Lukáš Wolf aka Veredico

Automatizovaná psychologická válka: když LLM + OSINT + orchestrace nahradí „ruční“ sociální inženýrství

by

veredico
in , ,

Fikce inspirovaná reálnými metodami sociálního inženýrství. Pokud jste citliví na témata ztráty, zvažte opatrnost. Nejedná se o návod nebo nabádání!

Byl pozdní večer, první máj, večerní máj, byl útoku čas.

Alenka přišla domů, unavená jak kočka, která se stará o mláďata. Hodila kabelku na židli, svlékla boty a zamířila k počítači. Chtěla si jen zkontrolovat svůj oblíbený portál a vypnout hlavu po dlouhém dni. Místo toho našla frontu divných zpráv a komentářů.

Nejdřív to vypadalo jako hloupý vtip: pár posměšků v komentářích, nějaké pomluvy. Pak se to rychle zhoršilo. Lidé na sociálních sítích se začali smát. Některé zprávy byly jen hloupé, jiné zákeřné. Alence naskočila husí kůže.

 „To je nějaký vtip?“ pomyslela si. Květen? Apríl? Ne, nesedělo to.

Za chvíli objevila profil, který se tvářil jako ona, stejné fotky, stejné detaily, dokonce i telefonní číslo. Ten falešný účet nabízel služby, které Alenka nikdy neposkytovala. „Co to sakra je?!“ vyšlo z ní nahlas do prázdné kuchyně.

Matka jí napsala na sociální síti: „Zklamala jsi nás, říkat o naší rodině tyhle odpornosti, že se nestydíš!“ Nejlepší kamarádka poslala SMS: „Proč se pokoušíš svést mého muže?! Jsi normální?! Co jsem ti provedla?!“ A pak přišly další zprávy, urážky, výhružky, trapné fotky, které Alenka nikdy nepořídila.

V e-mailu našla další důkaz chaosu: z její schránky odcházely zprávy, které sama neodeslala. Byly tam interní e-maily s informacemi z firmy, dokumenty, které měly zůstat soukromé. A vedle toho hromadné rozesílky s žádostmi o platby za služby, které Alenka nikdy neposkytla. Názvy subjektů, IČO, všechno sedělo, jako by někdo sestavil falešnou administrativu jen proto, aby to působilo reálně.

Alence se zatočila hlava. Věděla, že její heslo nebylo nejlepší, ale nečekala, že jí někdo takhle zničí život. Přemýšlela, komu by se to vyplatilo? Proč právě jí?

Najednou začaly přicházet hovory. „Ahoj krásko, koukám na tvé fotky, tady na hambatém portálu, rád bych se dnes za tebou zastavil,“ řekl první hlas. Pak druhý, třetí. Alenka vypla mobil a brečela v tichém bytě.

Druhý den, když si šla udělat kávu a hledala manžela, tak si prohlédla ledničku a našla tam vzkaz: „Nechci s tebou zůstávat, když mě už tolik let podvádíš.“ Pod ním ležely fotografie, snímky, které vypadaly, jako by zachycovaly Alenku v polibku s jinými muži, fotky které manželovi přišli do emailu. Fotky, které se nikdy nestaly.

Po kávě a breku šla Alenka do práce. Hned u dveří ji odvedl generální ředitel do kanceláře. „Musíme to řešit,“ řekl stručně. „Nechápu proč o naší firmě píšeš na internetu tak negativně, očividně jsi u nás po těch letech nešťastná!“ Firma nechtěla další skandál, další negativní publicistiku. Bez velkého vyšetřování padla výpověď. Alenka stála s hlavou plnou otázek a prázdným pohledem. Na internetu viděla komentáře z profilu, který vypadal jako ten její, ale ona to nebyla.

