Manifest: Moderní bezpečnost nestojí na lidech, ale na systému. Jak s nízkými náklady zastavit telefonní podvody

Telefonní podvody (vishing) se staly jedním z největších bezpečnostních rizik pro běžné občany. Scénáře útočníků jsou stále agresivnější, využívají data z masivních úniků, klonování hlasu pomocí AI a špičkové sociální inženýrství. Reakce státu a bank? Nekonečné, drahé preventivní kampaně s nulovým dopadem. Počet obětí i škody dál rostou.

Chyba totiž není v lidech. Skutečné systémové selhání tkví v tom, jak je dnes nastavena důvěra mezi občanem, bankou a státem. Celá obraná linie stojí na absurdním předpokladu: že běžný člověk dokáže sám v reálném čase bezpečně rozpoznat, zda osoba na druhém konci drátu skutečně zastupuje instituci, za kterou se vydává.

Glitch v lidském mozku: Odpovědnost přenášíme na unavenou oběť

Současná doporučení typu „zavěste“„zavolejte zpět“ nebo „nikomu nevěřte“ jsou sice správná, ale alibistická. Řeší až důsledek, nikoliv příčinu. Přenášejí odpovědnost za ověření identity na člověka, který je pod tlakem, v akutním stresu a často nemá dostatek technických znalostí.

Útočníci neútočí na technologie, útočí na lidskou psychiku. Využívají momenty, kdy je člověk unavený, přehlcený chaosem běžného života, kdy přijde z práce a doma mu začíná druhá šichta. V takovém stavu kritické myšlení vypíná, mozek přepíná do nouzového režimu a racionální uvažování jde stranou. Nutit člověka v tomto rozpoložení dělat forenzní analýzu hlasu a telefonního čísla – které lze dnes přes VoIP (spoofing) triviálně podvrhnout – je designové selhání systému.

Proč v roce 2026 stále ověřujeme identitu státních institucí a bank stejně jako před třiceti lety, když máme kompletní infrastrukturu eGovernmentu a BankID?

Není potřeba stavět drahé systémy na zelené louce. Všechny stavební kameny máme na stole. Stačí je jen správně propojit do architektury, která zneužití lidského faktoru technicky znemožní.

Koncept „Trojnožky důvěry“

Základem moderní kyberbezpečnosti není vytvořit neprolomitelný systém, ale dramaticky zvýšit cenu útoku (cost to attack). Dnes útočníkovi stačí zmanipulovat jeden komunikační kanál – telefonní hovor. Pokud však vytvoříme „trojnožku důvěry“, musel by útočník ve stejný okamžik kompromitovat telefonní linku, státní infrastrukturu i bankovní aplikaci. To se mu pro plošný útok ekonomicky ani technicky nevyplatí.

Základním stavebním kamenem tohoto řešení je centralizovaný backend (router notifikací) provozovaný státem pod hlavičkou DIA. Aby se však systém masivně adoptoval, občan by si mohl po schválení přístupů dobrovolně aktivovat ověřovací vrstvu skrze Českou bankovní asociaci (ČBA) – tedy přímo ve své bankovní aplikaci (George, Air Bank, ČSOB Smart apod.).

Jak to funguje v praxi?

Pokud policista nebo úředník potřebuje občana kontaktovat, ještě před samotným hovorem (nebo reaktivně na vyžádání během hovoru z terénu) vygeneruje v interním systému žádost o komunikaci. Občan, který má úředníka na telefonu, otevře aplikaci eGovernmentu nebo své mobilní bankovnictví. Pokud aplikace nic nevidí, není důvod v hovoru pokračovat. Pokud ano, zobrazí se konkrétní, strukturovaná data:

Policie České republiky

KŘP Praha

nprap. Jan Novák

Služební číslo: XXXXX

Důvod kontaktu:

Ověření identity před telefonickým úkonem.

Referenční kód:

4A92-DL18

[ ✔ Potvrdit ]        [ ✖ Odmítnout ]

Klíčem je, že uživatel kód bezhlavě neodklikává, aby mu zmizela pushka. On ten kód v aplikaci očekává, protože mu ho člověk na druhé straně telefonu právě čte do ucha. Pokud se kód shoduje s tím, co slyší v telefonu, co potvrzuje stát v eGovernmentu a co propisuje banka do své aplikace, je vyhráno.

