Deepfake podvody a vishing: rozpoznání falešného hlasu

Telefon zazvoní během porady. Na displeji je neznámé číslo, ale hlas zní povědomě. "Ahoj, jsem v autě a nemůžu dlouho mluvit. Potřebuji, abys dnes poslala zálohovou platbu. Detaily máš v e-mailu." Zní to jako šéf. Tón sedí. Tempo řeči sedí. I krátké fráze znějí jako on.

Jenže šéf o ničem neví.

Takto může vypadat deepfake podvod spojený s vishingem. Vishing je hlasový phishing, tedy podvod přes telefonát. Deepfake hlas nebo voice cloning přidává něco, čemu lidé silně věří: známý hlas.

U deepfake podvodů nejde jen o technologii. Jde o důvěru, stres a rychlé rozhodnutí. Útočník nechce, abyste přemýšleli. Chce, abyste zareagovali.

To neznamená, že máme být paranoidní. Znamená to, že důležitá rozhodnutí musíme ověřovat. Hlavně když jde o peníze, přístupy, osobní údaje nebo citlivé firemní informace.

Související kontext najdete v článku AI jako útočník: phishing, deepfaky a nové kybernetické hrozby.

Deepfake podvody a vishing používají stejnou logiku jako AI phishing: útočník vytvoří důvěryhodný příběh a tlačí oběť k rychlému rozhodnutí. Veřejné informace z OSINT mu s tím často pomáhají.

Co je deepfake

Deepfake je uměle vytvořený nebo upravený zvuk, obraz nebo video, které napodobuje skutečného člověka. Pomocí AI lze vytvořit hlas, který zní podobně jako konkrétní osoba, nebo video, kde tvář a mimika vypadají velmi přesvědčivě.

K vytvoření hlasové napodobeniny někdy stačí relativně malý vzorek hlasu. Veřejné vystoupení, podcast, video z konference, rozhovor na YouTube, online školení nebo krátké video na sociálních sítích mohou útočníkovi poskytnout materiál.

Digitální stopa je proto bezpečnostní téma. Veřejná videa, profily, fotky z konferencí a příspěvky mohou pomáhat jak OSINT rešerši, tak přípravě deepfake útoku.

Proto nejsou ohroženi jen známí lidé. Riziko se týká manažerů, majitelů firem, učitelů, lékařů, realitních makléřů, obchodníků, influencerů i kohokoliv, kdo má veřejně dostupná videa a hlasové záznamy.

Co je vishing

Vishing je hlasový phishing. Útočník se přes telefon nebo hlasovou zprávu snaží přesvědčit oběť, aby udělala něco nevýhodného nebo nebezpečného.

Může jít například o:

  • převod peněz,
  • zadání kódu z SMS,
  • potvrzení platby,
  • změnu bankovního účtu,
  • prozrazení hesla,
  • instalaci aplikace,
  • poskytnutí osobních údajů,
  • otevření odkazu poslaného přes SMS.

Vishing existoval i před AI. Podvodníci volali lidem a vydávali se za banku, policii nebo technickou podporu. AI ale přidává novou vrstvu důvěryhodnosti: hlas může znít jako někdo, koho znáte.

Jak může vypadat deepfake podvod

Podvod na šéfa

Zaměstnanec dostane telefonát nebo hlasovou zprávu od osoby, která zní jako ředitel. Říká, že je na schůzce, nemůže psát, ale potřebuje urgentně zaplatit fakturu. Situace působí důvěryhodně, protože hlas zní známě a požadavek vypadá jako pracovní priorita.

Podvod na finanční oddělení

Útočník se vydává za dodavatele nebo manažera. Žádá změnu čísla účtu na faktuře. Pokud firma nemá jasný proces ověřování, zaměstnanec může změnu provést v dobré víře.

Podvod na rodinu

Rodiči zavolá hlas, který zní jako jeho dítě. Tvrdí, že mělo nehodu, ztratilo mobil, je v problému nebo potřebuje rychle peníze. Cílem je vyvolat paniku a zabránit ověření.