Když se vrátila domů, zazvonil telefon. Na displeji svítilo slovo POLICIE. „Dobrý den, paní Novotná, tady podplukovník Omáčka,“ oznámil hlas. „Máme informaci z banky, že váš účet je napaden. Připravte si prosím podklady, za chvíli vám zavolá pracovník banky.“

Zmatená Alenka posbírala vše, co po ní žádali… Doklady, výpisy, hesla. Když volal „technik“ z banky, působil věrohodně. Mluvil klidně a odborně: přesun peněz na „bezpečný“ účet nebo sdělení přístupových údajů, aby se účet ochránil. Alenka, vystresovaná a ztracená, udělala to, co jí řekli.

Alenka během pár dní přišla o všechny 3 pilíře štěstí. Přišla o peníze. Přišla o práci. Přišla o důvěru rodiny a přátel. Ten večer se Alenka už nevrátila ze své stinné místnosti.

Útočník mezitím klidně sledoval výsledky. V garáži nebo v pronajatém serverovém boxu poslouchal, jak se šíří chaos, a zadal další úkol svému skriptu: „Další cíl, začni.“ Kde nebyl žalobce, nebyl ani soud. Kde nebyl důkaz, byla jen zkáza.

„Představte si, že během dvou dnů ztratíte kontrolu nad vaší online identitou: falešné hovory od vašeho šéfa, e-maily, které „vědí“ o vaší rodině, a příkazy k převodu peněz, které vypadají legitimně. Nejde o sci-fi, je to scénář, který lze dnes automatizovat. Pokud po přečtení těchto pár odstavců nevyměníte hesla a nenastavíte dvoufaktor, neudělali jste nic.“

  1. Změňte hesla – použijte manager (Bitwarden/1Password/…); jedinečné, 12+ znaků.
  2. Zapněte hardwarové MFA (FIDO2 / security key) pro e-mail a banku, ne jen SMS.
  3. Odstraňte uložené platební metody z cizích služeb; ověř transakce telefonicky.
  4. Zkontrolujte přihlášení v účtech (Google, Apple, Microsoft) – odhlaste neznámá zařízení.
  5. Nainstalujte aktualizace OS a prohlížeče; vypněte nepotřebné pluginy.
  6. Naučte se rozpoznat phishing: před klikem hover na odkaz, ověř doménu.
  7. Omezte sdílení osobních údajů (rodiny, data narození, škol), vyhledejte a smažte z people-search.
  8. Zaveďte pravidlo „ověř přes jiný kanál“ u citlivých požadavků (telefon + mail = OK).
  9. Zvažte interní phishing test pro firmu, škola s nácvikem chování.
  10. Zálohujte kritická data offline a zakódujte zálohy.

Co se vlastně stalo?


Jak by mohla vypadat „AI kampaň“ proti člověku – bez lidské práce

1. Data – palivo pro stroj

U Alenky by model během pár minut poskládal její osobní i pracovní profil – bez lidského zásahu.

Veřejný internet, úniky, sociální sítě, staré diskuze.

AI umí procházet obrovské objemy textů a z nich vytáhnout fakta: jména, vztahy, emoce, styl psaní, slabiny.

2. Model – mozek, který se neučí empatii

Když se spojí s jednoduchým skriptem, dokáže psát personalizované zprávy, reagovat na odpovědi a postupně přitvrzovat tón.

Jazykový model nepotřebuje chápat, proč něco dělá. Stačí mu metrika úspěchu: kolik lidí odpoví, klikne, reaguje.

3. Orchestrace – rozesílání a koordinace

Celé to vypadá, jako kdyby se proti oběti obrátilo „veřejné mínění“, ale ve skutečnosti je to automatizovaná laboratoř chaosu.

Boty mohou spravovat stovky účtů na různých platformách.

Každý účet má jiný jazyk, styl, věk, region. Model sám zvolí, která verze funguje nejlépe, a tu rozšíří.

4. Falešná identita a vizuální realismus

V očích lidí, kteří ji znali, se stane „důkazem“, že je viníkem.

Obrázky, které Alenka nahrála na Instagram, může model zkombinovat, upravit, zasadit do jiného kontextu.

