Proč je 99 % podvodů stále funkčních?
V oblasti IT bezpečnosti platí jedno zásadní pravidlo: největší slabina je mezi židlí a klávesnicí. Zatímco organizace investují do firewallů, antivirů a AI systémů pro detekci hrozeb, většina podvodů stále funguje díky manipulaci uživatele.
Technologicky se podvodníci nikam neposunuli, stále používají podvodné weby, falešné e-maily, telefonický phishing a falešné reklamy. Co se ale změnilo, je rozsah a efektivita těchto útoků, což je přímo propojeno s absencí masového vzdělávání o sociálním inženýrství.
Problém školství: Absence výuky kybernetické bezpečnosti
Jedním z klíčových problémů, proč jsou internetové podvody tak efektivní, je naprostá absence výuky kybernetické bezpečnosti v běžném vzdělávacím systému. Zatímco se děti ve školách učí základy matematiky, fyziky nebo chemie, kritické myšlení v digitálním světě je ignorováno. Většina školních osnov se stále soustředí pouze na základy ovládání počítače, Microsoft Office a programování, ale nikdo neučí rozpoznávání podvodů, ochranu osobních údajů nebo prevenci sociálního inženýrství. To vede k situaci, kdy mladí lidé, kteří jsou technicky zdatní, stále nedokážou rozpoznat phishing, podvodné e-shopy nebo vishingové útoky. Pokud by školství systematicky zahrnulo vzdělání v oblasti kybernetické bezpečnosti, mohla by se většina podvodů eliminovat už v zárodku, protože by útočníci ztratili svůj hlavní cíl neinformované uživatele, kteří se snadno manipulují.
Kapacitní problém policie: Když jeden podvodník přebije celý systém
I když má policie specializovaná oddělení pro kybernetickou kriminalitu, naráží na zásadní kapacitní limity. Podvodníci operují mnohem rychleji, než je schopný systém reagovat, což znamená, že i když je pachatel identifikován, vyřešení celého případu je prakticky nemožné.
Pokud jeden pachatel spáchá 1000 podvodů, často se stane, že celou kauzu dostane na stůl jediný kriminalista. A tady se ukazuje zásadní matematický problém:
• Reálně má kriminalista k dispozici zhruba 220 pracovních dnů ročně, pokud nepočítáme dovolené, státní svátky, nemocenskou nebo osobní překážky (péče o dítě atd.).
• Neřeší jen jednoho pachatele, ale desítky až stovky různých případů.
• Vyšetřování jednoho podvodu trvá dny až týdny, protože zahrnuje výslechy, shromažďování důkazů, spolupráci s bankami a jinými institucemi.
• Mezitím pachatel dále podvádí, často tempem desítky až stovky podvodů za měsíc, což znamená, že vyšetřovatel nikdy nemůže případ reálně uzavřít, protože objem podvodů stále roste.
V praxi je tedy matematicky nemožné, aby policie stihla zmapovat kompletní činnost pachatele.
Jak se to řeší v realitě?
Jediný způsob, jak pachatele efektivně zastavit, je ho dostat do vazby na jiný trestný čin, například za vulgární chování vůči orgánu činnému v trestním řízení nebo jiný formální přestupek, což se stalo například v kauze Hřebičík. Tento přístup se používá proto, že standardní vyšetřovací proces nemá šanci držet krok s aktivními podvodníky.
Policie tak často pracuje v reaktivním režimu, místo aby efektivně likvidovala podvody v zárodku, čeká na to, až se pachatel sám dostane do situace, kde může být zadržen na základě jiného, rychleji prokazatelného trestného činu.
Jinak se podvodníci dostávají k soudu s obrovským časovým odstupem, a než se dostanou do výkonu trestu, mají už dávno nový systém podvodů, často pod jinými jmény a identitami.
Současný systém vyšetřování kyberkriminality nemůže fungovat efektivně, pokud se nezmění legislativa a přístup k digitálním podvodům. Policisté mají omezené kapacity, vyšetřování se vleče a pachatelé operují rychleji, než je možné je zastavit. Pokud stát nenajde způsob, jak automatizovat detekci podvodů a přizpůsobit vyšetřovací metody moderní době, kybernetičtí podvodníci budou vždy o krok napřed.
