Sociální inženýrství
Útok, který cílí na člověka, ne na techniku.
Co to je
Útočník zneužije důvěru, autoritu nebo časový tlak, aby tě přiměl udělat něco, co bys normálně neudělal/a — kliknout na odkaz, poslat peníze, předat heslo. Phishing je nejznámější forma, ale patří sem i falešné telefonáty „z banky", „z IT podpory" nebo „ze státní správy".
Proč to záleží
Drtivá většina úspěšných incidentů (jak osobních, tak firemních) začíná sociálním inženýrstvím — ne hacknutím systému. Pomáhá pravidlo „zavolám zpět na číslo, které znám" a pomalý dech, když na tebe někdo tlačí.
Jak útok funguje
Sociální inženýrství stojí na 4 manipulačních pákách (Cialdiniho influence triggers):
1. Autorita — útočník se vydává za někoho, koho voláš musíš respektovat. "Volám z Policie České republiky", "jsem z IT vašeho zaměstnavatele", "jsem z bezpečnostního oddělení banky". Lidé si auto-suspendují kritické myšlení vůči autoritě.
2. Strach / urgency — "vaše karta byla zneužita, musíme ji okamžitě zablokovat", "váš účet bude zablokován do 1 hodiny", "váš syn měl autonehodu, potřebuje peníze". Strach + tlak času = vypne rozumné rozhodování.
3. Reciprocita — útočník nejprve "pomůže" něčím malým ("poslal jsem vám voucher na slevu", "informuju vás, že máte přeplatek na účtu"), pak žádá protislužbu.
4. Sympatie / podobnost — útočník naladí komunikaci podobnou tvé. Mluví o stejných tématech, používá stejný slang. Klasický příklad: romance scam, kde útočník měsíc buduje vztah, než žádá peníze.
Typické scénáře v ČR 2024-2026:
- "Helpdesk scam" — pop-up "váš počítač je infikován, zavolejte Microsoft Support: +420...". Volání vede do colcentra, kde tě donutí nainstalovat TeamViewer / AnyDesk a předat heslo k bance.
- "Volání z banky o podezřelé transakci" (vishing) — útočník zná tvé jméno, část čísla účtu (z předchozích úniků). Hraje na panika, vede tě k převodu na "bezpečný účet" (jeho).
- "Bezpečnostní upozornění z e-mailu" — phishing s pretextem práce nebo banky.
- "Romance scam" — útočník měsíc-dva buduje vztah přes seznamku / Facebook, pak žádá peníze na "vyřešení krize". Cílí na osamělé 50+.
- "Falešný technik / kontrolor" — fyzicky přijde, vydává se za pracovníka plynárny / energie / státu, dostane se do bytu, ukradne nebo si zjistí přístup k zařízením.
- CEO fraud / BEC (firemní) — útočník napodobí CEO/CFO a žádá účetní o urgentní převod.
Reconnaissance fáze — útočníci o tobě před útokem nasbírají informace:
- LinkedIn (pracovní pozice, kolegové, projekty)
- Facebook / Instagram (rodina, koníčky, lokace)
- Veřejné rejstříky (živnostenský, obchodní)
- Předchozí úniky (haveibeenpwned — co všechno o tobě uniklo)
S informacemi působí útočník důvěryhodněji.
Jak se chránit
Universální obrana: tři mentální kroky
- STOP — kdykoliv někdo na tebe tlačí (časem, autoritou, strachem), zastavit se. Nemusím odpovědět hned.
- OVĚŘIT — komunikační kanál útočníka může být podvržený. Použij vlastní známý kanál k ověření:
- "Z banky volají" → zavěs, zavolej na linku banky z karty (ne z toho, co řekli oni).
- "Z práce IT" → zavři chat, otevři Slack/Teams, kontaktuj kolegu osobně.
- "Rodina v krizi" → zavolej na původní známé číslo, ne na to, ze kterého píší.
- POMALU — pravidlo: u větších rozhodnutí (peníze, předání hesla, nákup) si dej alespoň 30 minut. Útočník chce rychlou reakci, protože pomalé reakce mu nepřinášejí ovoce.
Konkrétní pravidla:
- Žádný legitimní subjekt tě po telefonu nežádá heslo, 3DS kód, PIN, ani plný rodný čísla. Banka, policie, finančák, energie — nikdo. Pokud o to volající žádá, je to vždy podvod.
- Nikdy nestahuj software na pokyn někoho z telefonu. Žádný legitimní helpdesk tě nežádá nainstalovat TeamViewer / AnyDesk z linku v mailu.
- Při fyzické návštěvě "úředníka" nebo "technika" — žádej průkaz, sepiš si jeho jméno a číslo, řekni "zavolám zpět na centrálu, abych si ověřil". Skutečný úředník to akceptuje. Podvodník zmizí.
