Článek
Rozhovor si také můžete poslechnout v audioverzi.
Vyděračských online útoků se sexuálním podtextem, anglicky označovaných jako sextortion, celosvětově přibývá, globálně nejvíce v Česku. Podle společnosti Gen se počet zachycených útoků od začátku roku u nás zvýšil více než dvojnásobně, z loňské desáté příčky v žebříčku nejohroženějších zemí poskočili Češi na šesté místo.
Vyděrači v poslední době čím dál více využívají masových úniků dat nebo schopností umělé inteligence. „Útočníci už nepoužívají jen prázdné hrozby, ale k výhružkám přidávají například uniklá hesla a další dodatečné informace o člověku, což najednou zprávu činí mnohem uvěřitelnější,“ popisuje Salát.
Michal Salát v rozhovoru pro Seznam Zprávy popisuje, proč se právě Česku oblasti vyděračských sexuálních útoků vede tak špatně, jakým novinkám při útocích lidé čelí a jak je to s obranou proti podobným útokům.
Proč jsou právě v Česku sexuální vyděračské online útoky tak významný problém?
Je možné, že jsme v Čechách více otevření různým seznamkám, popřípadě že si mezi sebou více posíláme intimní fotky. Případné výhružky tohoto typu tak v důsledku působí uvěřitelněji. Obecně je to ale těžké říct, protože jde o poměrně intimní součást života, o které tak víme relativně málo, je proto obtížné odhadnout, proč jsme v riziku tak vysoko. Máme navíc informace jen o námi zablokovaných útocích, ne o jejich celkovém počtu.
Jak si vysvětlujete přibývající počet případů podobných útoků v poslední době?
Částečně je důvodem to, že útočníci jsou čím dál důvtipnější a schopnější při vymýšlení zpráv, které rozesílají, s nástupem umělé inteligence se také významně zvyšuje kvalita vydíracích zpráv. Ve světě zároveň pozorujeme obecný trend útoků na uživatelská data, například skrze webové útoky na různé online služby, kdy dochází k úniku poměrně významného množství dat. Útočníci získaná data pak využívají při vlastních útocích.
Nedávno jsme viděli například vlnu útoků, ve kterých útočníci zneužívali znalost adres potenciálních obětí a do zpráv jim posílali fotky jejich domů z Google map. Jde o takové uzavření kruhu, kdy uživatel přišel o nějaká data v rámci rozsáhlejšího úniku dat, útočníci k těmto datům přišli, využili znalost adresy a mailu, dodali k tomu falešnou informaci o tom, že mají k dispozici nějaká lechtivá videa a začali vydírat.
Jak se v současnosti oblast těchto online výhružek proměňuje?
V rámci našich analýz nám mimo jiné také vyplynulo, že útoky jsou opravdu plošné, cílí na tisíce až nižší desetitisíce uživatelů, díky informacím uniklým z různých databází se ale postupem času zvyšuje sofistikovanost těchto útoků. Útočníci už nepoužívají jen prázdné hrozby, ale k výhružkám přidávají například uniklá hesla a další dodatečné informace o člověku, což najednou zprávu činí mnohem uvěřitelnější.
Do sextortion tedy vstupuje i umělá inteligence?
Ano, kvalita zpráv se kvůli ní neustále zlepšuje a pro útočníky je teď výrazně snazší vyrábět výhružné zprávy i v jazycích, kterými sami nemluví. Dříve například jeden škodlivý e-mail tvářící se jako odeslaný Českou spořitelnou začínal slovy „Drahoušek zákazník“. Každý kvůli strojovému překladu hned poznal, že jde o podvod. Dnes je ale umělá inteligence schopná vyrobit velmi kvalitní text, který přesvědčí uživatele, že jde o důvěryhodnou informaci.
Sami jsme zkoušeli takto umělou inteligenci použít a dokonce nám ty falešné maily vyráběla rovnou i s odstavci o tom, jak odhalit podvody a jak poznat, že tento mail určitě podvodem není. Pokud umělá inteligence nedokáže rozpoznat škodlivý záměr tazatele, je schopná vyprodukovat kvalitní, uvěřitelné maily v libovolném jazyce.
Jak to vidíte s využívání umělé inteligence na podobné útoky do budoucna?
