Dokud šlo o e-maily psané lámanou češtinou a my si byli absolutně jistí, že jsme nikdy žádnou lechtivou fotku ani nepořídili, natož abychom ji někomu poslali, šlo se z toho šoku vzpamatovat poměrně snadno.

Co ale dělat v době, kdy se z nás díky sociálním sítím a generativní umělé inteligenci můžou stát pornoherci snadno a do pár minut?

Co je sextorze?

Sextorze (z anglického sextortion) je typ vydírání, při kterém pachatel vyhrožuje zveřejněním intimních fotek nebo videí, pokud oběť nezaplatí a/nebo nepošle další materiály.

Rozlišujeme dva hlavní typy sextorze:

1. Útočník materiály intimní povahy skutečně má, protože je od oběti získal buď legitimně (např. bývalý partner/ka) nebo milostným podvodem.
2. Útočník materiály nemá (a nikdy neměl) nebo si vytvořil deepfaky pomocí generativní umělé inteligence.

Zatímco první typ sextorze většinou cílí na konkrétní osobu, druhý má často podobu hromadného e-mailu a řadíme ho mezi techniky sociálního inženýrství.

Sextorze jako e-mailový podvod

Sextorze ve smyslu podvodného vydírání tradičně vypadá nějak takto:

• Neznámý odesílatel v nevyžádaném e-mailu tvrdí, že nám „hacknul“ počítač a vlastní intimní záznamy pořízené přes webkameru nebo ukradené z disku. Jako důkaz slouží buď příloha e-mailu nebo odkaz, který údajně vede ke stažení záznamů.
• Pro zvýšení důvěryhodnosti uvede webovou stránku, kterou jsme navštívili, nějaké naše heslo či adresu. Využít také můžou spoofing naší e-mailové adresy, tzn. e-mail nám přijde od nás, aby podpořili dojem, že se nám dostali do zařízení.
• Útočník nám dá ultimátum: pokud do 24 nebo 48 hodin nezaplatíme (většinou v kryptoměně), pošle inkriminované materiály všem našim kontaktům.

Důležité je uvědomit si, že téměř všechny tyto e-maily jsou podvody a útočník ve většině případů nemá žádné skutečné intimní záznamy. Pokud má e-mail přílohu nebo obsahuje odkaz, v drtivé většině případů vede ke stažení malwaru.

Osobní a přihlašovací údaje, kterými se nás snaží zastrašit, získal z historických úniků dat, kampaní infostealerů, dark webu, účtů na sociálních sítích či od data brokerů (společností zabývajících se sběrem a prodejem osobních dat).

Generativní umělá inteligence nás umí doslova svléknout

Rozšíření generativní umělé inteligence značně usnadnilo a zlevnilo produkci tzv. deepfaků. To znamená, že k vygenerování realistických fotek nebo videí pornografické povahy útočníkům většinou stačí jen fotografie, které sami uveřejňujeme na sociálních sítích.

Dobrým případem je nedávná kauza Groka, integrovaného chatbota sociální sítě X, který na základě jednoduchého promptu od uživatelů svlékal oběti doslova na počkání, a to včetně dětí a nezletilých.

Proč na nás sextorze funguje?

Pokud se nám nic podobného nikdy nestalo, je snadné si říct, že nás by útočníci nikdy nedoběhli. Ve chvíli, kdy stojíme tváří v tvář skrytému útočníkovi, který o nás zdánlivě ví všechno, nebo hůř, vlastním podvrženým „nahotinkám“, je ale všechno jinak. Rozhodují totiž hlavně naše emoce:

• víra v prezentovaná, skutečná či zfalšovaná data nás znejišťuje;
• strach potlačuje racionální myšlení;
• pocit naléhavosti za nás dělá uspěchaná a nedomyšlená řešení;
• a stud zajišťuje, že nevyhledáme pomoc a zaplatíme.

Stali jsme se obětí sextorze. Co teď?

V první řadě si musíme uvědomit, že tento podvod funguje jen v případě, že napřed jednáme a až pak myslíme. Proto je důležité se napřed pořádně uklidnit a pak začít postupovat podle následujících kroků:

1. Neklikejte na žádné odkazy a neotevírejte přílohy. S největší pravděpodobností obsahují jen malware.
2. Pokud e-mail zmiňuje adresu/heslo, zkontrolujte si, zda se vaše údaje objevily v nějakém úniku dat a hesla samozřejmě hned změňte.
3. Nikdy neodpovídejte, tím vyděračům jen potvrdíte, že je vaše e-mailová adresa aktivní, a přitvrdí.
4. Označte e-mail jako spam a ideálně i zablokujte odesílatele.
5. Neplaťte výkupné, to vede jen k dalším požadavkům.
6. Nahlaste podvod na policii, zvlášť v případě nezletilých obětí.

