Digitální podvody už dávno nejsou jen o chybně napsaném e-mailu. Útočníci dnes kombinují deepfake, zneužití biometriky i přesvědčivé podvrhy hlasu, aby obešli i opatrné uživatele. Kdo chce chránit svou identitu online, musí chápat, jak tyto útoky fungují — a hlavně jak jim předcházet. Přinášíme přehled hrozeb, dat i konkrétních postupů, které mají v praxi smysl.
Digitální podvody se změnily: už neútočí jen na pozornost, ale na důvěru
Kybernetická bezpečnost se v posledních letech posunula do úplně jiné roviny. Zatímco dříve útočníci spoléhali hlavně na technické chyby a špatná hesla, dnes míří na lidskou důvěru, identitu online a rutinní návyky. Největší změnu přineslo rozšíření nástrojů umělé inteligence, které umožňují vytvářet přesvědčivé falzifikáty hlasu, obrazu i textu v řádu minut. Podle výzkumů bezpečnostních firem už dnes podvody s využitím generativní AI patří mezi nejrychleji rostoucí typy digitální kriminality.
Riziko není jen teoretické. V roce 2024 například britská banka upozornila na případ, kdy zaměstnanec po videohovoru uvěřil falešnému finančnímu řediteli vytvořenému pomocí deepfake a převedl desítky milionů dolarů. Podobné incidenty nejsou výjimkou, ale varovným signálem: stačí krátký úsek hlasu, veřejně dostupná fotografie nebo video z internetu a útočník má materiál pro útok, který ještě před pár lety nebyl možný v takové kvalitě a tak levně.
Deepfake: když už nestačí věřit vlastním očím ani uším
Deepfake je synteticky vytvořený nebo upravený obsah, který napodobuje skutečnou osobu. Nejčastěji jde o video či audio, ale stále častěji také o kombinaci obojího. V praxi to znamená, že někdo může „promluvit“ vaším hlasem, „objevit se“ ve videu nebo „podepsat“ se pod výzvu, kterou jste nikdy nevyslovili. Pro útočníky je to ideální nástroj, protože lidé přirozeně důvěřují obličeji a hlasu více než anonymnímu textu.
Technologicky je situace znepokojivá i proto, že kvalita podvrhů se zlepšuje rychleji než schopnost běžného uživatele je rozpoznat. Výzkumy ukazují, že lidé často nepoznají falešný hlas ani video, zejména pokud jsou krátké, přehrávané v hlučném prostředí nebo pokud obsahují emotivní výzvu. Útočníci navíc využívají psychologický tlak: naléhavost, autoritu a strach z následků. Typický scénář? „Jsem váš šéf, potřebuju okamžitě potvrdit platbu.“ Nebo: „Mám problém, pošlete mi kód z SMS.“
Jak se bránit? Základní pravidlo zní: nikdy neověřujte důležitý požadavek stejným kanálem, kterým přišel. Když vám někdo volá s urgentní žádostí, zavolejte zpět na oficiální číslo. Když přijde videohovor, ověřte si druhou stranu jinou cestou — třeba přes firemní komunikační systém, interní adresář nebo osobní kontakt uložený dlouhodobě. U citlivých firemních procesů má být součástí obrany i jednoduché pravidlo dvojího schválení: žádná platba, změna účtu nebo předání přístupu bez druhého potvrzení.
Biometrika není zázračný štít. Otisk prstu i obličej mají své limity
Biometrické ověřování působí bezpečněji než heslo, protože se opírá o něco, co „máme“ nebo „jsme“: otisk prstu, obličej, hlas, duhovku či chování při psaní. Jenže biometrika není neomylná. Na rozdíl od hesla ji po úniku nelze jednoduše změnit. Když se dostane do cizích rukou šablona obličeje nebo hlasový vzorek, škoda může být dlouhodobá. To je zásadní rozdíl, který veřejná debata často podceňuje.
V roce 2023 i 2024 bezpečnostní odborníci opakovaně upozorňovali, že hlasová biometrika je zvlášť zranitelná vůči podvrhům. Stačí desítky sekund kvalitního zvuku a moderní nástroje dokážou vytvořit přesvědčivou imitaci. U rozpoznávání obličeje je problém jinde: fotografie z internetu, z veřejných profilů nebo z kancelářských kamer mohou posloužit k obcházení některých systémů, zejména pokud nejsou doplněny o živostní testy nebo další faktor ověření.
Co z toho plyne pro běžného uživatele? Biometriku je vhodné chápat jako pohodlný, ale nikoli jediný bezpečnostní prvek. Na telefonu má smysl kvůli rychlosti odemykání, ale přístup k bankovní aplikaci, e-mailu nebo správě hesel by měl být chráněn ještě druhým faktorem. Ideální je kombinace: biometrika + silné hlavní heslo + ověřovací aplikace nebo hardwarový klíč. U citlivých dat se navíc vyplatí vypnout možnost obnovy účtu jen přes SMS, protože právě textové zprávy jsou v řadě útoků nejslabším článkem.
Phishing v éře AI: podvodné zprávy jsou bez chyb a mnohem přesvědčivější
Phishing, tedy podvodné vylákání údajů, nezmizel. Jen se proměnil. Dříve prozrazovala podvod hrubá čeština, podezřelé odkazy a špatné formátování. Dnes umí umělá inteligence vytvářet jazykově plynulé, stylisticky věrohodné a cílené zprávy, které vypadají jako od banky, dopravce, nadřízeného nebo kolegy. Útočníci navíc využívají veřejně dostupné informace z profilů na sociálních sítích, aby zpráva působila osobně a důvěryhodně.