1. Podvodné e-shopy a MITM útoky
Scénář
Uživatel objeví reklamu na luxusní boty s výraznou slevou a klikne na odkaz. Stránka vypadá důvěryhodně a má kvalitní grafiku, často kopíruje existující známý obchod. Uživatel provede platbu, ale místo bot dostane padělek nebo nic.
Technické aspekty útoku
Podvodníci využívají několik zranitelností:
1. DNS Hijacking & Typosquatting
• Domény podvodných e-shopů bývají čerstvě registrované, často s drobnými překlepy v názvu známých značek.
• DNS hijacking umožňuje útočníkům přesměrovat uživatele na falešnou verzi legitimního obchodu.
2. SSL certifikáty a HTTPS podvod
• Většina podvodných webů dnes používá HTTPS, což dává uživatelům falešný pocit bezpečí.
• Let’s Encrypt umožňuje podvodníkům získat SSL certifikát zdarma a bez ověření identity.
3. Reklamní podvody (Ad Fraud)
• Podvodníci využívají Google Ads a Facebook reklamy k propagaci falešných obchodů.
• Platformy nejsou dostatečně rychlé při odstraňování podvodných inzerátů, takže mají dostatek času k realizaci podvodu.
Proč je těžké to zastavit?
• Dynamická registrace domén – podvodníci registrují nové domény každých pár dní a staré opouští.
• Pomalé reakce regulátorů – než je web nahlášen a odstraněn, podvodník už má jiný.
• Slabé kontroly reklamních platforem – Google a Facebook sice mají nahlášení podvodných reklam, ale jejich kontrola je nedostatečná.
Možné protiopatření
• Browser rozšíření pro reputaci domén – automatické ověřování stáří domény.
• Heuristická AI analýza podvodných obchodů – například detekce nereálných slev.
• Povinná verifikace pro online platby – ověřování prodávajícího podobně jako na eBay.
2. Telefonický phishing a Spoofing
Scénář
Uživatel je opakovaně kontaktován neznámými čísly. Nejprve jde o neškodné hovory v cizím jazyce, ale později se objeví výhružné telefonáty, například tvrzení, že má být unesen nebo zavražděn.
Technické aspekty útoku
1. Caller ID Spoofing
• Podvodníci falšují telefonní číslo, aby vypadalo jako legitimní české nebo slovenské číslo.
• VoIP služby umožňují generování falešných ID, což obchází běžné blokace.
2. Automatizované generování čísel (War Dialing)
• Útočníci generují sekvence čísel a testují, která jsou aktivní.
• Hovory mohou být automatizované (robotická hlasová zpráva) nebo přepnuté na živého operátora.
3. Psychologický nátlak (Vishing)
• Podvodníci využívají strach a časový tlak, aby oběť přiměli k panice.
• Často předstírají autoritu (policie, bankovní pracovník) nebo manipulují oběť tím, že ji zastraší.
Proč je těžké to zastavit?
• VoIP služby jsou anonymní – není reálná možnost trasování zdroje hovorů.
• Telekomunikační operátoři nenabízejí dostatečnou ochranu – zatímco některé sítě v USA blokují spoofing, v Evropě je ochrana minimální.
• Lidé neznají základní obranné mechanismy – např. že lze čísla reportovat nebo že policie nikdy nevolá a nevyžaduje platby.
Možné protiopatření
• AI detekce hlasových vzorců – automatická blokace známých podvodných frází.
• Privátní blacklisty rizikových čísel – sdílená databáze podvodných volání.
• Ověření hovorů pomocí STIR/SHAKEN protokolu což je standard v USA, ale v Evropě zatím není implementován.
3. Policie a problém masových podvodů
Pokud někdo spáchá jeden podvod, policie ho může vyšetřit. Pokud ale jeden podvodník spáchá 1000 podvodů, tradiční policejní metody přestávají škálovat.