Co když není signál? Žádné SMS, buď internet, nebo konec

Častým argumentem proti mobilní autorizaci je závislost na stabilním internetovém připojení. Nabízí se sice myšlenka použít jako zálohu klasickou SMS, ale to je obrovská bezpečnostní past. Stejně jako lze přes VoIP podvrhnout telefonní číslo volajícího, lze dnes triviálně podvrhnout i odesílatele SMS (SMS spoofing). Útočník by vám tak mohl falešný kód poslat sám a zpráva by se v telefonu zařadila do legitimního vlákna vaší banky. SMS jako ověřovací kanál musí definitivně zemřít.

Pokud není datový signál, existuje pouze jediné bezpečné offline řešení: interní kryptografický token vygenerovaný přímo v bezpečnostním čipu telefonu (Secure Enclave). Pokud telefon nedokáže offline vygenerovat a ověřit shodu se státním klíčem, nebo pokud nastane kompletní výpadek systémů, platí jediné nekompromisní pravidlo: Hovor se okamžitě ukončuje. Bez autorizovaného digitálního protokolu konverzace neexistuje. Žádné výjimky typu „máme výpadek, ale věřte mi“ systém nesmí dovolit. Pokud nejsou podmínky pro bezpečné ověření, prostě se položí telefon a hovor se odloží. Tečka.

Edukace jako pilíř, ne jako otravný spam

Preventivní kampaně v televizi nebo na letácích selhávají, protože míjejí cílovou skupinu v momentě, kdy je pozorná. Druhým pilířem bezpečnosti proto musí být pasivní, ale systematická edukace integrovaná přímo v aplikacích, které lidé denně používají.

Řešením je dohoda mezi DIA a ČNB o povinném zařazení krátkých edukativních bloků přímo před přihlášení do bankovnictví nebo Portálu občana. Jednou za půl roku by uživateli naběhlo krátké, maximálně 30sekundové video ukazující reálné, aktuální typy útoků a manipulací (včetně nastupujících deepfakes).

Aby to uživatele zbytečně netrestalo a nebylo to kontraproduktivní, v nastavení by měla existovat možnost tuto funkci trvale vypnout. V základu by však byla aktivní a video by bylo možné přeskočit po 5 sekundách. I těch pět sekund vizuálního kontaktu s reálným bezpečnostním rizikem jednou za půl roku zanechá v podvědomí hlubší stopu než statické plakáty na pobočkách.

Datové schránky: Když špatné UX zabíjí bezpečnost

Paralelním příkladem toho, jak stát selhává v pochopení lidského chování, jsou Datové schránky (ISDS). Z pohledu informační bezpečnosti jsme svědky naprosté katastrofy: desetitisíce živnostníků a občanů běžně předávají svá přihlašovací jména a hesla externím účetním nebo rodinným příslušníkům, aby za ně schránku kontrolovali. Tím kompletně bourají princip nepopiratelnosti identity.

ISDS sice technicky sdílení práv umožňuje, ale proces je natolik uživatelsky nepřívětivý, nepřehledný a byrokratický, že lidé raději zvolí cestu nejmenšího odporu, pošlou heslo v SMSce.

Řešení je přitom jednoduché: ISDS musí být striktně navázané na fyzickou osobu a správa delegování práv musí fungovat na tři kliknutí v mobilní aplikaci. Chci dát účetní přístup k daňovým zprávám? Vyberu její identitu, zaškrtnu oprávnění a potvrdím biometrií. Hotovo za 20 sekund, bez předávání klíčů. Pokud lidem nedáme přívětivé nástroje, budou bezpečnostní pravidla z logiky věci obcházet.

Závěr

Nemá smysl dokola investovat miliony do výuky občanů, aby v polospánku odhalovali technologicky dokonalé podvody. Stát jim musí dát do ruky nástroje, které tuto kognitivní zátěž převezmou za ně. Moderní kybernetická bezpečnost nesmí stát na slepé důvěře v člověka a jeho odolnost vůči stresu. Musí stát na důvěře v chytře navržený systém, který unavenému člověku kryje záda. A právě tímto směrem by se měl český eGovernment vydat.