Do budoucna určitě bude hrát umělá inteligence významnou roli v personalizovaných útocích na konkrétní lidi. Umělá inteligence podpořená kradenými osobními daty bude ve špatných rukou stoprocentně velkým problémem.
Umělá inteligence má sice silný potenciál nám pomoci v mnoha věcech, ale na druhou stranu může právě při těchto útocích významně nahrávat útočníkům a postupem času tak rozbíjet důvěryhodnost online komunikace.
Umělá inteligence se pak používá v rámci podvodů na seznamkách, kde dokáže například od lidí získávat osobní informace nebo jejich vlastní erotické obrázky skrze přirozeně působící konverzaci.
Kdo bývají útočníci?
To se výrazně liší. Kolem deepfakeů a různých kryptoinvestic se teď hodně pohybují rusky mluvící útočníci, ale i to se dá jen těžko specifikovat. Tím, že si může každý nechat vygenerovat text v jakémkoliv jazyce, může jít téměř o kohokoliv.
Útočníky je v dnešní době velice obtížné najít. Zdrojovou IP adresu mohou mít téměř kdekoliv na světě, kvůli snadno dostupným informacím na internetu nejde spoléhat ani na to, že například identitu České pošty v útocích zneužívá určitě nějaký Čech nebo alespoň někdo z Evropy, protože si potřebné informace může zjistit kdokoliv.
Je tedy vůbec možné pak útočníky nějak potrestat?
Vyhledávání těchto útočníků je opravdu složité, obzvlášť, pokud jsou chytří a používají platební metody, které nelze vysledovat. Dostihnout pachatele často vyžaduje spolupráci složek napříč zeměmi, někdy i napříč kontinenty a je to velmi komplikované.
Roli hraje určitě i to, že lidé zpravidla neradi tento typ podvodů hlásí, protože se třeba stydí za to, že naletěli, nebo mají strach z toho, co by o nich mohl útočník zveřejnit, takže raději přijmou škodu, která nastala, a už případ nehlásí.
Pokud už v daném případě člověk přišel o peníze, měl by to nahlásit na policii, aby případ mohla začít vyšetřovat, ale šance, že dotyčný své peníze dostane zpátky, je velice malá.
Jak se lidé mohou bránit?
V první řadě je potřeba si uvědomit, že ty hrozby jsou většinou prázdné. Neříkám, že je nemožné, aby útočník nějaký choulostivý materiál měl, ale v drtivé většině případů jde jen o slova. V ten okamžik je nejlepší vůbec na útočníka nereagovat, vůbec s ním ani nezačínat konverzaci s vědomím, že útočník nemá v ruce vůbec nic kromě jedné nebo dvou uniklých informací.
Právě kvůli uniklým heslům se teď doporučuje všude, kde je to možné, používat dvoufaktorové ověření, aby se útočník případně nedostal do účtů oběti, i kdyby heslo měl, a ideální je nemít stejná hesla všude. Dnes už je na to potřeba správce hesel, protože nikdo na světě si nedokáže zapamatovat desítky různých hesel, která používá na různých webech.
Pokud se bavíme o nahrávání choulostivých videí přes kameru počítače, tam je samozřejmě potřeba mít antivirus, který takové zneužití kamery dokáže zachytit.
V neposlední řadě je jasná rada neposílat erotické obrázky. V dnešní době online služeb si uděláte fotku, v drtivé většině případů se vám automaticky nahraje do nějakého cloudového úložiště a to dává útočníkům další příležitost fotky zneužít. Navíc i když vy jste se svým účtem velmi opatrný, nikdo vám nezaručí, že se terčem úspěšného útoku nestane ten, komu jste fotky poslali.
Případů sextortion přibývá, jsou čím dál více sofistikované, jak to řešit?
Řešení má dvě možné podoby. Ta první je technická, kdy se bezpečnost uživatelů může zvyšovat různými metodami lepší detekce podvodů, deepfaků a dalšími podobnými řešeními.
Druhá podoba je vzdělávání v podobě seznámení s online prostorem a online hygienou, základní poučky typu nesdílej, co nechceš, aby lidé viděli. Dávej si pozor, kam a co nahráváš, pravidelně měň zabezpečení účtů. Důležité je také mít představu o tom, jak útoky vypadají, když se někde píše o hrozbách, podívat se třeba, jak ty maily vypadají. Zprávy, které útočníci posílají, se totiž příliš nemění.