Deepfake systémy zvládnou během hodin vytvořit video nebo fotku, které působí důvěryhodně.

5. Automatická adaptace

Každý úspěch se stává novým tréninkovým vzorkem, model se učí, jak lámat další lidi.

Systém sleduje reakce oběti i okolí: kdo odpovídá, kdo ji brání, kdo mlčí.

Když vidí, že se brání, přejde k rodině nebo zaměstnavateli.

6. Sociální amplifikace

Stroj už jen přihazuje polínka: generuje obsah rychleji, než člověk dokáže reagovat.

Stačí falešné recenze, příspěvky, komentáře.

Algoritmy sociálních sítí milují konflikty, a tak útok sám posílí.

7. Finální fáze – napodobení autority

Volající s perfektním českým přízvukem a „správnými“ frázemi zní důvěryhodněji než skutečný úředník.

AI umí napodobit jazyk policie, banky, advokáta.

Automaticky vyhledá veřejně dostupné e-maily institucí, přidá falešné hlavičky, hlasy, loga.

8. Účinnost – proč to funguje

Protože většina z nás pořád věří, že „něco takového se mi nestane“.

Protože lidé reagují rychleji na strach, stud a vinu než na logiku.

Protože systém nikdy nespí, nikdy není unavený a nikdy necítí výčitky.

Obranný rámec (bez kódu, jen zásady)

posílit reflex „ověř, nepanikař“.

Technologická obrana:

silné ověřování (FIDO2), segmentace sítí, pravidelná rotace klíčů, DMARC/SPF/DKIM.

Organizační obrana:

krizová komunikace, postupy při napadení identity, rychlé hlášení podvodu.

Psychologická obrana:

školit rozpoznání nátlaku: urgentní tón, izolace, autorita, hrozba.

Can I apply to be a part of the team or work as a contractor?

Études offers comprehensive consulting, management, design, and research solutions. Our vision is to be at the forefront of architectural innovation, fostering a global community of architects and enthusiasts united by a passion for creating spaces. Every architectural endeavor is an opportunity to shape the future.

Scéna 1 – Falešný profil a první vlny ostouzení

Krátce: někdo vystaví “Alenčin” profil na erotickém / škodlivém webu, doplní fotky, číslo a odkazy. Okamžitě to začne rezonovat v okolí.

Co se stalo:

  • Útočník zkompiloval veřejné fotografie a metadata (profilové fotky, EXIF, veřejné posty) a vytvořil falešný účet se sociální vazbou (přátelé, komentáře), aby vypadal legitimně.
  • Sdílení a virální šíření spustilo kaskádu notifikací na sociálních sítích a textových kanálech.

Signály / indikátory:

  • Nové účty používající stejné (nebo odvozené) fotografie s novými e-maily/telefony.
  • Nárůst zmínek/jmenování na sociálních sítích s negativním sentimentem.
  • Zprávy od kontaktů, které potvrzují, že dostávají podezřelé kontakty.

Obrana, co udělat hned:

  • Požádej platformu o rychlé zablokování/označení účtu (report abuse, identity impersonation). Dá se to urychlit e-mailem podpora + screen + ID.
  • Aktivně komunikuj s okolím, jeden ověřený kanál (např. firemní e-mail nebo SMS z ověřeného čísla) s jasným prohlášením, že profil je falešný.
  • Zálohovat důkazy: screenshoty, URL, headers, časy. (Neodstraňovat nic, co může být důkazem.)
  • Zapnout alerty na zmínky jména/domény (Google Alerts, zmínkové služby).

Scéna 2 – Kompromitace e-mailu a falešné hromadné rozesílky

Krátce: e-mail účet vykazuje aktivitu, z mailu odcházejí zprávy s interními informacemi a falešné fakturace.

