Přeskočit na obsah
OwlGuardScore

Sociální inženýrství

Útok, který cílí na člověka, ne na techniku.

Co to je

Útočník zneužije důvěru, autoritu nebo časový tlak, aby tě přiměl udělat něco, co bys normálně neudělal/a — kliknout na odkaz, poslat peníze, předat heslo. Phishing je nejznámější forma, ale patří sem i falešné telefonáty „z banky", „z IT podpory" nebo „ze státní správy".

Proč to záleží

Drtivá většina úspěšných incidentů (jak osobních, tak firemních) začíná sociálním inženýrstvím — ne hacknutím systému. Pomáhá pravidlo „zavolám zpět na číslo, které znám" a pomalý dech, když na tebe někdo tlačí.

Jak útok funguje

Sociální inženýrství stojí na 4 manipulačních pákách (Cialdiniho influence triggers):

1. Autorita — útočník se vydává za někoho, koho voláš musíš respektovat. "Volám z Policie České republiky", "jsem z IT vašeho zaměstnavatele", "jsem z bezpečnostního oddělení banky". Lidé si auto-suspendují kritické myšlení vůči autoritě.

2. Strach / urgency"vaše karta byla zneužita, musíme ji okamžitě zablokovat", "váš účet bude zablokován do 1 hodiny", "váš syn měl autonehodu, potřebuje peníze". Strach + tlak času = vypne rozumné rozhodování.

3. Reciprocita — útočník nejprve "pomůže" něčím malým ("poslal jsem vám voucher na slevu", "informuju vás, že máte přeplatek na účtu"), pak žádá protislužbu.

4. Sympatie / podobnost — útočník naladí komunikaci podobnou tvé. Mluví o stejných tématech, používá stejný slang. Klasický příklad: romance scam, kde útočník měsíc buduje vztah, než žádá peníze.

Typické scénáře v ČR 2024-2026:

  • "Helpdesk scam" — pop-up "váš počítač je infikován, zavolejte Microsoft Support: +420...". Volání vede do colcentra, kde tě donutí nainstalovat TeamViewer / AnyDesk a předat heslo k bance.
  • "Volání z banky o podezřelé transakci" (vishing) — útočník zná tvé jméno, část čísla účtu (z předchozích úniků). Hraje na panika, vede tě k převodu na "bezpečný účet" (jeho).
  • "Bezpečnostní upozornění z e-mailu" — phishing s pretextem práce nebo banky.
  • "Romance scam" — útočník měsíc-dva buduje vztah přes seznamku / Facebook, pak žádá peníze na "vyřešení krize". Cílí na osamělé 50+.
  • "Falešný technik / kontrolor" — fyzicky přijde, vydává se za pracovníka plynárny / energie / státu, dostane se do bytu, ukradne nebo si zjistí přístup k zařízením.
  • CEO fraud / BEC (firemní) — útočník napodobí CEO/CFO a žádá účetní o urgentní převod.

Reconnaissance fáze — útočníci o tobě před útokem nasbírají informace:

  • LinkedIn (pracovní pozice, kolegové, projekty)
  • Facebook / Instagram (rodina, koníčky, lokace)
  • Veřejné rejstříky (živnostenský, obchodní)
  • Předchozí úniky (haveibeenpwned — co všechno o tobě uniklo)

S informacemi působí útočník důvěryhodněji.

Jak se chránit

Universální obrana: tři mentální kroky

  1. STOP — kdykoliv někdo na tebe tlačí (časem, autoritou, strachem), zastavit se. Nemusím odpovědět hned.
  2. OVĚŘIT — komunikační kanál útočníka může být podvržený. Použij vlastní známý kanál k ověření:
    • "Z banky volají" → zavěs, zavolej na linku banky z karty (ne z toho, co řekli oni).
    • "Z práce IT" → zavři chat, otevři Slack/Teams, kontaktuj kolegu osobně.
    • "Rodina v krizi" → zavolej na původní známé číslo, ne na to, ze kterého píší.
  3. POMALU — pravidlo: u větších rozhodnutí (peníze, předání hesla, nákup) si dej alespoň 30 minut. Útočník chce rychlou reakci, protože pomalé reakce mu nepřinášejí ovoce.

Konkrétní pravidla:

  • Žádný legitimní subjekt tě po telefonu nežádá heslo, 3DS kód, PIN, ani plný rodný čísla. Banka, policie, finančák, energie — nikdo. Pokud o to volající žádá, je to vždy podvod.
  • Nikdy nestahuj software na pokyn někoho z telefonu. Žádný legitimní helpdesk tě nežádá nainstalovat TeamViewer / AnyDesk z linku v mailu.
  • Při fyzické návštěvě "úředníka" nebo "technika" — žádej průkaz, sepiš si jeho jméno a číslo, řekni "zavolám zpět na centrálu, abych si ověřil". Skutečný úředník to akceptuje. Podvodník zmizí.
  • Romance scam guard rail — žádné peníze nikomu, koho jsi osobně nepoznal. Bez výjimky. Tahle hranice se nedá ohnout, ať pomáhajícím slovo je jakékoli.
  • Pro firemní context (CEO fraud, BEC) — proces, který vyžaduje mimo-emailové ověření u platby nad X Kč. "Pavle, dostal jsem ten mail, volám ti pro ověření".