Podvod přes videohovor

V zahraničí byly medializované případy, kdy zaměstnanci uvěřili videohovoru s falešnými manažery a na základě toho poslali velké finanční částky. Takové útoky ukazují, že deepfake video už není jen teoretická hrozba. Může zasáhnout reálné firmy.

Varovné znaky falešného hlasu nebo videa

Deepfake nemusí být dokonalý. Často má drobné nedostatky. Problém je, že ve stresu si jich nemusíme všimnout.

Pozor si dejte hlavně na tyto signály:

  • volající vytváří silný časový tlak,
  • nechce, abyste věc ověřovali s někým jiným,
  • žádá nezvyklou platbu nebo změnu účtu,
  • říká, že jde o tajnou nebo citlivou záležitost,
  • odmítá přejít na jiný komunikační kanál,
  • odpovědi působí mírně opožděně nebo nepřirozeně,
  • hlas zní správně, ale emoce nesedí,
  • video má zvláštní pohyby rtů, očí nebo mimiky,
  • kvalita hovoru je záměrně špatná,
  • osoba se vyhýbá nečekané otázce.

Nejdůležitější signál ale není technický. Je to kombinace důvěryhodné identity a urgentního požadavku. Když někdo známý žádá něco důležitého velmi rychle, zpomalte.

Jak ověřit, že je hovor skutečný

Nejlepší obrana proti deepfake podvodům je ověření přes druhý kanál.

Postup ověření podezřelého hovoru: přijmout hovor, zastavit se, zavolat zpět a ověřit

Pokud vám volá "šéf" a žádá platbu, zavěste a zavolejte mu zpět na číslo, které už máte uložené. Ne na číslo, ze kterého přišel podezřelý hovor. Pokud vám píše "kolega" z neznámého čísla, ověřte to přes firemní chat. Pokud vám volá "dítě" v panice, položte otázku, kterou by znalo jen ono.

Ve firmě je vhodné zavést bezpečnostní fráze nebo ověřovací pravidla. U urgentních plateb by mělo být druhé schválení. Při změně účtu dodavatele je potřeba volat na původně evidovaný kontakt. U citlivých požadavků nestačí hlasová zpráva.

Co by měly udělat firmy

Firmy by měly přestat vnímat deepfake jako kuriozitu. Je to součást moderní bezpečnostní reality.

Praktická opatření:

  1. Nastavte pravidla pro urgentní platby. Žádná platba jen na základě telefonátu.
  2. Zaveďte dvojí schválení u vyšších částek.
  3. Ověřujte změnu bankovního účtu dodavatele přes nezávislý kontakt.
  4. Školte lidi na vishing a deepfake scénáře.
  5. Omezte veřejné sdílení citlivých interních informací.
  6. Vytvořte jednoduchý postup, jak nahlásit podezřelý hovor.
  7. Učte zaměstnance, že ověření není nedůvěra, ale profesionální standard.

Co by měly udělat rodiny

Deepfake hlasové podvody nejsou jen firemní riziko. Riziko roste i pro rodiny.

Domluvte si jednoduchá pravidla:

  • rodinné heslo pro nouzové situace,
  • pravidlo, že peníze se neposílají pod tlakem,
  • ověření zpětným hovorem,
  • otázky, které zná jen člen rodiny,
  • žádné sdílení kódů nebo osobních údajů přes zprávy.

Starší lidé mohou být zvlášť zranitelní vůči hovorům, které vyvolávají strach. Je lepší tyto scénáře probrat předem, ne až po incidentu.

Závěr

Deepfake podvody jsou nebezpečné, protože útočí na důvěru. Hlas a tvář jsou věci, kterým přirozeně věříme. AI tuto důvěru dokáže zneužít.

Základní pravidlo je jednoduché: u peněz, hesel, účtů a citlivých dat hlas nestačí. Je potřeba ověření.

Není ostuda říct: "Ověřím si to a ozvu se zpět." Tato věta může zachránit peníze, firmu i osobní data.

Související články

Nečekejte na falešný hovor - otestujte vishingovou odolnost své firmy.

Rezervovat