Podvod jménem sextorze. Jak se chránit a bránit?

Všichni víme, že nesmíme věřit všemu, co si na internetu přečteme. Když nám ale v e-mailu přistane zpráva od někoho, kdo má naše intimní fotky, a hrozí, že je rozešle rodině, přátelům i zaměstnavateli, nejspíš nás v první chvíli polije studený pot.

Dokud šlo o e-maily psané lámanou češtinou a my si byli absolutně jistí, že jsme nikdy žádnou lechtivou fotku ani nepořídili, natož abychom ji někomu poslali, šlo se z toho šoku vzpamatovat poměrně snadno.

Co ale dělat v době, kdy se z nás díky sociálním sítím a generativní umělé inteligenci můžou stát pornoherci snadno a do pár minut?

Co je sextorze?
Sextorze (z anglického sextortion) je typ vydírání, při kterém pachatel vyhrožuje zveřejněním intimních fotek nebo videí, pokud oběť nezaplatí a/nebo nepošle další materiály.

Rozlišujeme dva hlavní typy sextorze:

1. Útočník materiály intimní povahy skutečně má, protože je od oběti získal buď legitimně (např. bývalý partner/ka) nebo milostným podvodem.
2. Útočník materiály nemá (a nikdy neměl) nebo si vytvořil deepfaky pomocí generativní umělé inteligence.

Zatímco první typ sextorze většinou cílí na konkrétní osobu, druhý má často podobu hromadného e-mailu a řadíme ho mezi techniky sociálního inženýrství.

Sextorze jako e-mailový podvod
Sextorze ve smyslu podvodného vydírání tradičně vypadá nějak takto:

• Neznámý odesílatel v nevyžádaném e-mailu tvrdí, že nám "hacknul" počítač a vlastní intimní záznamy pořízené přes webkameru nebo ukradené z disku. Jako důkaz slouží buď příloha e-mailu nebo odkaz, který údajně vede ke stažení záznamů.
• Pro zvýšení důvěryhodnosti uvede webovou stránku, kterou jsme navštívili, nějaké naše heslo či adresu. Využít také můžou spoofing naší e-mailové adresy, tzn. e-mail nám přijde od nás, aby podpořili dojem, že se nám dostali do zařízení.
• Útočník nám dá ultimátum: pokud do 24 nebo 48 hodin nezaplatíme (většinou v kryptoměně), pošle inkriminované materiály všem našim kontaktům.

Důležité je uvědomit si, že téměř všechny tyto e-maily jsou podvody a útočník ve většině případů nemá žádné skutečné intimní záznamy. Pokud má e-mail přílohu nebo obsahuje odkaz, v drtivé většině případů vede ke stažení malwaru.

Osobní a přihlašovací údaje, kterými se nás snaží zastrašit, získal z historických úniků dat, kampaní infostealerů, dark webu, účtů na sociálních sítích či od data brokerů (společností zabývajících se sběrem a prodejem osobních dat).

Generativní umělá inteligence nás umí doslova svléknout
Rozšíření generativní umělé inteligence značně usnadnilo a zlevnilo produkci tzv. deepfaků. To znamená, že k vygenerování realistických fotek nebo videí pornografické povahy útočníkům většinou stačí jen fotografie, které sami uveřejňujeme na sociálních sítích.

Dobrým případem je nedávná kauza Groka, integrovaného chatbota sociální sítě X, který na základě jednoduchého promptu od uživatelů svlékal oběti doslova na počkání, a to včetně dětí a nezletilých.

Proč na nás sextorze funguje?
Pokud se nám nic podobného nikdy nestalo, je snadné si říct, že nás by útočníci nikdy nedoběhli. Ve chvíli, kdy stojíme tváří v tvář skrytému útočníkovi, který o nás zdánlivě ví všechno, nebo hůř, vlastním podvrženým "nahotinkám", je ale všechno jinak. Rozhodují totiž hlavně naše emoce:

• víra v prezentovaná, skutečná či zfalšovaná data nás znejišťuje;
• strach potlačuje racionální myšlení;
• pocit naléhavosti za nás dělá uspěchaná a nedomyšlená řešení;
• a stud zajišťuje, že nevyhledáme pomoc a zaplatíme.

Stali jsme se obětí sextorze. Co teď?
V první řadě si musíme uvědomit, že tento podvod funguje jen v případě, že napřed jednáme a až pak myslíme. Proto je důležité se napřed pořádně uklidnit a pak začít postupovat podle následujících kroků:

1. Neklikejte na žádné odkazy a neotevírejte přílohy. S největší pravděpodobností obsahují jen malware.
2. Pokud e-mail zmiňuje adresu/heslo, zkontrolujte si, zda se vaše údaje objevily v nějakém úniku dat a hesla samozřejmě hned změňte.
3. Nikdy neodpovídejte, tím vyděračům jen potvrdíte, že je vaše e-mailová adresa aktivní, a přitvrdí.
4. Označte e-mail jako spam a ideálně i zablokujte odesílatele.
5. Neplaťte výkupné, to vede jen k dalším požadavkům.
6. Nahlaste podvod na policii, zvlášť v případě nezletilých obětí.

Pokud jste vyděračům už zaplatili, v platbách rozhodně nepokračujte. Uložte si všechny zprávy i transakce a platby nahlaste jako podvodné. Pak podejte trestní oznámení.

Jak můžeme sextorzi v podobě podvodných e-mailů předejít?
Protože je sextorze v této podobě prachobyčejný internetový podvod, nejlepší ochranou je dodržování základních pravidel online bezpečnosti.

• Vytvářejte si unikátní a silná hesla pro všechny účty, které používáte.
• Pokud zrovna nepoužíváte webkameru, zakrývejte ji.
• Zkontrolujte si nastavení ochrany soukromí na sociálních sítích.
• Omezte množství osobních informací, které dáváte na internet. Nikdy nevíte, kdo se dívá.
• Pravidelně kontrolujte, zda vaše data nikam neunikla, např. přes Have I Been Pwned.
• Pořiďte si spolehlivé bezpečnostní řešení, které brání klikání na phishingové odkazy a chrání tak před infostealery, které jdou právě po vašich heslech.
• Pokud jste rodičem, otevřeně s dětmi mluvte o zneužitelnosti generativní AI nejen pro sextorzi.

Zdroj: dvojklik.cz