Aktivní hardening:

  • Nezveřejňuj veřejně: datum narození, rodné číslo, mobilní číslo, e-mail v plný formě, dovolenkové plány v reálném čase.
  • Privacy nastavení sociálních sítí — Facebook na "Jen přátelé", LinkedIn skrýt detailní pracovní historii.
  • Vyhledej se na haveibeenpwned.com — uvidíš, jaké tvoje údaje unikly. To je útočníkův výchozí materiál.
  • Vyhledej se v Google — incognito, jméno + lokace. Co o tobě útočník zjistí za 5 minut.

Pro rodinu (preventivně):

  • Code word v rodině — slovo, které se neoznámí veřejně, používá se v podezřelé situaci k ověření identity. Viz whatsapp-scams.
  • Promluv si se seniorními rodiči o těchto útocích — konkrétně, s příklady, ne abstraktně. Senioři jsou nejvíce ohrožená skupina.

Po útoku:

  1. Heslo / kód vyzrazen → IHNED změnit heslo + nahlásit bance / službě.
  2. Peníze poslány → banka, požádat o storno (úspěšnost ~30% v hodině, klesá).
  3. Software nainstalován (TeamViewer apod.) → odinstalovat, restartovat zařízení, změnit hesla, full antivirus scan.
  4. Nahlas Policii ČR (974 887 555). Větší případy se vyšetřují.
  5. Nahlas službu — bance, sociálni síti, e-shopu.

Časté mýty

  • Mýtus"Já bych na to nikdy nenaletěl, mám zdravý rozum."

    RealitaStudie ukazují, že **95 % lidí selže na alespoň jednom testu sociálního inženýrství** v kontextu, který je pro ně relevantní. Profesionální útoky jsou sofistikované — útočník o tobě ví víc, než si myslíš (LinkedIn, Facebook, předchozí úniky), používá tvůj jazyk a kontext. Říct "to bych poznal" je nejnebezpečnější pozice. Hlavní obrana není "rozpoznám", ale "**ověřím přes vlastní kanál**".

  • Mýtus"To je problém starších lidí, ne můj."

    RealitaSenioři jsou nadprůměrně cílení (kvůli emoční zranitelnosti), ale **technicky zdatní lidé jsou ohroženi BEC útoky, helpdesk scam a CEO fraud** stejně. Tech CEO byli oklamáni na milionové převody. IT admini byli zmanipulováni k předání admin přístupů. Mladí dospělí padají na romance scam stejně jako 60+. Cílová skupina se mění s typem útoku.

  • Mýtus"Mám antivirus a 2FA, mám to vyřešené."

    RealitaAntivirus chrání proti spustitelnému malwaru, 2FA chrání proti credential stuffing. Sociální inženýrství obojí obchází — útočník tě donutí MFA kód přepsat na phishing stránce, nebo tě přesvědčí, abys peníze poslal sám. Technologie je vrstva 2; primární obrana je behaviorální: STOP, OVĚŘIT, POMALU.

Quick checklist

Mentální rutina (vždy):

  • Někdo tlačí časem? STOP.
  • Ověřit kontakt přes vlastní známý kanál (linku banky z karty, original čísla rodiny, etc.).
  • Větší rozhodnutí (peníze, sdílení hesla) → 30 minut čekat.

Konkrétní zákazy:

  • Nikdy nesděluj 3DS kód, PIN, heslo po telefonu — žádné banky ani úřady o to nežádají.
  • Nikdy neinstaluj TeamViewer / AnyDesk na pokyn z mailu / telefonu.
  • Žádné peníze nikomu, koho jsi osobně nepoznal (romance scam).
  • Při fyzické návštěvě "úředníka" → ověřit zpětným voláním na centrálu.

Aktivní hardening:

  • Privacy nastavení FB / LinkedIn / Instagram — minimální veřejné údaje.
  • Vyhledat se na haveibeenpwned.com — vědět, co o tobě uniklo.
  • Code word v rodině pro emergency situace.
  • Promluvit si se seniorními rodiči o konkrétních útocích.

Po útoku:

  • Heslo / kód vyzrazen → IHNED změnit + banka.
  • Peníze poslány → banka pokus o storno.
  • Software nainstalován → odinstalovat + scan + reset hesel.
  • Policie ČR — 974 887 555.
  • Nahlásit službě (bance, e-shopu, soc. síti).

Podobná témata

Souvisí s kategoriemi v testu: Rozpoznání podvodných zpráv, Falešné zprávy v messengerech, Falešná IT podpora po telefonu

Jaký byl tenhle článek?

Reakce jsou anonymní — pomáhají nám psát další články líp.

Najdeš chybu nebo máš dotaz? Napiš nám.