Pokud jste vyděračům už zaplatili, v platbách rozhodně nepokračujte. Uložte si všechny zprávy i transakce a platby nahlaste jako podvodné. Pak podejte trestní oznámení.

Jak můžeme sextorzi v podobě podvodných e-mailů předejít?

Protože je sextorze v této podobě prachobyčejný internetový podvod, nejlepší ochranou je dodržování základních pravidel online bezpečnosti.

• Vytvářejte si unikátní a silná hesla pro všechny účty, které používáte.
• Pokud zrovna nepoužíváte webkameru, zakrývejte ji.
• Zkontrolujte si nastavení ochrany soukromí na sociálních sítích.
• Omezte množství osobních informací, které dáváte na internet. Nikdy nevíte, kdo se dívá.
• Pravidelně kontrolujte, zda vaše data nikam neunikla, např. přes Have I Been Pwned.
• Pořiďte si spolehlivé bezpečnostní řešení, které brání klikání na phishingové odkazy a chrání tak před infostealery, které jdou právě po vašich heslech.
• Pokud jste rodičem, otevřeně s dětmi mluvte o zneužitelnosti generativní AI nejen pro sextorzi.

Závěrem…

Sextorze je založená především na našem strachu. Ať už vyděrači skutečně mají intimní materiály nebo tím jenom vyhrožují, cílem je vždycky vyvolání paniky, ve které jim prostě zaplatíme. Jediná efektivní obrana je v tomto případě říct si o pomoc rodině, přátelům a policii.

Účinná preventivní opatření zahrnují úklid naší digitální stopy, pečlivou ochranu všech online účtů a čerstvé informace o vývoji nových hrozeb. Kybernetičtí útočníci a vyděrači nejdou přímo po nás, zkouší to na všechny. Dělejme tedy, co je v našich silách, aby si vylámali zuby.

Mohlo by vás zajímat:
🚩 Jak poznat podezřelé přílohy a podvodné e-maily?
🚩 Co je sociální inženýrství a jak se před ním bránit?
🚩 Bezpečný sexting: Jak se vyhnout rizikům?

A jedním z nejsnadnějších způsobů, jak je z nás dostat, je sociální inženýrství.

Co je sociální inženýrství?

Sociální inženýrství je soubor technik, které útočníci využívají k psychologické manipulaci svých obětí. Cílem je většinou nasdílení přihlašovacích údajů, potvrzovacích kódů nebo nevědomá instalace malwaru.

Proč je sociální inženýrství tak úspěšné (a tím pádem nebezpečné)? Protože my, lidé, jsme nejen omylní, ale hlavně sociální bytosti naprogramované věřit ostatním lidem a příběhům, které nám vyprávějí. Zvlášť, když je považujeme za autority.

„Sociální inženýrství funguje, protože zneužívá rozporu, který v nás vytváří vrozené sociální instinkty a naučené zásady kybernetické bezpečnosti,“ vysvětluje náš globální bezpečnostní poradce Jake Moore. „Řečeno jednoduše, sociální inženýři využívají naší důvěřivosti a dělají to hodně dobře.“

Sociální inženýrství často nevyžaduje ani malware, ani sofistikované využívání zranitelností našich zařízení. To znamená, že útoky postavené na něm jsou hůř detekovatelné a hlavně levnější. Obě tyto výhody navíc ještě podpořil nástup generativní AI, která umožňuje snadno vytvářet např. bezchybné phishingové e-maily či přesvědčivé deepfaky.

Jak přesně funguje sociální inženýrství?

