Sociální inženýrství (anglicky social engineering) je společný název pro všechny techniky, kdy útočník manipuluje s obětí přes rozhovor, e-mail nebo SMS, aby ji donutil sdělit citlivé údaje, převést peníze nebo nainstalovat škodlivý software. Není to hackování ve filmovém slova smyslu — útočník nezneužívá kód, ale lidskou psychiku. Vishing, phishing, smishing, pretexting i CEO fraud jsou všechno jen různé varianty sociálního inženýrství.

Jak to funguje

Útočník nejdřív o oběti zjistí pár informací — jméno, banku, zaměstnavatele. Často to stačí z LinkedInu, Facebooku nebo úniku dat. Potom si vymyslí scénář (pretext), který dává smysl — bankéř kvůli podezřelé transakci, kurýr kvůli nedoručenému balíčku, IT podpora kvůli viru v počítači. Cíl je vyvolat strach, časový tlak nebo touhu pomoct, aby oběť přestala kriticky myslet a jednala automaticky.

Jak to rozpoznat

  • Hovor / zpráva ve vás vyvolá silnou emoci — strach, naléhavost, soucit, zvědavost.
  • Žádost o akci pod časovým tlakem — „musíte to udělat hned, jinak…”
  • Volající zná vaše jméno a pár základních faktů, ale nedokáže potvrdit věci, které by skutečná instituce měla mít v systému.
  • Žádost se týká citlivých údajů, peněz nebo instalace aplikace, kterou normálně neinstalujete.
  • Když začnete klást ověřovací otázky, volající zaútočí emocionálně („vy mi nedůvěřujete?”) nebo vyhrožuje („přijdete o peníze”).
Reklama

Co dělat

  1. Zpomalte. Útočník se spoléhá na rychlou reakci — když máte čas přemýšlet, většinou se klam rozpadne.
  2. Ukončete kontakt a ověřte si situaci sami — zavolejte instituci na číslo z webu, ne na to, ze kterého vám volali.
  3. Konzultujte s rodinou, kolegou nebo přítelem před každou nezvyklou akcí (převod peněz, sdělení hesla).
  4. Naučte rodinu (zejména prarodiče) základní pravidlo: banka, policie, exekutor nikdy nevolají s žádostí o peníze nebo hesla.
  5. Pokud jste obětí, nahlaste to policii (kybercrime@pcr.cz) a své bance — banka má povinnost prošetřit a u některých scénářů refundovat.

Situace v SR

Sociální inženýrství je v ČR podle Policie ČR nejčastější způsob kybernetické kriminality — v roce 2024 přes 14 000 nahlášených případů s celkovou škodou přes 2 miliardy korun. Nejčastější scénáře: falešný bankéř, falešný policista, falešná investiční nabídka, romance scam, fake kurýr (SMS „doplaťte clo”). Banky a operátoři spolupracují s NÚKIB na osvětě, ale prevence stojí především na uživatelích.

Reklama

Časté otázky

Jak se bránit sociálnímu inženýrství?

Hlavní pravidlo: nikdy neuděláte rychlé rozhodnutí pod tlakem cizího hovoru. Když vám někdo volá s naléhavou žádostí, vždycky zpomalte, ukončete hovor a ověřte si situaci přes nezávislý kanál (zavolat instituci sám). Žádný legitimní bankéř ani policista vám nezakáže zavěsit.

Proč jsou starší lidé častěji oběťmi?

Mají větší důvěru v autority (banka, policie), méně zkušeností s technologiemi a útočníci je cíleně vybírají z veřejných seznamů. Pomáhá: nainstalovat blokátor neznámých čísel, naučit jednoduchou frázi „zavolám zpět”, mít kontakt na rodinu po ruce.

Vrátí mi banka peníze, když jsem oběť sociálního inženýrství?

Záleží na konkrétní bance a okolnostech. Pokud jste sami autorizovali převod (i když pod manipulací), banka většinou zodpovědnost odmítne. Pokud útočník zneužil únik dat z banky nebo selhání zabezpečení, banka má povinnost peníze vrátit. Vždy stížnost podávejte písemně a v případě sporu se obraťte na finančního arbitra (finarbitr.cz).