Na den etickým hackerem aneb Když si firma objedná špionáž sama na sebe
Počet kyberútoků stále roste. Útočníkům pomáhá také umělá inteligence, podvody bývají sofistikované a škody jdou až do miliard korun. Strávili jsme proto den s etickými hackery, kteří pro firmy dělají špionáž na objednávku. Pomáhají jim tak zjistit, kde mají největší bezpečnostní mezery. Zapomeňte na ajťáka v kapuci, realita vypadá úplně jinak.
Jdu po schodech do obyčejného pražského činžáku, podle tabule u vchodu tady má sídlo spousta firem a organizací, třeba Asociace soukromých zemědělců. Nic zkrátka nenasvědčuje tomu, že se za chvíli objevím v „doupěti“ etických hackerů. Ano, zní to velmi tajemně, v současnosti už ale jde o legitimní byznys, po němž je velká poptávka. Dělat „dobrého“ hackera přitom může být skvělé dobrodružství. Ale po pořádku.
Počet kyberútoků na české firmy i jednotlivce neustává, podle analytiků jsou nyní útoky naopak kvalitnější a intenzívnější. Jednou z cest, jak se na takové hrozby připravit, je nechat se „hacknout nanečisto“. Etičtí hackeři pomáhají firmám odhalit slabiny v zabezpečení a předejít skutečným útokům. Jejich metody jsou k nerozeznání od těch, které používají zločinci.
„Musíme se připravit dělat to nejhorší,“ říká Jiří Suchora, CEO společnosti Nobit, jež se zabývá kyberbezpečností. Nejde o žádného týpka v kapuci, jak bývají hackeři stereotypně vnímáni. Ani jeho tým takový není, blíže mají spíš k nějakému startupu nebo korporátu, prostě trička a košile, na kapuci nenarazím. „Možná tu jednoho dva takové máme, jinak jsme všichni normální,“ směje se šéf firmy.
Otevřete dveře zloději?
Teď už k samotné akci, jak vlastně takový etický hacking vypadá? Nejde zdaleka jen o nějaký vzdálený proces od počítače, je to komplexní špionáž různých organizací: od bank přes e-shopy i státní sektor. Součástí je celkový „sken“ firmy, týdny dopředu tak hackeři například sledují sociální sítě zaměstnanců, nenápadně zjišťují, jak chodí lidé do firmy oblékaní nebo kdy se střídá ochranka u vstupu a kde nechává kartičky s čipem od dveří.
„O akci vědí v celé firmě jen malé jednotky lidí, většinou třeba jenom šéf bezpečnosti. Jde o to, abychom se co nejvíce přiblížili realitě, kdy také nikdo neví, že se na vás chystá hackerský útok,“ vysvětluje Suchora. Kromě procesů a různých technických typů zabezpečení zkouší etický hacker hlavně lidské chyby. Člověk byl, je a podle expertů ještě dlouho bude tím nejslabším bezpečnostním článkem. Představit si to lze na jednoduchém příkladu, kdy podržíte cizímu člověku dveře od vstupu do paneláku. Mohla to být něčí návštěva nebo nový nájemník. Taky jste ale možná otevřeli dveře zloději, jenž vám jde vykrást byt. Lidé prostě mají emoce, bývají unavení, rozptýlení nebo jen chtějí vyhovět nadřízenému.
„Když už se do nějaké firmy dostaneme, může nastat několik scénářů. Snažíme se zjistit co nejvíce o zabezpečení, někdy máme za úkol například něco ukrást, jindy nechat zaměstnanci na stole flashku, díky níž mu budeme moct ukrást data. Často pomáhá, když je na ní štítek se slovem Výplata. Pak už jen pozorujeme, jestli ji zapojí do počítače,“ popisuje etický hacker.
Nejlepší hacker je žena
Jindy zase „špión“ nepozorovaně přemostí a na dálku přepojí kolegy, kteří budou firmu hackovat z kanceláře nebo třeba blízké kavárny. K přístupu někdy stačí nepozorný kolega, jenž si odskočí a nechá si otevřený počítač. „Když se vydáváme na takové operace, velmi často se pohybujeme na hraně. Vždy proto musíme s klientem podepsat takzvanou jail free card, tedy papír, který říká, co jdeme dělat, co smíme a nesmíme. Už se nám stalo, že na nás přišla ochranka a zavolala policii,“ vypráví Suchora.
Celá akce může trvat i několik týdnů, není nezvyklé, že se při ní hacker nechá do firmy „zaměstnat“. Vytvoří si falešnou identitu, někdy i falešné sociální sítě nebo pracovní životopis, absolvuje i klasický pohovor, školení. Prostě jako když nastupujete do nové práce. Etický hacker ale při tom všem sleduje hlavně bezpečnostní díry ve společnosti. „Bývá to psychicky náročné. Možná vás to překvapí, ale v terénu se nám více osvědčily ženy, zřejmě jsou přesvědčivější a uvolněnější,“ míní Suchora.