Co se stalo:

  • Účet byl kompromitován (pravděpodobně slabé heslo / reuse / dřívější únik). Útočník posílá e-maily, které vypadají jako interní komunikace, a využívá je k finančnímu zisku (falešné objednávky, “urgentní platby”).
  • E-mailová infrastruktura (relay / from-address) umožnila doručení s důvěryhodným vzezřením.

Signály:

  • Neobvyklé odchozí e-maily v logu (v časech, kdy obvyklá činnost není).
  • Bounce/complaint notifikace od třetích subjektů, platby/žádosti z neznámých účtů.
  • Změny v konfiguraci emailu (forwardy, přidání pravidel pro přeposílání).

Obrana – co udělat hned:

  • Izolovat účet: odhlásit se ze všech session, reset hesla z čistého zařízení, vypnout automatické forwardy.
  • Zapnout/požadovat phishing-resistant MFA (FIDO2/hardwarové klíče) pro všechny kritické účty.
  • Nasadit preventivní opatření v mailu: DMARC/SPF/DKIM a outbound DLP pravidla (sledování neobvyklých přiložených souborů a masových rozesílek).
  • Zablokovat podezřelé platby a zahájit interní forenzní audit (zachování logů, snapshoty).
  • Informovat partnery/klienty s jasným potvrzením kompromitace a instrukcemi, jak ověřovat platby.

Scéna 3 – Multikanálový tlak (SMS, hovory, notifikace)

Krátce: oběť obdrží vlnu volání a SMS; někdo jí volá jako „policie“, pak „banka“, klasický vishing + spoofing.

Co se stalo:

  • Útočník použil více kanálů současně: falešné SMS, VoIP hovory s display spoofingem (zobrazení „POLICIE“), a sociální zprávy. Cíl byl dezorientován a donucen k rychlé reakci.
  • Využití kanálů, kterým lidé stále důvěřují (telefonní hovor, bankovní linky).

Signály:

  • Neznámé hovory s naléhavými požadavky (urgency).
  • Spoofované čísla, volání v krátké posloupnosti z různých zdrojů.
  • Žádosti po přesunu peněz nebo sdílení SMS kódů.

Obrana – co udělat hned:

  • Nikdy neposkytovat ověřovací kódy / přístup po telefonu. Vždy call-back na oficiální číslo (nezadané v příchozím hovoru).
  • Interní ověřovací postup pro bankovní transakce: žádná transakce bez 2-kanálové verifikace a bez call-back na předem uložené číslo.
  • Nastavit u banky a klíčových služeb „fraud alert“ a limity pro odchozí transakce.
  • Záznamy o hovorech: pokud je hovor „policie“, ověřit přes oficiální linky -policie nikdy nezačíná řešení finančních převodů tímto způsobem.

Scéna 4 – Psychologický kolaps, reputace, pracovní dopady

Krátce: falešné materiály udeří v osobní i profesní rovinu, manželství se rozpadá, zaměstnavatel propustí Alenku, veřejnost odsoudí.

Co se stalo:

  • Reputační útok (defamation + doxing) spojený s technickou kompromitací vytvořil snadno věrohodný narativ. Zaměstnavatel reagoval reflexivně (reputace firmy nad zaměstnancem).

Signály:

  • Náhlý nárůst negativních zmínek, recenzí, záporných médií.
  • Interní eskalace ze strany managementu („musíme to řešit rychle“), impulzivní rozhodnutí (suspend/termination).

Obrana – co udělat hned:

  • Krizová komunikace: připravený skript/statement pro zaměstnavatele a veřejnost, vyjasňující stav (falešné účty / kompromitace).
  • Interní „hold“ na rozhodnutí o zaměstnání dokud není proveden forenzní audit, nenechat paniku řídit HR rozhodnutí.
  • Poskytnout psychologickou podporu postiženému (krizová linka, terapeutická pomoc).
  • Právní konzultace ohledně defamace a možnosti vydání příkazu k odstranění obsahu.

Scéna 5 – Finanční odliv a „autorita volá“

Krátce: oběť je instruována přes falešné bankovní/úřední kanály převést peníze. Finanční ztráta komplet.

