O statisíce nebo i miliony korun přicházejí oběti kyberzločinu. Nejčastěji se hovoří o těch, kdo sami – byť nechtěně – podvodníkům své peníze poslali nebo jim dali přístup ke svému účtu. Ale přinejmenším do svého soukromí dává nevědomky nahlédnout nespočet dalších. O způsob, jak kyberzločin funguje, se zajímali Reportéři ČT Jana Neumannová a Ondřej Golis. Na internetu našli k dispozici i své údaje.
Reportéři ČT: Tu je heslo k e-mailu, tady zase k e-shopu. Obchod s daty je výnosný, podvodníkům prozradí mnoho
Zločinci, kteří oslovují své oběti on-line, se jim snaží namluvit, že jsou někdo jiný – například jejich bankéř nebo blízký přítel – a nakonec z nich vymámí peníze. Ke svým zločinům využívají hlavně to, že oběť důvěrně znají. Seznámí se s ní prostřednictvím digitální stopy, kterou zanechává. Nejsou to jen veřejně dostupné informace například na sociálních sítích, ale i domněle „tajné“ informace přístupné přes různá hesla – která se ale díky únikům dají koupit.
V nabídce je jich skutečně velké množství. Jako kdyby každý člověk na Zemi přišel o jeden a půl údaje. „Křivka nárůstu úniků od roku 2019 prudce roste. V tuto chvíli víme minimálně o dvanácti miliardách záznamů,“ vyčíslil IT expert ze společnosti Czechmate CZ David Havlík.
Důsledkem pak je, že zločinec ví nejen to, jak se jeho oběť jmenuje a jak ji kontaktovat, ale třeba i to, kde pracuje nebo jak se jmenují její blízcí. „Věděli o mně úplně všechno. To bylo pro mě důležité, že jsem si říkala, volá mi někdo z mojí pobočky. (…) O jednom účtu mi řekli, kolik tam je, a opravdu to tak bylo. Věděli přesně, kdo mi kdy poslal jakoukoliv platbu, kde utrácím, kde nakupuji,“ vylíčila žena, která uvěřila podvodníkovi, jenž se vydával za bankéře a namluvil jí, že jsou její úspory v ohrožení. Kvůli tomu vybrala z účtu 320 tisíc korun a vložila je na kryptoměnový účet, k němuž ale měl přístup podvodník, a ne ona.
Digitální stopa na prodej
Daniel Hejda ze společnosti Cyber Rangers ozřejmil, že se útočník mohl dostat k údajům o tom, odkud dotyčná žena je, jakého má internetového poskytovatele a také na jakých stránkách nakupovala. „Podle hesla bylo možné vyvodit, jaký je ročník,“ popsal, jak lze uhodnout i některé detaily, o nichž se člověk domnívá, že je nikam explicitně nenapsal.
Podle Davida Havlíka vytvářejí lidé digitální stopu zadáním své e-mailové adresy, telefonního čísla nebo třeba zveřejněním fotografií. Pro zločince pak není složité poohlédnout se v databázích uniklých hesel, zda lze například do e-mailové schránky vyhlédnuté oběti proniknout. A z e-mailu lze zjistit plno dalších věcí.
„Chodí vám do e-mailové schránky e-mailové výpisy z banky? Chodí vám do e-mailové schránky důvěrná komunikace s příbuznými, s přáteli? Představte si situaci, že má kromě vás do té e-mailové schránky přístup i někdo cizí, nota bene člověk, který vás chce poškodit,“ shrnul David Havlík.
Prodávat přístupové údaje je docela lukrativní. Na jednom z webů – kam se ovšem lze dostat pouze na pozvánku – nabízejí balík přístupových údajů z Česka za devadesát amerických dolarů. „Je to celá digitální identita. Máme tam všechny informace o subjektu, máme přístupy do všech aplikací, které používal na konkrétním počítači. Tím, že ukládal hesla do prohlížeče, byl útočník schopen zmocnit se jich,“ uvedl Daniel Hejda.
Zneužití identity
Mezi lidmi, jejichž kompletní digitální identita se dostala do rukou zločinců, je Richard Tůma. Když jej oslovili Reportéři ČT, začal zjišťovat detaily. Ujistil, že například heslo k e-mailu, které uniklo, již dříve změnil. „Ale něco jsme našli – což bylo překvapení,“ dodal.
IT expert Hejda se domnívá, že se zločinci mohli k jeho údajům dostat například tehdy, když jeho počítač používal někdo jiný z rodiny, anebo při hraní počítačových her. „Počítač byl možná sdílen v rodině. Bylo tam spousta přístupů na různé typy her a do školy,“ uvažuje. Tůma uvedl, že hry hraje a že počítač rodina sdílí, kdy se ale jeho údaje dostaly ke zločincům, zřejmé není.
V krajním případě podle Davida Havlíka hrozí, že se útočník dostane i přímo k účtům své oběti. „Může mít k dispozici vše, co běžný uživatel. V tu chvíli přebírá jeho roli,“ shrnul.
Když se navíc zločinec zmocní něčí identity, někdy díky tomu dokáže vymámit peníze i z jiných lidí – to když se vydává za jejich blízkého přítele. Lenka Šářecová tak přišla o 26 tisíc korun. Na sociální síti ji oslovila kamarádka – respektive podvodník prostřednictvím kamarádčina ukradeného profilu – s tvrzením, že potřebuje peníze. „Že je momentálně v zahraničí, že pracuje na nějakém obchodu a že by potřebovala moji pomoc,“ řekla oklamaná žena.
Bezpečné praktiky
Jak zneužití úniků svých osobních citlivých informací zabránit? Experti radí, aby lidé pro každý účet používali unikátní a silné heslo a vícefázové ověřování a udržovali svá zařízení aktualizovaná. Neměli by si také ukládat hesla do prohlížečů.
Je také dobré vyhnout se přihlašování do svých účtů při připojení k veřejné wi-fi a nestahovat do počítače neoriginální software. Hrozí, že v něm bude takzvaný infostealer, tedy škodlivý kód, který z počítače ukradne přihlašovací údaje. Podle Havlíka souvisí právě s infostealery nárůst úniků dat v posledních čtyřech letech.
Oslovení IT experti dokázali snadno najít i uniklé přístupové údaje reportérů ČT, kteří se na ně obrátili. Ne všechna hesla byla platná, ale některá ano. A tak nezbylo než je změnit.