- Romance scam guard rail — žádné peníze nikomu, koho jsi osobně nepoznal. Bez výjimky. Tahle hranice se nedá ohnout, ať pomáhajícím slovo je jakékoli.
- Pro firemní context (CEO fraud, BEC) — proces, který vyžaduje mimo-emailové ověření u platby nad X Kč. "Pavle, dostal jsem ten mail, volám ti pro ověření".
Aktivní hardening:
- Nezveřejňuj veřejně: datum narození, rodné číslo, mobilní číslo, e-mail v plný formě, dovolenkové plány v reálném čase.
- Privacy nastavení sociálních sítí — Facebook na "Jen přátelé", LinkedIn skrýt detailní pracovní historii.
- Vyhledej se na haveibeenpwned.com — uvidíš, jaké tvoje údaje unikly. To je útočníkův výchozí materiál.
- Vyhledej se v Google — incognito, jméno + lokace. Co o tobě útočník zjistí za 5 minut.
Pro rodinu (preventivně):
- Code word v rodině — slovo, které se neoznámí veřejně, používá se v podezřelé situaci k ověření identity. Viz whatsapp-scams.
- Promluv si se seniorními rodiči o těchto útocích — konkrétně, s příklady, ne abstraktně. Senioři jsou nejvíce ohrožená skupina.
Po útoku:
- Heslo / kód vyzrazen → IHNED změnit heslo + nahlásit bance / službě.
- Peníze poslány → banka, požádat o storno (úspěšnost ~30% v hodině, klesá).
- Software nainstalován (TeamViewer apod.) → odinstalovat, restartovat zařízení, změnit hesla, full antivirus scan.
- Nahlas Policii ČR (974 887 555). Větší případy se vyšetřují.
- Nahlas službu — bance, sociálni síti, e-shopu.
Časté mýty
Mýtus"Já bych na to nikdy nenaletěl, mám zdravý rozum."
RealitaStudie ukazují, že **95 % lidí selže na alespoň jednom testu sociálního inženýrství** v kontextu, který je pro ně relevantní. Profesionální útoky jsou sofistikované — útočník o tobě ví víc, než si myslíš (LinkedIn, Facebook, předchozí úniky), používá tvůj jazyk a kontext. Říct "to bych poznal" je nejnebezpečnější pozice. Hlavní obrana není "rozpoznám", ale "**ověřím přes vlastní kanál**".
Mýtus"To je problém starších lidí, ne můj."
RealitaSenioři jsou nadprůměrně cílení (kvůli emoční zranitelnosti), ale **technicky zdatní lidé jsou ohroženi BEC útoky, helpdesk scam a CEO fraud** stejně. Tech CEO byli oklamáni na milionové převody. IT admini byli zmanipulováni k předání admin přístupů. Mladí dospělí padají na romance scam stejně jako 60+. Cílová skupina se mění s typem útoku.
Mýtus"Mám antivirus a 2FA, mám to vyřešené."
RealitaAntivirus chrání proti spustitelnému malwaru, 2FA chrání proti credential stuffing. Sociální inženýrství obojí obchází — útočník tě donutí MFA kód přepsat na phishing stránce, nebo tě přesvědčí, abys peníze poslal sám. Technologie je vrstva 2; primární obrana je behaviorální: STOP, OVĚŘIT, POMALU.
Quick checklist
Mentální rutina (vždy):
- Někdo tlačí časem? STOP.
- Ověřit kontakt přes vlastní známý kanál (linku banky z karty, original čísla rodiny, etc.).
- Větší rozhodnutí (peníze, sdílení hesla) → 30 minut čekat.
Konkrétní zákazy:
- Nikdy nesděluj 3DS kód, PIN, heslo po telefonu — žádné banky ani úřady o to nežádají.
- Nikdy neinstaluj TeamViewer / AnyDesk na pokyn z mailu / telefonu.
- Žádné peníze nikomu, koho jsi osobně nepoznal (romance scam).
- Při fyzické návštěvě "úředníka" → ověřit zpětným voláním na centrálu.
Aktivní hardening:
- Privacy nastavení FB / LinkedIn / Instagram — minimální veřejné údaje.
- Vyhledat se na haveibeenpwned.com — vědět, co o tobě uniklo.
- Code word v rodině pro emergency situace.
- Promluvit si se seniorními rodiči o konkrétních útocích.
Po útoku:
- Heslo / kód vyzrazen → IHNED změnit + banka.
- Peníze poslány → banka pokus o storno.
- Software nainstalován → odinstalovat + scan + reset hesel.
- Policie ČR — 974 887 555.
- Nahlásit službě (bance, e-shopu, soc. síti).
Podobná témata
Souvisí s kategoriemi v testu: Rozpoznání podvodných zpráv, Falešné zprávy v messengerech, Falešná IT podpora po telefonu
Jaký byl tenhle článek?
Reakce jsou anonymní — pomáhají nám psát další články líp.
Najdeš chybu nebo máš dotaz? Napiš nám.