Moderní útok na bázi sociálního inženýrství většinou probíhá takto:

1. Průzkum. Sociální inženýři si své oběti „šacují“ podobně jako zloději nebo klasičtí podvodníci. Jako zdroje informací jim slouží naše sociální sítě, balíčky kradených dat z dark webu nebo (v případě útoků na firmy) zpravodajství z otevřených zdrojů (OSINT).
2. Plánování. Na základě získaných informací si útočníci zvolí nejdůvěryhodnější kanál (např. e-mail, soukromou zprávu na sociálních sítích, QR kód nebo i osobní setkání), kterým útok uskuteční, a uvěřitelnou „návnadu“.
3. Útok. Útočník nahodí návnadu (např. urgentní žádost, příslib odměny, vzbuzení strachu či odvolání se na autoritu), oběť se chytí a provede požadovanou akci (např. klikne na podvodný odkaz, otevře škodlivou přílohu, převede peníze nebo prozradí své přihlašovací údaje).
4. Únik. Útočník ukradne přihlašovací údaje, inkasuje poslané peníze nebo spustí nainstalovaný malware a užívá si plody své práce.
5. Reakce. Poškozená strana si uvědomí, co se stalo, a ideálně začne podnikat kroky k nápravě.

Sociální inženýrství z pohledu psychologie

Sociální inženýrství a na něm založené kybernetické útoky nejsou v jádru ničím jiným než útokem člověka na člověka. Hlavní zbraní je v tomto případě manipulace, která je podle amerického psychologa Roberta Cialdiniho založená na následujících principech:

• Autorita: Lidé mají tendenci plnit pokyny těch, které vnímají jako vůdce, což je přesně důvod, proč se podvodníci často vydávají za pracovníky bank, státní úředníky, policisty apod.
• Urgence/FOMO: Pokud je na nás vyvíjen nátlak, že když nebudeme hned jednat, stane se něco špatného nebo nám něco vzácného uteče, zvyšuje se šance, že poslechneme. Tento typ manipulace hojně využívá phishing, např. výhružkou, že nám někdo do 24 hodin deaktivuje účet, nebo příslibem výhry, kterou je nutné vybrat včas.
• Vzájemnost (reciprocita): Lidé nemají rádi pocit, že jsou někomu něco dlužní, a mají často potřebu se revanšovat. Toho zneužívají třeba phishingové e-maily, které slibují dárek nebo produkt zdarma výměnou za to, že se někam přihlásíme, na něco klikneme apod.
• Závazek: Většina z nás se snaží zůstat v názorech a jednáních důsledná, což se projevuje například i tak, že pokud na nějaké podmínky přistoupíme jednou, nejspíš to uděláme znovu, i když se po nás tentokrát chce víc. Proto mají sociální inženýři tendence útoky opakovat.
• Sociální schválení: Lidé mají sklony jít s davem, takže pokud v nás někdo vzbudí dojem, že většina lidí udělala, co se po nás chce, existuje vyšší šance, že to uděláme taky. Toho se využívá např. při phishingových útocích na firmy, při kterých se zaměstnancům tvrdí, že kolegové už „potvrdili údaje“.
• Oblíbenost: Většina lidí se rozhoduje na základě sympatií. To znamená, že pokud nám žádost předkládá někdo, kdo se nám líbí, spíš řekneme ano. Proto se sociální inženýři snaží vybudovat co nejpevnější vztah s obětí.

Sociální inženýrství není jen phishing

O tom, že podvody či krádeže dat založené na sociálním inženýrství často nejsou zvlášť technologicky vyspělé, už jsme mluvili. A co je to phishing nejspíš také znovu vysvětlovat nemusíme. Pojďme se tedy podívat na jeho možná méně známé formy:

• Push bombing je bombardování notifikacemi z aplikace pro vícefaktorové ověření. Cílem je příjemce zmást nebo doslova „uhnat“, aby aspoň jedno z nich potvrdil.
• Quishing je phishing pomocí QR kódu, který bývá vyvěšený na veřejných místech nebo zaslaný e-mailem. Stejně jako v případě klasického phishingu vede uživatele na podvodné stránky nebo ke stažení malwaru.
• ClickFix je poměrně nový způsob, jak do zařízení oběti dostat malware. V první fázi jde o klasický phishing, ale jakmile oběť dorazí do cíle (např. na falešnou stránku), vyskočí jí upozornění, že došlo k dočasné chybě, kterou může opravit jen tak, že zkopíruje a vloží kód do příkazového řádku. Tím nainstaluje malware.

Mezi metody sociálního inženýrství, které se neopírají o phishing, patří třeba milostné podvody, podvody na (pra)rodiče nebo sextorze. Tyto typy podvodů hojně využívají deepfaky vytvořené pomocí generativní umělé inteligence, které útočníkům usnadňují vydávat se za někoho jiného nebo vytvořit falešný pornografický materiál pomocí fotek ze sociálních sítí.