Co se stalo:

  • Útočník připravil přesvědčivý příběh (policie → banka → technik) a získal přístupové kódy/autorizační SMS, následně inicioval převody.

Signály:

  • Žádosti o sdílení OTP nebo přístupů.
  • Neobvyklé odchozí platby nebo žádosti o převod na „nouzový účet“.
  • Rychlé, panické volání s instrukcemi, které oběť napodobuje.

Obrana – co udělat hned:

  • Bankovní limity a hold: nastavit maximální částky bez zrychleného ověření a možnost okamžitého „freeze“ transakcí.
  • Banka by měla mít ověřovací rutinu: vždy call-back přes číslo v know-listu a dohled nad transakcemi.
  • Vzdělávání veřejnosti: nikdy neposkytovat OTP nebo přístup přes telefon.
  • Pokud dojde k převodu: okamžitě kontaktovat banku, nahlásit podvod, žádat o stop/payback, paralelně kontaktovat policii.

Scéna 6 – Exfiltrace + kompromitace CI / dodavatelského řetězce (konečný technický dopad)

Krátce: kompromitace e-mailu / účtu vede k dostupu do firemní infrastruktury → falšování faktur / zavedení backdooru → masivní škody.

Co se stalo:

  • Řetězec práva: přístup k jedné službě (mail) umožnil dalším pivotům (CI, SSO, VPN). Útočník postupoval podle privilegovaných cest, které organizace poskytla.

Signály:

  • Nové service-accounty/webhooky v CI, nové SSH klíče, neobvyklé deploye.
  • Nárůst přístupů do interních repozitářů z neznámých IP.
  • Neočekávané změny v konfiguraci.

Obrana – co udělat hned:

  • Princip least-privilege: omezení, co každý účet může dělat.
  • Centralizovaný secret manager + okamžitá rotace na podezření.
  • Auditní logy + immutable snapshoty (forenzní konzervace).
  • Testované, air-gapped zálohy pro rychlé obnovení bez kompromitace.

Incident response – co dělat okamžitě (shrnutí)

  1. Izolovat postižené účty/zařízení.
  2. Zabezpečit přístupy (rotace hesel/klíčů z čistého zařízení, zapnutí FIDO2).
  3. Konzervovat důkazy: logy, snapshoty, screenshoty; neprovádět destruktivní akce.
  4. Komunikovat: interní oznámení, notifikace partnerům/klientům, jasný jednokanálový statement.
  5. Kontaktovat banku & policii: nahlásit finanční podvod a/nebo vydírání.
  6. Psychologická péče: oběť má nárok na okamžitou podporu.
  7. Post-mortem: zveřejnit indikátory útoku (IOCs) anonymizovaně pro threat-sharing.

Krátký checklist pro jednotlivce i firmy (co nastavit DNES)

  • Phishing-resistant MFA (hardware klíče) pro e-mail + SSO.
  • DMARC/SPF/DKIM a outbound e-mail filtering / DLP.
  • Limitování a kontrola finančních transakcí (call-back / 2-kanálová verifikace).
  • Secrets vault + pravidelná rotace klíčů.
  • SIEM/UEBA alerty na odchozí anomálie (SMTP/VoIP spikes, nové webhooks).
  • Pravidelné školení o nátlakových taktikách a simulace (s debriefem a psych. podporou).
  • Incident playbook + právní kontakt + krizová komunikace.

Závěr – morální a společenské poselství (krátce a bez omáček)

Tenhle útok není „technický detail“ v izolaci. Je to orchestr: data + psychologie + škálování. Technologie zrychlí úder, ale skutečnou smrtící ránu dává kombinace tlaků na lidskou mysl a nedostatečné organizační reflexy.

Neexistuje jediné kouzelné tlačítko, které tě ochrání – ale existuje celá sada opatření, která spolu fungují. Když je ignoruješ, riskuješ Alenku. A to už není jen hypotéza.

Comments

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *