Ráno, ktoré sa zmenilo na krízu
Petra, asistentka manažmentu, prišla do kancelárie s obvyklým zoznamom úloh. Pripraviť zmluvy, vybaviť platobné doklady, prejsť e-maily. Nič neobvyklé.
Keď sa na jej monitore objavil nový e-mail od generálneho riaditeľa, nezastavila sa. Adresa bola správna, nechýbal podpis spoločnosti. Text bol stručný a naliehavý:
„Petra, som na konferencii a nemám prístup do systému. Potrebujem, aby si okamžite vykonala zálohu dodávateľovi. Číslo účtu posielam v prílohe. Je to naliehavé.“
Petra neváhala. Vedela, že takéto situácie sa občas stávajú. Klikla na prílohu, skontrolovala údaje a pripravila platbu.
Krátko nato jej zazvonil telefón. Na displeji sa objavilo riaditeľovo číslo. Hlas, ktorý počula, bol nezameniteľný. Rovnaká intonácia, rovnaké slovné obraty, dokonca aj rovnaký spôsob, akým vyslovoval meno dodávateľa. „Petra, prosím ťa, nenechajme to zdržiavať. Tú platbu potrebujeme ešte dnes.“
Známy hlas. Autorita. Naliehavosť. Petra dokončila platbu.
Realita: dokonalá ilúzia
Žiadny z týchto kontaktov nebol skutočný. Útočníci kombinovali
- Spear-phishing: presne cielený e-mail založený na znalosti firemných procesov.
- Falošný hlas: generovaný z verejne dostupných nahrávok režiséra.
- Sociálne inžinierstvo: kombinácia autority a časového tlaku, ktorá vylúčila priestor na pochybnosti.
Platba bola pripísaná na účet, odkiaľ do niekoľkých hodín zmizla. Firewall spoločnosti, systém EDR a viacfaktorové overovanie nezohrali žiadnu úlohu. Obranu obišiel človek.
Prečo technológia nestačí
Na prvý pohľad sa zdá nepochopiteľné, že spoločnosť s pokročilými bezpečnostnými opatreniami naletela na takýto jednoduchý trik. Ale práve preto sú deepfake útoky také nebezpečné.
- Technologické prekážky nie sú cieľom útoku.Útočníci nepotrebujú malvér, ak dokážu presvedčiť človeka.
- Petra neporušila žiadne pravidlá.Naopak, konala v záujme vedenia.
- Procesy neboli nastavené na krízové situácie.Pri mimoriadnych platbách sa nevyžadovalo dvojité overenie.
Deepfakes využívajú psychológiu: časový tlak, dôveru v autoritu a prirodzený sklon pomáhať. Tieto faktory môžu znemožniť kritické myslenie aj u skúsených zamestnancov.
Ako deepfake funguje v praxi?
Technológia generovania syntetického hlasu a videa pokročila natoľko, že na základnú imitáciu stačí niekoľko minút záznamu. V praxi to znamená, že každý, kto niekedy hovoril na konferencii alebo poskytol rozhovor, môže byť využitý ako „hlas útočníka“.
- Klonovanie hlasu: neurónové siete trénujú model hlasu z dostupných nahrávok. Výsledok je taký presvedčivý, že je pre ľudské ucho prakticky nerozoznateľný.
- Syntetické video: pokročilejšie útoky využívajú aj videochat, pri ktorom sa tvár a mimika kopírujú v reálnom čase.
- Spojenie OSINT: útočníci analyzujú verejné informácie o spoločnosti – kto má aké právomoci, kto podpisuje zmluvy, kto má prístup k účtom.
Výsledkom je útok, ktorý nie je technicky zložitý, ale psychologicky zničujúci.
Otázky, ktoré si musí položiť každá spoločnosť
- Je možné zastaviť deepfake útok len pomocou technológie?
Hoci existujú nástroje na odhaľovanie falošných hlasov a videí, ich spoľahlivosť je stále obmedzená. Rozhodujúce sú procesy a ľudské návyky. - Kto je skutočnou prvou líniou obrany?
Nie firemné firewally, ale zamestnanci. Musia dostať jasné pokyny, ako reagovať na podozrivé požiadavky – a hlavne podporu, aby mohli generálnemu riaditeľovi povedať „stop“.
Ako sa brániť: stratégie pre moderné spoločnosti
Viackanálové overovanie
Žiadna núdzová platba by sa nemala uskutočniť bez dvojitého potvrdenia – ideálne dvoma nezávislými osobami a prostredníctvom dvoch rôznych kanálov.
Školenie založené na reálnych scenároch
Školenie o phishingu už nestačí. Zamestnanci musia zažiť simulované útoky zahŕňajúce deepfake hovory a videokonferencie. Len tak sa u nich vyvinie reflex „zastav sa a skontroluj“.
Kultúra bezpečnosti
Ak má zamestnanec pocit, že spochybnenie požiadavky vedenia je prejavom nelojálnosti, spoločnosť prehrala pred útokom. Kultúra musí jasne hovoriť: „Bezpečnosť má prednosť pred poslušnosťou.“
Nulová dôvera
Zásada „nedôveruj nikomu, kým sa to nepreukáže“ už neplatí len pre sieťovú prevádzku. Musí sa vzťahovať aj na hlas a video. Každá požiadavka musí byť overená.
Čo to znamená pre manažment
Petrin príbeh nie je o zlyhaní jednotlivca. Je to príklad toho, že aj spoločnosť so silnou technológiou môže zlyhať, ak podcení ľudský faktor a bezpečnosť procesov.
Deepfake útoky sú príkladom novej éry kybernetických hrozieb – éry, v ktorej už nejde len o kód a vírusy, ale o manipuláciu s emóciami, dôverou a časom.
Zaujíma vás táto téma? Jan Marek zo spoločnosti Cyber Rangers vás prevedie praktickými príkladmi na summite o kybernetickej bezpečnosti!