Podle údajů bezpečnostních společností patří phishing dlouhodobě mezi nejčastější vstupní brány útoků na firmy i jednotlivce. V mnoha incidentech se útočník neprolomí technikou, ale získá přístup přes jedno slabé kliknutí nebo zadání kódu. S rozšířením AI se navíc zrychlila i tvorba podvodů: místo jedné hromadné zprávy může útočník během krátké doby připravit stovky variant na míru různým obětem.
Obrana je přitom stále založená na disciplíně, ne na zázračném programu. Zkontrolujte doménu odesílatele, ne jen zobrazované jméno. Neotvírejte přílohy a odkazy z nečekaných zpráv. Nepřihlašujte se přes odkaz v e-mailu, ale ručně zadejte adresu služby do prohlížeče. A pokud vás zpráva tlačí do okamžité akce, je to samo o sobě varovný signál. Dobrý podvod potřebuje spěch; bezpečné ověření naopak vyžaduje čas.
- Kontrolujte adresu odesílatele, ne jen jméno v doručené poště.
- Používejte správce hesel, který odhalí falešnou doménu.
- Zapněte vícefaktorové ověření všude, kde je to možné.
- Neposílejte ověřovací kódy nikomu, ani „podpoře“.
- U citlivých účtů sledujte přihlášení z nových zařízení a lokalit.
Ochrana soukromí na sítích: veřejný profil je zásobárna pro útoky
Sociální sítě nejsou jen místem pro sdílení. Jsou také databází, z níž si útočník skládá váš digitální profil. Z veřejných příspěvků zjistí jména rodiny, pracovní pozici, návyky, oblíbená místa, hlasové nahrávky i dostatek fotografií pro vytvoření deepfake. Čím více informací je veřejně dostupných, tím snazší je připravit útok, který bude vypadat jako legitimní komunikace.
Ochrana soukromí proto není luxus, ale základní součást digitální bezpečnosti. Nestačí jen „nebýt na internetu příliš aktivní“. Důležité je vědomě omezit, co dáváte do veřejného prostoru. Zkontrolujte, kdo vidí vaše příspěvky, seznam přátel, telefonní číslo, e-mail i datum narození. U pracovních profilů zvažte, zda skutečně potřebujete zveřejňovat přesný pracovní rozvrh, cestovní plány nebo fotografie z prostředí, které by mohly prozradit přístupová místa.
Velký problém představuje i sdílení hlasu a obličeje v krátkých videích. I krátký klip může stačit k vytvoření realistického syntetického hlasu. Pokud provozujete veřejný profil, počítejte s tím, že každý zvukový či obrazový záznam je potenciálním materiálem pro zneužití. U dětí a seniorů je opatrnost ještě důležitější, protože právě oni bývají cílem podvodů, které pracují s emocemi a autoritou.
Praktická digitální sebeobrana: co funguje dnes a co je jen dobrý pocit
Nejúčinnější ochrana není jedna aplikace, ale soubor návyků. Základem je silné a unikátní heslo pro každý důležitý účet. Podle dlouhodobých statistik patří slabá nebo opakovaně používaná hesla mezi nejčastější příčiny úniku účtů. Správce hesel tento problém řeší a zároveň pomáhá rozlišit pravé a falešné přihlášení. K tomu je vhodné přidat vícefaktorové ověření, ideálně přes aplikaci nebo hardwarový bezpečnostní klíč, ne přes SMS.
Dále má smysl pravidelně aktualizovat zařízení a aplikace. Aktualizace neřeší jen nové funkce, ale také bezpečnostní chyby, které útočníci aktivně zneužívají. U telefonů a notebooků je důležité zapnout automatické aktualizace, kontrolovat oprávnění aplikací a omezit přístup k mikrofonu, kameře a kontaktům pouze tam, kde je to opravdu nutné. Méně oprávnění znamená menší prostor pro zneužití.
Pokud jde o biometriku, používejte ji jako pohodlný doplněk, ne jako jedinou bariéru. U citlivých služeb si nastavte výstrahy na přihlášení, změnu hesla i změnu obnovovacích údajů. A pokud máte podezření na deepfake nebo phishing, nečekejte, až se situace „sama vyjasní“. Okamžitě ověřte komunikaci jiným způsobem, změňte přístupové údaje a informujte banku, poskytovatele služby nebo firemní IT oddělení. V kybernetické bezpečnosti totiž často rozhodují minuty.
Závěr: obrana proti AI podvodům začíná u každodenních návyků
Deepfake, phishing i zneužití biometriky ukazují jednu věc: digitální bezpečnost už není jen technický problém, ale otázka každodenní opatrnosti. Kdo chce chránit svou identitu online, musí počítat s tím, že hlas, obličej i text lze napodobit mnohem snadněji než dřív. Pomáhá proto kombinace zdravé nedůvěry, vícefaktorového ověření, silných hesel, omezeného sdílení na sítích a pravidelného ověřování citlivých požadavků mimo původní kanál.
Největší chyba dnes není kliknout na falešný odkaz. Největší chyba je uvěřit, že podvod poznáme „na první pohled“. Opravdu jste si jistí, že byste rozpoznali deepfake hlas svého nadřízeného, partnera nebo dítěte?
