AI a OSINT: ako útočníci využívajú verejné informácie

Keď sa povie kyberútok, veľa ľudí si predstaví niekoho, kto prelamuje heslá a útočí na servery. Realita býva často jednoduchšia. Útočník si najprv pozrie, čo o sebe firma a jej ľudia prezrádzajú verejne.

Tomu sa hovorí OSINT. Skratka znamená open-source intelligence, teda získavanie informácií z otvorených zdrojov. Nie sú to ukradnuté dáta. Sú to verejné informácie, ktoré sú voľne dostupné na internete.

Práve OSINT AI je dnes dôležitý pri phishingu, vishingu, deepfake podvodoch a sociálnom inžinierstve. Umelá inteligencia celý proces zrýchľuje: útočník vie z verejných detailov rýchlo vytvoriť dôveryhodný príbeh.

Súvisiaci kontext nájdete v článkoch AI ako útočník, čo je AI phishing a ako rozpoznať deepfake hlas.

Čo všetko môže byť verejná informácia

Mnoho ľudí si povie: „Ja predsa nezverejňujem nič citlivé.“ Lenže útočníci nehľadajú iba jedno veľké tajomstvo. Hľadajú malé kúsky skladačky.

Medzi verejné informácie patria napríklad:

  • mená zamestnancov,
  • pracovné pozície,
  • organizačná štruktúra,
  • e-mailové formáty,
  • telefónne čísla,
  • fotografie z kancelárií, konferencií a eventov,
  • pracovné inzeráty a používané technológie,
  • zoznam klientov, dodávatelia a tlačové správy,
  • komentáre na LinkedIne a verejné príspevky zamestnancov,
  • dokumenty, prezentácie a informácie z obchodného registra.

Samostatne môžu pôsobiť neškodne. Spolu však vytvoria veľmi presný obraz o firme, ľuďoch, projektoch a interných prioritách. To je dôvod, prečo je digitálna stopa bezpečnostná téma, nie iba marketingová otázka.

Riziká verejne zdieľanej konferenčnej fotografie: menovky, obrazovky a interné informácie

Ako útočník skladá príbeh

Predstavme si jednoduchý scenár. Firma zverejní na LinkedIne, že vyhrala nový projekt. Zamestnanci komentujú príspevok. Jeden z nich má v profile uvedené, že je projektový manažér. Na webe firmy je zoznam kontaktov. V pracovnom inzeráte firma píše, že používa konkrétny CRM systém. Na fotke z kancelárie je vidno názov dodávateľa.

Útočník má zrazu dosť informácií na to, aby napísal presvedčivú správu:

„Ahoj Martin, k novému projektu pre logistického klienta posielame aktualizovaný export z CRM. Prosím, pozri to dnes, zajtra máme deadline.“

Takáto správa je oveľa nebezpečnejšia než všeobecný phishing. Obsahuje meno, projekt, nástroj aj pracovný kontext. Človek má pocit, že správa dáva zmysel.

Kde do toho vstupuje AI

AI pomáha útočníkom v tom, že dokáže veľa informácií rýchlo spracovať a premeniť na dôveryhodný text. Útočník môže zadať verejné informácie do AI nástroja a požiadať ho o vytvorenie e-mailu pre finančné oddelenie, personalizovanej správy na LinkedIn, telefonického scenára alebo falošnej komunikácie od dodávateľa.

AI môže pomôcť aj s tónom. Správa môže znieť formálne, priateľsky, stručne, manažérsky alebo technicky. Môže byť napísaná v slovenčine bez očividných chýb. Môže obsahovať presne takú mieru detailu, aby pôsobila vierohodne.

To je dôvod, prečo už nestačí spoliehať sa na gramatické chyby. Moderný AI phishing môže byť napísaný lepšie než bežný pracovný e-mail.

Čo je pretexting

Pretexting znamená vytvorenie falošného príbehu, ktorý má obeť presvedčiť, aby niečo urobila. Útočník si vymyslí zámienku a hrá rolu.

Môže sa tváriť ako:

  • nový dodávateľ,
  • zákazník,
  • kolega z iného oddelenia,
  • IT podpora,
  • kuriér,
  • audítor,
  • kandidát na pracovnú pozíciu,
  • manažér alebo pracovník banky.

Dobrý pretext nie je dramatický. Je obyčajný. Zapadá do pracovného dňa. A práve preto funguje.

Príklady OSINT útokov v praxi

LinkedIn phishing

Útočník si vyberie zamestnanca na LinkedIne. Pozrie si jeho pozíciu, komentáre, kolegov a záujmy. Potom mu pošle správu ako recruiter, obchodný partner alebo účastník konferencie.

