Pretexting

Pretexting je „divadlo“ podvodu. Útočník si vymyslí přesvědčivou roli (HR pracovník, technik IT, kontrolor z úřadu, kurýr) a využije ji k získání informací nebo akcí, které byste obvykle neudělali. Liší se od phishingu tím, že nehraje hlavní roli odkaz nebo formulář — celé útočení stojí na uvěřitelnosti scénáře. Většina vishing a CEO-fraud útoků začíná pretextingem.

Jak to funguje

Útočník nastuduje cíl (LinkedIn, web firmy, sociální sítě), vyrobí roli a scénář s kontextem, který se shoduje s realitou: zná jména kolegů, jména projektů, nedávné události. Volá s autoritou: zdravím, jsem Petr z IT, máme problém s mailovým serverem, potřebuju ověřit vaše heslo. Často kombinuje s časovým tlakem (musíme to vyřešit do hodiny). Pretexting je páteří CEO-fraud útoků (BEC), kde útočník voláním a e-maily vydává za ředitele a žádá rychlý převod.

Jak to rozpoznat

• Volající se odvolává na věci, které mohl zjistit na webu (jméno šéfa, projektu) — ale nezná nic interního.
• Žádost vybočuje z normálního procesu firmy (objedte to mimo systém, mám naléhavý problém).
• Odmítá ověření přes oficiální kanál (nemám čas vám to dokazovat).
• Hraje na autoritu nebo strach z autority (CEO, daňový úředník, policie).

Co dělat

1. Vyžadujte ověření přes oficiální kanál — zavěste a zavolejte zpět na centrálu.
2. Zaveďte ve firmě callback policy: každý finanční převod nad limitem se ověřuje druhým kanálem (SMS šéfovi, telefon na ústřednu).
3. Naučte tým že vyžádat si ověření je v pořádku — zaměstnanec nesmí být penalizován za to, že požádá o ověření.
4. Pokud vás někdo úspěšně podvedl, hlaste Policii ČR (§ 209 podvod) a NÚKIB.

Situace v SR

České firmy zaznamenávají od 2023 výrazný nárůst pretexting útoků v rámci CEO-fraud schémat — útočník vydávající se za ředitele e-mailem nebo telefonicky žádá účetní o urgentní převod. Průměrná škoda na případ je 200 tis. – 5 mil. Kč. ČBA (Česká bankovní asociace) doporučuje v interních směrnicích zavést dvojí potvrzení převodu nad 100 tisíc Kč.

Časté otázky