Požadavky firem jsou podle něj různé. Někdy chtějí co nejvíce zabezpečit „rodinné stříbro“, nejcennější věc, co vlastní, například datacentrum, kde jsou uloženy všechny citlivé údaje. „Jindy zase chtějí ochranu před potenciálními naštvanými zaměstnanci. Řeknou nám, abychom zjistili, kam až může se svým přístupem zajít Anna z účtárny. My tak musíme jít až na hranu toho, co by teoreticky zaměstnanec mohl firmě udělat,“ popisuje Suchora.
Škody jdou do miliard
Zmíněné špionáže ve firmách se odborně nazývají Red Teaming. Jde o výraz z angličtiny, kdy červený tým – hackeři – útočí, modrý se naopak brání, což může být třeba bezpečnostní oddělení. Někdy se zapojí i fialový tým, jenž oba propojuje (vizte tabulku). Podle Suchory se ne každý dokáže vcítit do role tajného agenta a v podstatě několik týdnů lhát lidem kolem sebe. „Je to specifická role. Úmyslně děláte něco špatného, škodíte. Musíte to ale brát tak, že pouze hledáte možné problémy,“ říká bezpečnostní expert.
Samotné zabezpečení firmy dnes však nestačí. Útočníci se zaměřují také na zákazníky. Někdy dokonce zákazníky zákazníků. Přes ně se mohou teoreticky dostat až k onomu popisovanému „stříbru“. I proto jsme ohroženi vlastně všichni, málokdo není klientem banky nebo nikdy nic nekoupil v obchodě.
Podle nejnovějších dat České bankovní asociace (ČBA) se jen loni takzvaní e-šmejdi pokusili ukrást přes 14 miliard korun. Dvanáct miliard banky svým klientům zachránily. Klienti loni čelili téměř 91 tisícům útoků a celkové škody dosáhly 2,1 miliardy korun, oproti roku 2024 to je nárůst o víc než 700 miliónů a průměrná škoda stoupla na 23 462 korun.
„Stále dokonalejší technologie pomáhají odhalit a zastavit podvod ještě před tím, než dojde ke škodě. E-šmejdi proto útočí na nejslabší článek tohoto řetězce, jímž je klient, a snaží se zneužít nátlaku a strachu k získání citlivých údajů,“ upozorňuje Tomáš Stegura, předseda pracovní skupiny pro kyberbezpečnost České bankovní asociace a ředitel kyberbezpečnosti skupiny ČSOB.
Haló, tady kriminální policie
Čerstvý příklad popsala policejní mluvčí Eliška Kubíčková. Kriminalisté z Děčína aktuálně prověřují případ rozsáhlého podvodu, při kterém žena středního věku přišla o téměř 750 tisíc korun. Kyberpodvodníci ji během několika hodin přesvědčili, že její peníze jsou v ohrožení a že jediný způsob, jak je ochránit, je řídit se jejich pokyny.
„Vše začalo dopoledním telefonátem. Muž se představil jako policista z oddělení hospodářské kriminality a tvrdil, že někdo na základě padělané plné moci požádal jejím jménem o úvěr ve výši zhruba 800 tisíc korun. Aby působil důvěryhodně, zaslal jí e-mailem dokumenty připomínající oficiální policejní písemnosti, včetně předvolání k výslechu. Žena si navíc ověřila, že osoba, o níž bylo hovořeno, je skutečně vedena v policejních databázích jako hledaná. Tím byla její důvěra dále posílena,“ vysvětluje mluvčí.
Zloději zkrátka ženu přesvědčovali, že spolupracuje s policií a pomáhá odhalit organizovanou trestnou činnost. Při tom jí navíc naznačovali, že pokud nebude postupovat podle pokynů, může nést odpovědnost.
„Po přibližně hodině hovor převzal další muž, rovněž vystupující jako policista, a následně byl telefonát přepojen na údajného pracovníka České národní banky. Ten ženu upozornil, že na její jméno byla podána další žádost o úvěr, a zdůrazňoval nutnost okamžitého řešení. Tvrdil, že pokud nebude postupovat podle pokynů, hrozí jí finanční ztráta i odpovědnost za vzniklou škodu,“ pokračuje v popisu policistka.
Falešný Křetínský i Pavel
Po několika hodinách telefonátů, pod tlakem a v obavě z finanční ztráty si tak žena skutečně sjednala úvěr ve výši několika set tisíc korun. Peníze podle instrukcí převedla na jiný účet a začala vybírat hotovost. Následně byla instruována, aby hotovost vybrala a předala „kurýrovi České národní banky“, který měl peníze uložit do bezpečnostního depozitu.