Cieľom môže byť dostať ho na falošnú prihlasovaciu stránku, poslať škodlivý súbor alebo nadviazať dôveru pre ďalší krok.

LinkedIn OSINT útok: verejný profil použitý na personalizovanú phishingovú správu

Podvod na faktúru

Útočník zistí, kto vo firme rieši financie a akých dodávateľov firma používa. Potom pošle správu, ktorá vyzerá ako požiadavka od dodávateľa na zmenu bankového účtu. Ak firma nemá overovací proces, peniaze môžu odísť na účet útočníka.

Falošná technická podpora

Z pracovných inzerátov sa dá zistiť, aké systémy firma používa. Útočník potom zavolá zamestnancovi a tvári sa ako podpora konkrétneho nástroja: „Dobrý deň, volám ohľadom vášho CRM systému, dnes prebieha migrácia. Potrebujem overiť váš prístup.“

Deepfake príprava

Verejné videá a podcasty môžu obsahovať hlasové vzorky manažérov. Útočník ich môže zneužiť pri hlasovom podvode. Čím viac verejného obsahu, tým ľahšia príprava.

Ako znížiť digitálnu stopu firmy bez toho, aby ste zmizli z internetu

Cieľom nie je prestať komunikovať. Firma potrebuje marketing, predaj, LinkedIn, web a dôveru. Cieľom je zdieľať rozumne.

Pre jednotlivcov

  • Nepíšte verejne príliš veľa detailov o interných procesoch.
  • Zvážte, či musí byť každý pracovný nástroj uvedený v profile.
  • Pri prijímaní správ od neznámych ľudí buďte opatrní.
  • Neklikajte na odkazy v LinkedIn správach bez overenia.
  • Dávajte pozor na fotky, kde sú viditeľné obrazovky, kartičky, tabule alebo interné dokumenty.
  • Neposielajte pracovné dokumenty cez osobné účty.

Pre firmy

  • Skontrolujte, čo zverejňujete na webe.
  • Prejdite si pracovné inzeráty a odstráňte zbytočné technické detaily.
  • Nastavte pravidlá pre verejné zdieľanie fotiek z kancelárie.
  • Školte zamestnancov na OSINT a sociálne inžinierstvo.
  • Zaveďte proces overovania platieb a zmien účtov.
  • Monitorujte podozrivé domény podobné vašej firemnej doméne.
  • Uľahčite nahlasovanie podozrivých správ.

Prečo je LinkedIn dvojsečná zbraň

LinkedIn je užitočný nástroj. Pomáha budovať značku, predávať, hľadať ľudí a zdieľať know-how. Zároveň je však skvelý zdroj informácií pre útočníkov.

Neznamená to, že ho nemáte používať. Znamená to, že by ste mali rozmýšľať, čo zdieľate. Napríklad príspevok „náš finančný tím dnes rieši veľký audit s externým dodávateľom“ môže byť pre marketing neškodný, ale pre útočníka užitočný.

Najlepšie pravidlo znie: zdieľajte úspechy, nie interné detaily.

Praktický checklist pre marketing a HR

Marketing a HR často zverejňujú najviac informácií. Preto potrebujú jednoduchý checklist.

Pred publikovaním sa opýtajte:

  • Vidno na fotke obrazovky, dokumenty alebo interné poznámky?
  • Nezverejňujeme mená ľudí pri citlivých systémoch?
  • Nehovoríme príliš detailne o technológiách?
  • Nezverejňujeme, kto presne schvaľuje platby alebo prístupy?
  • Nie je príspevok použiteľný na falošné oslovenie?
  • Nepíšeme o dovolenke alebo neprítomnosti kľúčových ľudí v reálnom čase?

Záver

AI a OSINT tvoria nebezpečnú kombináciu. Verejné informácie dávajú útočníkovi materiál. AI mu pomáha vytvoriť presvedčivý príbeh. A človek v strese môže urobiť chybu.

Dobrá správa je, že riziko sa dá znížiť. Nemusíte sa schovávať z internetu. Stačí vedieť, že všetko verejné môže byť použité aj proti vám.

Rovnaký princíp platí aj pri ochrane súkromia detí. Fotky, profily a verejné detaily môžu byť zneužité pri falošných profiloch alebo deepfake obsahu, preto odporúčame aj článok ochrana detí online.

Pred zverejnením si položte otázku: „Pomáha táto informácia našim zákazníkom, alebo skôr útočníkovi?“

Súvisiace články

Nečakajte, kým verejné informácie pomôžu útočníkovi - otestujte digitálnu stopu svojej firmy.

Rezervovať