Jak se bránit sociálnímu inženýrství?

Metody sociálního inženýrství a způsoby, jak je na nás uplatnit, jsou různé, ale jedno mají většinou společné: žádost o peníze a/nebo přihlašovací či jiné důvěrné údaje. Pokud na takovou žádost narazíme, je naprosto zásadní nechat si ji pořádně projít hlavou.

„Pokud v nás někdo vyvolává urgenci nebo strach, je potřeba zpomalit a všechno si ověřit,“ radí Jake Moore. „Většina útoků sociálního inženýrství se totiž zhroutí ve chvíli, když se odpojíme od platformy, kterou sociální inženýři k útoku používají, a tím narušíme příběh, který nám vyprávějí. To je přesně důvod, proč se nás snaží např. udržet na telefonu, dokud neuděláme, co chtějí.“

Odolnost proti sociálnímu inženýrství můžete podpořit následujícími kroky:

1. Zvyšujte si povědomí o tom, jaké typy podvodů existují a jaké metody a technologie používají.
2. Aktivujte si všechny bezpečnostní prvky, které vám technologie a platformy umožňují (např. vícefaktorové ověření), a pořiďte si dobrý antivir s ochranou proti phishingu nebo blokací pochybných telefonních čísel.
3. Mluvte o hrozbách sociálního inženýrství otevřeně, a to hlavně doma s dětmi a seniory, na které podvodníci cílí také.

Shrnutí:

Sociální inženýrství není úspěšné, protože jsou podvodníci mimořádně technicky zdatní, ale protože je postavené na psychologické manipulaci. A tu neumí zastavit ani nejlepší bezpečnostní software. Jediná spolehlivá ochrana je tedy ta, která kombinuje informovanost, ostražitost a technologickou ochranu, která nás podrží i ve chvíli, když náš úsudek selže.

Mohlo by vás zajímat:
🎭 Sociální inženýrství online, jak nenaletět?
🎭 Sociální inženýrství: Jak se mu efektivně bránit?
🎭 Poznáte phishingový e-mail? Projděte si test, který vytvořil Google

Ačkoliv na naše mobilní telefony útočí hlavně falešné aplikace skrývající malware, a to zejména v podobě adwaru, spywaru, ransomwaru a trojských koní, podceňovat by se neměly ani „prachobyčejné“ podvody. A to hned ze dvou důvodů.

Důvod č. 1: Mobilní telefony máme v ruce pořád

Podle výsledků výzkumu společnosti ESET nakupuje vánoční dárky na internetu celých 97 % dotázaných a 70 % z nich to dělá přes mobilní telefon. 38 % přitom nakupuje na oblíbených čínských e-shopech, jako jsou Temu, AliExpress či Shein.

68 % dotazovaných volí platbu kartou online a 47 % používá Google/Apple Pay. Navzdory tomu má ale bezpečnostní software na telefonu nainstalovaný jen 57 % dotázaných. Další desetina respondentů přitom ani neví, zda má svůj telefon vůbec nějak chráněný.

To je problém hlavně ve chvíli, kdy skáčeme z e-shopu na e-shop a ve spěchu dáváme pozor spíš na výši slevy než na kvalitu prodejce. Velmi snadno se tak může stát, že pod stromeček nedopatřením nadělíme nejen svým blízkým, ale i kyberpodvodníkům.

Důvod č. 2: Generativní umělá inteligence je tady pro všechny

A tím myslíme opravdu pro všechny. Rozšíření a snadná dostupnost generativní AI způsobily, že se nástroje založené na ní velmi snadno zařadily i do arzenálu internetových zločinců a podvodníků.

Kyberzločinci generují například:

• phishingové e-maily, ve kterých se vydávají za e-shopy, doručovací služby nebo platební brány;
• obrázky produktů, které pak využívají pro adware, k prodeji padělků, neexistujících či „zázračných“ produktů, a dokonce i k ilustraci falešných nabídek v rámci phishingu;
• deepfaky, pomocí kterých obcházejí ověření totožnosti rozpoznáním obličeje;
• fiktivní zákaznickou podporu oblíbených značek, tedy hlasy či videa lidí, kteří neexistují;
• falešné recenze i celé produkty na internetových tržištích.