Problémy vyšetřování internetových podvodů
1. Anonymita útočníků
• Podvodníci používají VPN, falešné identity a jednorázové e-mailové adresy.
• Policie často nemá pravomoci pro přístup k záznamům ze zahraničních serverů.
2. Pomalé právní procesy
• Když už je podvodník identifikován, proces extradice nebo soudního řízení může trvat roky.
• Oběti ztrácejí peníze bez reálné šance na návrat.
3. Nízká priorita internetových podvodů
• Policie je zahlcena a internetové podvody mají nižší prioritu než fyzická kriminalita.
• Poškozené osoby často dostávají odpověď: „Bohužel, s tím nemůžeme nic dělat.“
Možná řešení na státní úrovni
• Lepší mezinárodní spolupráce v boji proti internetovým podvodům.
• Zavedení centrální databáze podvodníků a podvodných domén.
• Povinná identifikace při tvorbě e-shopu a online prodejů.
S-Guardian: Myšlenka, která reaguje na realitu digitální manipulace
S-Guardian je stále ve fázi konceptu, který rozvíjím už několik let. Není to jen o kybernetické bezpečnosti v tradičním slova smyslu – jde o komplexní pochopení psychologických manipulací, které ovlivňují každodenní život v digitálním světě.
Zaměřuji se nejen na sociální inženýrství a podvody, ale i na hlubší psychologické faktory:
• Podprahové reklamy a jejich vliv na rozhodování.
• Manipulace influencerů a vytváření nekritického sledujícího publika.
• Lootboxy a gamifikace – využívání dopaminových mechanismů pro udržení závislosti.
• Sociální sítě jako nástroj k formování reality – algoritmy, které posilují bubliny a polarizaci.
Základní myšlenka je jednoduchá: pokud lidé pochopí, jak jsou manipulováni, mohou se začít bránit.
Školství jako klíčový bod obrany
Ano, změna musí přijít od uživatelů, ale hlavní priorita by měla být začlenění těchto znalostí do vzdělávacího systému.
Dnes je situace taková, že některé firmy školí své zaměstnance, aby nepadali do phishingových pastí nebo neotvírali škodlivé e-maily. To je skvělé, ale korporátní školení nikdy neosloví běžného člověka – a už vůbec ne dítě, které tráví hodiny v mobilních hrách a je cíleně udržováno ve stavu závislosti na dopaminových odměnách.
• Dítě, které se od mala učí, že lootboxy jsou normální, si neuvědomí, že jde o hazard.
• Mladý člověk, který vyrostl ve světě ovládaném influencery, nemusí vidět skrytou reklamu a manipulaci.
• Uživatel, který nerozumí tomu, jak fungují algoritmy sociálních sítí, se stává obětí vlastního informačního tunelu.
Tohle není něco, co vyřeší individuální uvědomění – pokud se něco nezmění ve školním systému, budou další generace ještě zranitelnější vůči psychologickým pastem než ty předchozí.
Závěr: Kritické myšlení jako standardní výbava digitálního věku
S-Guardian je myšlenka, která se neomezuje jen na IT bezpečnost, jde o rozšíření vnímání digitálního světa tak, aby si uživatelé uvědomovali, kdy jsou manipulováni, jak jejich chování ovlivňuje technologie a jak si mohou udržet kontrolu nad vlastními rozhodnutími.
Nejde o to, vytvořit jen další bezpečnostní software. Jde o změnu myšlení, a to musí začít ve školách, protože prevence vždy předčí pozdější řešení důsledků. Pokud se generace naučí kriticky přemýšlet, nebudou podvodníci, manipulativní influenceři ani gamifikované závislostní mechanismy tak úspěšné, jako jsou dnes.
Tohle je ta skutečná výzva.
P.S.
Tento článek není útokem na jednotlivé policisty, kteří dělají, co mohou, ale na systémové selhání. Policie potřebuje lepší nástroje, více školení a efektivnější koordinaci s bankami a experty na kybernetickou bezpečnost, jinak budou internetové podvody dál nekontrolovatelně růst.
Napsat komentář