AI a OSINT: jak útočníci využívají veřejné informace

Když se řekne kyberútok, mnoho lidí si představí někoho, kdo láme hesla a útočí na servery. Realita bývá často jednodušší. Útočník se nejdřív podívá, co o sobě firma a její lidé prozrazují veřejně.

Tomu se říká OSINT. Zkratka znamená open-source intelligence, tedy získávání informací z otevřených zdrojů. Nejsou to ukradená data. Jsou to veřejné informace, které jsou volně dostupné na internetu.

Právě OSINT AI je dnes důležitý u phishingu, vishingu, deepfake podvodů a sociálního inženýrství. Umělá inteligence celý proces zrychluje: z veřejných detailů dokáže rychle vytvořit důvěryhodný příběh.

Související kontext najdete v článcích AI jako útočník, co je AI phishing a jak rozpoznat deepfake hlas.

Co všechno může být veřejná informace

Mnoho lidí si řekne: „Já přece nezveřejňuji nic citlivého.“ Jenže útočníci nehledají jen jedno velké tajemství. Hledají malé kousky skládačky.

Mezi veřejné informace patří například:

  • jména zaměstnanců,
  • pracovní pozice,
  • organizační struktura,
  • e-mailové formáty,
  • telefonní čísla,
  • fotografie z kanceláří, konferencí a eventů,
  • pracovní inzeráty a používané technologie,
  • seznam klientů, dodavatelé a tiskové zprávy,
  • komentáře na LinkedInu a veřejné příspěvky zaměstnanců,
  • dokumenty, prezentace a informace z obchodního rejstříku.

Samostatně mohou působit neškodně. Spolu ale vytvoří velmi přesný obraz o firmě, lidech, projektech a interních prioritách. Proto je digitální stopa bezpečnostní téma, ne jen marketingová otázka.

Rizika veřejně sdílené konferenční fotografie: jmenovky, obrazovky a interní informace

Jak útočník skládá příběh

Představme si jednoduchý scénář. Firma zveřejní na LinkedInu, že vyhrála nový projekt. Zaměstnanci komentují příspěvek. Jeden z nich má v profilu uvedeno, že je projektový manažer. Na webu firmy je seznam kontaktů. V pracovním inzerátu firma píše, že používá konkrétní CRM systém. Na fotce z kanceláře je vidět název dodavatele.

Útočník má najednou dost informací na to, aby napsal přesvědčivou zprávu:

„Ahoj Martine, k novému projektu pro logistického klienta posíláme aktualizovaný export z CRM. Prosím, podívej se na to dnes, zítra máme deadline.“

Taková zpráva je mnohem nebezpečnější než obecný phishing. Obsahuje jméno, projekt, nástroj i pracovní kontext. Člověk má pocit, že zpráva dává smysl.

Kde do toho vstupuje AI

AI pomáhá útočníkům rychle zpracovat mnoho informací a přeměnit je na důvěryhodný text. Útočník může zadat veřejné informace do AI nástroje a požádat ho o e-mail pro finanční oddělení, personalizovanou zprávu na LinkedIn, telefonický scénář nebo falešnou komunikaci od dodavatele.

AI může pomoci i s tónem. Zpráva může znít formálně, přátelsky, stručně, manažersky nebo technicky. Může být napsaná česky bez zjevných chyb a obsahovat přesně tolik detailů, aby působila věrohodně.

Proto už nestačí spoléhat na gramatické chyby. Moderní AI phishing může být napsaný lépe než běžný pracovní e-mail.

Co je pretexting

Pretexting znamená vytvoření falešného příběhu, který má oběť přesvědčit, aby něco udělala. Útočník si vymyslí záminku a hraje roli.

Může se vydávat za:

  • nového dodavatele,
  • zákazníka,
  • kolegu z jiného oddělení,
  • IT podporu,
  • kurýra,
  • auditora,
  • kandidáta na pracovní pozici,
  • manažera nebo pracovníka banky.

Dobrý pretext není dramatický. Je obyčejný. Zapadá do pracovního dne. A právě proto funguje.

Příklady OSINT útoků v praxi

LinkedIn phishing

Útočník si vybere zaměstnance na LinkedInu. Podívá se na jeho pozici, komentáře, kolegy a zájmy. Potom mu pošle zprávu jako recruiter, obchodní partner nebo účastník konference.