Zároveň už se objevil i první malware PromptLock, který generativní umělou inteligenci sám využívá. Dalším příkladem zneužití AI chatbotů je tzv. Grokking, při kterém útočníci využili legitimního chatbota sociální sítě X k uveřejnění škodlivých odkazů, které by se jim na X jinak publikovat nepodařilo.

Nejde ale jen o vánoční slevy

Internetoví podvodníci se už nevydávají jen za e-shopy, zákaznické linky či dopravce. Dalším oblíbeným terčem jsou nadace a dobročinné spolky, pro jejichž činnost jsou příspěvky vybrané ve vánočním období zcela zásadní. Své o tom ví třeba Charita Česká republika.

Pro zločince je to výnosný byznys, protože ačkoliv podle průzkumu přispívá na charitu celá polovina dotazovaných, 52 % z nich si organizace, kterým darují peníze, nijak neprověřuje, a to buď protože jsou mediálně známé, nebo protože to darující nepovažují za podstatné.

Pokud tedy chcete tyto Vánoce přispět potřebným, pečlivě si ověřte, kdo od vás peníze vybírá, a to například tím, že si najdete recenze z nezávislých zdrojů a zkontrolujete, že má organizace na webových stránkách jak funkční kontakt, tak i údaje o provozovateli.

Podvodníci cílí na všechny

Podle našeho výzkumu se s nějakou formou podvodu při nákupu na e-shopu setkalo 18 % dotazovaných. 7 % vyvázlo bez finanční škody a dalších 7 % nepřišlo o víc než 5 000 Kč. 33 % postižených podvod bohužel nijak dál neřešilo nebo nenahlásilo.

To nám připomíná jednu nepříjemnou, ale naprosto zásadní pravdu. Když totiž dojde na online podvody, v první linii není ani hardware, ani software, ale my, jejich uživatelé. To my klikáme na odkazy, zvedáme telefony a posíláme peníze.

Co tedy můžeme udělat pro svou ochranu?

1. Držte se zásad pro bezpečný nákup na e-shopech.
2. U pochybných e-mailů se dobře podívejte na adresu odesílatele – pokud je z bezplatné domény typu gmail a seznam, nebo pokud obsahuje chyby či překlepy, nejde o důvěryhodného odesílatele.
3. Pokud dostanete podezřelý odkaz, zkontrolujte si ho přes ESET Link Checker.
4. Používejte silná hesla. Podle našeho výzkumu má unikátní heslo jen 27 % dotázaných. 38 % z nich ale zároveň přiznává, že si heslo pamatují z hlavy, což naznačuje, že není tak silné, jak by mělo.
5. Zapněte si vícefázové ověření. Z výzkumu vyplývá, že ho nepoužívá až 67 % dotazovaných, a přitom je to jeden z nejsnadnějších způsobů, jak si pojistit bezpečnost svého účtu.
6. Pravidelně aktualizujte software a používejte spolehlivé bezpečností řešení, které umí zastavit online hrozby hned v několika fázích, např. filtrací spamu, blokováním phishingu či zabezpečením plateb.
7. Při posuzování nabídek se řiďte zásadou, že pokud něco vypadá příliš dobře na to, aby to byla pravda, nejspíš to pravda není.
8. Neustále se vzdělávejte. Mějte přehled o tom, jak vypadají pokusy o podvod, jak se proti nim účinně bránit a kam je nahlásit.

Poznáte online podvod?

Vyzkoušejte náš test
na nejčastější podvodné scénáře.

Otestovat se

Závěrem…

Generativní umělá inteligence zjednodušila produkci kyberútoků a internetových podvodů a zároveň o dost ztížila jejich včasné odhalení. To bývá kamenem úrazu hlavně ve vánočním shonu, kdy máme neustále v ruce telefon s nákupní aplikací a v časové tísni podpořené informačním zahlcením občas prostě ťupneme na lákavě podanou, ale podvodnou nabídku.

Nejspolehlivější způsob, jak se bránit podvodnému AI obsahu, phishingu a ukradeným Vánocům, je spěchat pomalu a pečlivě ověřovat, kam posíláme peníze. Pomůže i pořízení kvalitního bezpečnostního softwaru, který pomůže snížit množství pokusů o podvod usilujících o naši pozornost.

Mohlo by vás zajímat:
🎄 Hrozby pro Android: Rizikem jsou před Vánoci hry a aplikace
🎄 Češi nakupují z mobilu. Jak tím riskují?
🎄 Jak dostat nazpět peníze z podvodníka?