jsme podrobně psali v článku „Bezpečnost dětí na internetu – 2. díl: Co je to phishing a jak se mu bránit?“, který je dostupný zde.
Další technikou, která se v praxi často objevuje, je tzv. pretexting. Útočník si vytvoří věrohodný příběh (tzv. pretext), aby získal důvěru oběti a přiměl ji k poskytnutí informací nebo k určité akci. Může se vydávat například za pracovníka technické podpory, kolegu z jiného oddělení, nebo třeba kontrolora z úřadu. Důležitou roli hraje profesionalita vystupování – tón hlasu, použitý jazyk i důvěryhodně znějící argumentace. V roce 2024 se v Česku objevil případ, kdy útočník předstíral, že je technik Microsoftu, a přesvědčil uživatele, aby si nainstaloval vzdálený přístupový nástroj. Ten následně umožnil podvodníkovi plnou kontrolu nad zařízením včetně přístupu k účtům a souborům (o2cybernews.cz).
Další technikou sociálního inženýrství je tzv. baiting – útok, při kterém útočník využívá návnadu v podobě atraktivního obsahu, souboru nebo fyzického média. Typickým příkladem je nalezený USB disk, označený například jako „důvěrné“ nebo „osobní“, který obsahuje škodlivý kód. Oběť ve snaze zjistit, co je na disku, připojí zařízení k počítači, čímž umožní infekci systému nebo přístup útočníka. Podle informací z portálu E-Bezpečí se podobné útoky odehrály i ve firemním prostředí v Česku – například když zaměstnanci veřejných institucí vložili nalezené médium do služebního počítače, což vedlo k napadení ransomwarem a zablokování interní sítě.
Baiting však nemusí být omezen pouze na fyzická média. Útočníci často využívají i online návnady, jako jsou lákavé nabídky na bezplatné stažení softwaru, hudby nebo filmů. Tyto nabídky mohou obsahovat infikované soubory nebo odkazy vedoucí na škodlivé webové stránky. Podle informací z webu PREMO se útočníci zaměřují na lidskou přirozenost a zvědavost, a tímto způsobem se snaží získat přístup k citlivým informacím nebo přímo k systému oběti.
Smishing je forma sociálního inženýrství, při které útočníci rozesílají podvodné SMS zprávy obsahující odkazy na falešné webové stránky. Tyto zprávy se často tváří jako komunikace od důvěryhodných institucí, například bank, poštovních služeb nebo státních úřadů, a vyzývají uživatele k zadání citlivých údajů či přihlašovacích informací. Podle zprávy NÚKIB z března 2023 byla zaznamenána smishingová kampaň, která napodobovala stránky českých státních institucí, jako je Ministerstvo práce a sociálních věcí, Česká správa sociálního zabezpečení nebo Česká pošta. Cílem těchto útoků bylo získat přístup k bankovní identitě občanů. Útočníci využívali domény a webové stránky, které vizuálně napodobovaly oficiální portály, a tím zvyšovali důvěryhodnost svých podvodných zpráv.
Moderní kybernetické podvody často nespoléhají pouze na jednu metodu – naopak kombinují více taktik, čímž výrazně zvyšují svoji úspěšnost. Běžným scénářem je například smishingová SMS (např. upozornění na „zablokovanou kartu“), kterou krátce nato následuje telefonát z údajné banky. Volající navazuje na zprávu a působí dojmem, že situaci „řeší“. Kombinací naléhavosti a důvěryhodnosti tak oběť rychle ztratí ostražitost. Podvodníci využívají toho, že lidé v napjaté situaci hůře ověřují informace a jednají impulsivně.
Nebezpečným trendem posledních let je využívání umělé inteligence k vylepšování podvodných scénářů. Díky pokročilým nástrojům lze napodobit lidský hlas (tzv. voice cloning), vytvořit deepfake video nebo zautomatizovat textové útoky v několika jazycích. V Česku se už objevily případy, kdy volající zněl jako reálný zaměstnanec banky nebo přímo člen rodiny. Útočníci tímto způsobem překonávají přirozenou nedůvěru oběti a zvyšují tlak na okamžité jednání. Jak upozorňuje analýza O2 Cybernews, AI pomáhá zrychlit a zpřesnit útoky, které by jinak vyžadovaly větší technickou i lidskou kapacitu.