„V Ústí nad Labem předala na veřejném místě neznámému muži téměř 250 tisíc korun. O několik hodin později v Teplicích předala stejnému muži dalších přibližně 400 tisíc korun. Celkem tak v hotovosti odevzdala kolem 650 tisíc korun. Další prostředky, bezmála 100 tisíc korun, převedla na účet označený podvodníky jako ‚depozitní‘. Další převod už banka z bezpečnostních důvodů zablokovala,“ doplňuje Kubíčková. Až po návratu domů a následné konzultaci s rodinou začala mít pochybnosti o pravosti celé komunikace. Obrátila se proto na linku 158 a věc oznámila policii…
Loňský rok zkrátka potvrdil, že kybernetická kriminalita je stále na vzestupu a e-šmejdi používají vedle klasických způsobů útoků, jako jsou podvodné telefonáty a e-maily o falešných výhrách a dědictvích, i mnohem složitější podvody, kde využívají umělou inteligenci nebo takzvaná deepfake videa. Na nich například vysocí politici nebo známé osobnosti, jako třeba Petr Pavel, Andrej Babiš nebo Daniel Křetínský, nabízejí výhodné investice, což je samozřejmě podvod.
Že se svět kyberpodvodů nezpomaluje, mi potvrzuje také Dalibor Lukeš, šéf ICT oddělení ve společnosti Vodafone Business. Ten se zaměřuje právě na digitální kriminalitu, podle něj jsou Češi ve světě známí mimo jiné tím, že často naskakují na „romantické podvody“. Falešným milencům a milenkám posíláme až desítky miliónů. „Bohužel jsem se s tím v práci také setkal, tenhle podvod se už vyvinul a má i pokračování. Poté, co vás virtuální milenec – může to být třeba falešný lékař, voják, slavná osobnost – obere o peníze, vás ještě předhodí známému: investičnímu poradci. Prostě vás vytipují jako oběť, která se dá snadno zlomit,“ popisuje Lukeš.
Gangy a darknet
Firmy se podle experta často setkávají s případy vydírání. Hackerské útoky si totiž může každý snadno objednat, staly se reálnou službou na darknetu, tedy anonymizované a zašifrované formě internetu, kde se dají například objednat drogy či zbraně. A také „hacky“, jež mohou být jako u zmíněného romantického podvodu vícestupňové.
„Nejdřív firmě řeknou, ať zaplatí výkupné a budou mít klid. Po zaplacení sice přijde klíč k zašifrovaným dokumentům, ale také další výhrůžka. A to, že data zveřejní na darknetu, pokud jim nedají víc peněz,“ dodává Lukeš.
Vystavení dat a následné „aukci“ na darknetu se nevyhnulo velké množství firem. Podle bezpečnostních expertů ale u naprosté většiny z nich nedošlo k medializaci. Známý je například útok na město Olomouc, nepotvrzená, avšak pravděpodobná zpráva z roku 2021 tvrdila, že na Dark Webu jsou k dispozici uniklá data společnosti Gordic, která je významným dodavatelem služeb pro státní správu a silové složky.
Darknet často monitoruje také policie, sleduje třeba aktivity různých hackerských gangů, aby dopředu věděla, že ukradly data nějaké firmě a chystají se je vydírat. Dohledání ale bývá těžké, darknet je ze své podstaty takřka stoprocentně anonymní. Většinou tak jde o mezinárodní spolupráci, je zapojený Interpol, Europol a další. „Bývají to velké a dlouhé akce, kdy na konci dochází k rozbití a zatýkání celých gangů,“ uzavírá expert.
Techniky podvodníků
- Nabídka výhodné investice: Přesvědčivá lákavá reklama a manipulativní jednání. Cílem pachatele je vylákat z oběti co možná nejvíce finančních prostředků a využívá k tomu přirozenou ziskuchtivost každého z nás.
- Podvodné navolávání: Pachatel se vydává například za bankéře, policistu, pracovníka technické podpory a snaží se z lidí pod vlivem strachu vylákat peníze nebo vzdálený přístup do zařízení oběti, který následně zneužije.
- Reverzní inzertní podvod: Pachatel zareaguje na váš inzerát. Podstrčí vám fiktivní platební bránu, kde vyplníte citlivé bankovní údaje a místo peněz za inzerované zboží přicházíte o všechny úspory.
- Falešná rodina: Nové číslo se hlásí jako člen rodiny v nesnázích. Potřebuje rychle peníze. Většinou na účet v zahraničí.
Tento článek je součástí balíčku PREMIUM.
Odemkněte si exkluzivní obsah a videa!