Cílem může být dostat ho na falešnou přihlašovací stránku, poslat škodlivý soubor nebo navázat důvěru pro další krok.

LinkedIn OSINT útok: veřejný profil použitý pro personalizovanou phishingovou zprávu

Podvod na fakturu

Útočník zjistí, kdo ve firmě řeší finance a jaké dodavatele firma používá. Potom pošle zprávu, která vypadá jako požadavek od dodavatele na změnu bankovního účtu. Pokud firma nemá ověřovací proces, peníze mohou odejít na účet útočníka.

Falešná technická podpora

Z pracovních inzerátů se dá zjistit, jaké systémy firma používá. Útočník pak zavolá zaměstnanci a vydává se za podporu konkrétního nástroje: „Dobrý den, volám ohledně vašeho CRM systému, dnes probíhá migrace. Potřebuji ověřit váš přístup.“

Deepfake příprava

Veřejná videa a podcasty mohou obsahovat hlasové vzorky manažerů. Útočník je může zneužít při hlasovém podvodu. Čím víc veřejného obsahu, tím jednodušší příprava.

Jak snížit digitální stopu firmy, aniž byste zmizeli z internetu

Cílem není přestat komunikovat. Firma potřebuje marketing, prodej, LinkedIn, web a důvěru. Cílem je sdílet rozumně.

Pro jednotlivce

  • Nepište veřejně příliš mnoho detailů o interních procesech.
  • Zvažte, jestli musí být každý pracovní nástroj uvedený v profilu.
  • Při přijímání zpráv od neznámých lidí buďte opatrní.
  • Neklikejte na odkazy v LinkedIn zprávách bez ověření.
  • Dávejte pozor na fotky, kde jsou viditelné obrazovky, kartičky, tabule nebo interní dokumenty.
  • Neposílejte pracovní dokumenty přes osobní účty.

Pro firmy

  • Zkontrolujte, co zveřejňujete na webu.
  • Projděte pracovní inzeráty a odstraňte zbytečné technické detaily.
  • Nastavte pravidla pro veřejné sdílení fotek z kanceláře.
  • Školte zaměstnance na OSINT a sociální inženýrství.
  • Zaveďte proces ověřování plateb a změn účtů.
  • Monitorujte podezřelé domény podobné vaší firemní doméně.
  • Usnadněte nahlašování podezřelých zpráv.

Proč je LinkedIn dvojsečná zbraň

LinkedIn je užitečný nástroj. Pomáhá budovat značku, prodávat, hledat lidi a sdílet know-how. Zároveň je ale skvělým zdrojem informací pro útočníky.

Neznamená to, že ho nemáte používat. Znamená to, že byste měli přemýšlet, co sdílíte. Například příspěvek „náš finanční tým dnes řeší velký audit s externím dodavatelem“ může být pro marketing neškodný, ale pro útočníka užitečný.

Nejlepší pravidlo zní: sdílejte úspěchy, ne interní detaily.

Praktický checklist pro marketing a HR

Marketing a HR často zveřejňují nejvíc informací. Proto potřebují jednoduchý checklist.

Před publikováním se zeptejte:

  • Jsou na fotce vidět obrazovky, dokumenty nebo interní poznámky?
  • Nezveřejňujeme jména lidí u citlivých systémů?
  • Nemluvíme příliš detailně o technologiích?
  • Nezveřejňujeme, kdo přesně schvaluje platby nebo přístupy?
  • Není příspěvek použitelný pro falešné oslovení?
  • Nepíšeme o dovolené nebo nepřítomnosti klíčových lidí v reálném čase?

Závěr

AI a OSINT tvoří nebezpečnou kombinaci. Veřejné informace dávají útočníkovi materiál. AI mu pomáhá vytvořit přesvědčivý příběh. A člověk ve stresu může udělat chybu.

Dobrá zpráva je, že riziko se dá snížit. Nemusíte se schovávat z internetu. Stačí vědět, že všechno veřejné může být použito i proti vám.

Stejná logika platí i pro rodiny a školy. Fotky, profily a veřejné příspěvky mohou ovlivnit soukromí i riziko falešného obsahu, proto samostatně řešíme také ochranu dětí online.

Před zveřejněním si položte otázku: „Pomáhá tato informace našim zákazníkům, nebo spíš útočníkovi?“

Související články

Nečekejte, až veřejné informace pomohou útočníkovi - otestujte digitální stopu své firmy.

Rezervovat