Úspěch sociálního inženýrství spočívá především v manipulaci lidského chování. Útočníci využívají kognitivní zkreslení, jako je důvěra v autoritu, časový tlak nebo strach, aby přiměli oběti k neuváženému jednání. Například efekt autority může vést k tomu, že lidé poskytnou citlivé informace osobě, která se vydává za nadřízeného či technickou podporu. Časový tlak zase snižuje schopnost kritického myšlení, což útočníci využívají k získání přístupu k důvěrným údajům. Podle Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) jsou tyto techniky založeny na specifických způsobech lidského rozhodování známých jako kognitivní chyby úsudku, které útočníci zneužívají k dosažení svých cílů.
Další informace o tom, jak útočníci zneužívají lidskou psychologii, naleznete v článku “Co je sociální inženýrství: Jak útočníci zneužívají lidskou psychologii” od Jiřího Vaňka.
Pokud jste se stali obětí podvodu nebo máte podezření, že jste sdělili citlivé údaje (např. kód z SMS, přístupové údaje nebo klikli na škodlivý odkaz), je klíčové jednat okamžitě. Ihned kontaktujte svou banku, zablokujte přístup k účtům a změňte hesla. Podejte oznámení na Policii ČR a situaci můžete nahlásit také NÚKIB jako kybernetický incident. Včasná reakce může výrazně snížit škody – nejen finanční, ale i reputační.
Z výše uvedeného je zřejmé, že sociální inženýrství představuje reálnou a aktuální hrozbu, která se neustále vyvíjí a přizpůsobuje. Jeho síla spočívá v tom, že cílí na lidské slabiny, nikoli na technologické nedostatky. A právě proto žádná antivirová ochrana ani firewally samy o sobě nestačí. Základem obrany je informovanost, kritické myšlení a schopnost včas rozpoznat manipulaci – ať už přichází přes e-mail, telefon nebo na ulici v podobě „náhodného“ nálezu. Naučme se ověřovat, nedůvěřovat automaticky každé výzvě a nebát se říct „ne“.
Pomozme také těm, kteří jsou více zranitelní – seniorům, dětem nebo lidem s nižší digitální gramotností. Jednoduchá rada typu „nikdy nikomu neříkejte kód z SMS“ může ochránit nejen peníze, ale i sebevědomí.
Aby bylo jednodušší si zásady bezpečného chování zapamatovat, připravili jsme stručné shrnutí v podobě praktického desatera:
Desatero bezpečného chování na internetu
- Nikdy nikomu neříkejte ověřovací kódy z SMS. Ani banka je po vás nebude chtít telefonicky.
- Neotvírejte odkazy z podezřelých e-mailů nebo zpráv. Platí i pro doručovací služby.
- Neposílejte přihlašovací údaje přes chat, e-mail ani telefon.
- Používejte dvoufázové ověření (2FA) u důležitých účtů – banky, e-mail, sociální sítě.
- Ověřujte si odesílatele. I „známý kontakt“ může být napadený.
- Zamyslete se, než kliknete. Naléhavé výzvy k platbě nebo přihlášení bývají varovným signálem.
- Nikdy neinstalujte software podle telefonických pokynů. Ani „od Microsoftu“ nebo „z banky“.
- Hesla používejte silná a unikátní. A měňte je pravidelně.
- Zvyšujte svou digitální gramotnost. Pomozte s tím i dětem a seniorům.
- V případě pochybností raději kontaktujte oficiální podporu. A hlavně – nenechte se dotlačit k rychlému rozhodnutí.
Buďme vůči sobě ohleduplní – kybernetická bezpečnost není jen otázkou softwaru, ale i vzájemné pomoci, sdílení zkušeností a odvahy zeptat se. Každý z nás může být silnějším článkem digitální společnosti.
Autor: Martina Pánková