Před deseti lety bylo technicky i ekonomicky velmi obtížné vytvořit infrastrukturu, která by dokázala propojit státní správu, banky a elektronickou identitu občana. Dnes však většina těchto systémů již existuje. Neřešíme tedy, zda je něco technicky možné. Řešíme především to, zda jsme ochotni propojit již vybudované služby do jednoho bezpečnostního ekosystému.

Česká republika již disponuje několika důvěryhodnými prostředky digitální identity, jako jsou mojeID, Bank iD, eObčanka nebo Identita občana. Navrhované řešení by podle mého názoru mělo být na těchto existujících technologiích postaveno, nikoliv vytvářet další paralelní systém.

Píše se tam, že když mi někdo volá a straší mě, že mi kradou peníze, tak jsem unavený z práce a z druhé šichty doma (to jako fakt, včera jsem dělal koupelnu a byl jsem KO!). A prej je chyba toho státu, že po mně chce, abych poznal, jestli je to fakt policajt. No jasně že jo! Jak to mám asi poznat, když mluví jako policajt? Takže tady s pánem souhlasím, já za to nemůžu, může za to systém!

2. Ta trojnožka (nebo co to je)

Pak je tam podnadpis „Trojnožka důvěry“. Jako… trojnožku znám z ryb, na tom visí kotlík na guláš. Ale tady prej:

  • Volá policajt.
  • Já musím otevřít aplikaci George nebo Air Bank (mám Air Bank, tak dobrý).
  • A tam na mě vyskočí nějaká tabulka s kódem.

Počkej, ale já tomu nerozumím. Když mi ten policajt volá, tak přece nemůžu koukat do mobilu na aplikaci, ne? Vždyť ten mobil mám u ucha! To jako mám ten hovor přepnout na hlasitý odposlech, nebo si ten mobil vyndat z ucha, abych si to přečetl? A co když se mi ta bankovní apka bude zrovna dlouho načítat, protože tam nemám signál? Ten policajt přece nebudu čekat, až se mi tam ukáže nějakej kód 4A92-DL18 (to mimochodem vypadá jako heslo na Wi-Fi, to si v životě nezapamatuju).

3. Ten konec s těma esemeskama a čipem

Tady už jsem se úplně ztratil. Píše se tam: „SMS jako ověřovací kanál musí definitivně zemřít.“ Jak umřít? Vždyť mně když přece nejde internet, tak mi babička normálně píše SMSku a ta mi přijde! Proč by nemohla přijít SMSka s kódem?

A prej: „kryptografický token vygenerovaný přímo v bezpečnostním čipu telefonu (Secure Enclave)“. Cože? Moje Motorola má v sobě nějakou enklávu? Já myslel, že enkláva je kus státu v jiným státě (jako Vatikán). Jak může mít telefon v sobě Vatikán, kterej generuje tokeny offline? To jsou nějaký bitcoiny?

A když to nepojede, tak mám prostě položit telefon. No jo, ale co když mi fakt volali z té policie, že mi někdo vybral účet, já to položím, protože mi v té enklávě nevyskočil ten token, a oni mi ty peníze fakt ukradnou? Kdo mi to pak zaplatí? Ten autor článku?

4. Ta videa a ty schránky

To s tím videem před přihlášením… jakože já chci rychle poslat peníze na složenku a než mě to pustí do banky, tak mi tam stát pustí nějaký video o podvodech? No to bych ten mobil vyhodil z okna. Ještě že to prej půjde vypnout.

A ty datové schránky,… já ji sice nemám, ale soused říkal, že to je hroznej vopruz, tak dal heslo svý účetní, protože tomu nerozumí. A autor píše, že má ta účetní mít přístup na tři kliknutí. To jako ta účetní uvidí do mýho mobilu? To bych teda nechtěl, aby mi cizí ženská lezla do telefonu přes nějakou sdílenou identitu.

Verdikt:

Jako píše se tam, že za to lidi nemůžou, což je super, protože se aspoň necejtim jako blbec, když mě minule málem napálili na Vintedu. Ale ten zbytek… ty tokeny, enklávy a trojnožky… to je na mě moc technický. Podle mě by prostě stačilo, kdyby policajti zkrátka nevolali a poslali dopis s pruhem. To funguje sto let a žádnej čip v telefonu k tomu nepotřebuju!


Comments

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *