V první linii kybernetické obrany. Výzvy a strategie proti digitálním hrozbám

Jaké jsou hlavní úkoly a oblasti oddělení kybernetické kriminality, kterým se věnujete?
Hlavní činností oddělení je prověřování a vyšetřování trestných činů páchaných v kyberprostoru. V užším pojetí jde o útoky na oblast informačních a komunikačních technologií a v nich obsažená data. Příkladem mohou být tzv. ransomware útoky, kdy pachatel prostřednictvím škodlivého malware napadne vnitřní počítačové sítě, poškozeným zašifruje data a za jejich dešifrování požaduje platbu tzv. výkupného.
V širším pojetí jde o kriminalitu páchanou za výrazného využití informačních a komunikačních technologií, přičemž hlavním objektem zájmu pachatele jsou majetkové hodnoty, lidská důstojnost a svoboda. Jde např. o phishingové útoky mající za cíl vylákání citlivých údajů k platebním prostředkům, či sexuální nátlaky v prostředí sociálních sítí. V rámci dokumentace těchto oznámení kriminalisté provádí výslechy svědků a poškozených, zajišťují digitální stopy, zálohují a analyzují nosiče dat, trasují výnosy z trestné činnosti, provádí operativně pátrací činnosti a další úkony dle trestní řádu k objasnění věci. Jde o mravenčí práci. Vyšetřování má často mezinárodní přesah. Současně oddělení metodicky zastřešuje nižší články policie a spolupracuje s dalšími subjekty v oblasti prevence.

Jaké jsou hlavní kriminogenní faktory spojené s kybernetickou kriminalitou a jak ovlivňují vaši práci? Jak se vyrovnáváte s rostoucí anonymitou, technologickým rozvojem a finanční motivací pachatelů?
V posledních letech evidujeme prudký nárůst kybernetické kriminality. Tato skutečnost zjevně souvisí s rozvojem internetu a IT technologií obecně. Stále více lidských činností se přesouvá do virtuálního prostředí. Lidé prostřednictvím internetu pracují, investují, nakupují, studují, chatují, seznamují se… Zkrátka zde tráví čím dál více času. Svět se globalizuje a propojuje. Pachatelé se tomuto trendu přizpůsobili. Trestnou činnost páchají z pohodlí domova, anonymně, využívají zranitelnosti systémů, nedostatečnou ochranu a slabé povědomí společnosti o bezpečném chování na internetu. Kriminalitu obecně chápeme jako produkt motivace a příležitosti. Motivem je zpravidla majetkový prospěch, nebo jiná výhoda, nenávist, či sexuální podnět.
Policie samozřejmě na tyto trendy reaguje. Nasazujeme a využíváme různé analytické nástroje, forenzní software a hardware, spolupracujeme s kolegy i na mezinárodní úrovni. Důležitá je i personální politika a celoživotní vzdělávání policistů. Působíme také na poli osvěty a prevence. Musím však přiznat, že prověřování těchto případů je velice složité, časově náročné a řada z nich zůstane neobjasněna, což je pro každého kriminalistu frustrující.

Podvodné praktiky v kybernetické kriminalitě, jako je podvodný kupující, podvodný investiční makléř, podvodný bankéř a ransomware jsou stále častější. Můžete uvést čtenářům nějaké konkrétní příklady z praxe? Jaké jsou nejnovější trendy v této oblasti a jak pracujete na jejich identifikaci a potírání?
Trendem jsou prosté podvody. Nejde o žádné sofistikované útoky na IT systémy, nýbrž na jejich uživatele. Pachatelé využívají různé metody phishingu, manipulace, soc. inženýrství, zastrašování, nepozornosti, či neznalosti běžných uživatelů internetu. Vše probíhá v prostřední internetu, telefonicky či v chatovací aplikaci. Výsledkem je, že poškozený je uveden v omyl sám a dobrovolně vydá pachateli dálkový přístup k platebním prostředkům, ke svému počítači či pod různými legendami přímo pachateli zašle své úspory. Internet je doslova zaplaven podvodnými nabídkami na zprostředkování „výhodné“ investice. Pachatelé obvykle zneužijí obchodní jméno úspěšných společností a známých osobností a pod jejich záštitou zaručují exkluzivní zisky. Jde o podvodné investice do akcií, kryptoměn apod. V praxi to chodí tak, že poškozený si prohlédne podvodnou reklamu na internetu, vyplní do online formuláře své tel. číslo, email a jméno. Následně se mu telefonicky ozve podvodný makléř a vysvětlí mu princip celé investice a přesvědčí ho k zaslání fin. prostředků. Vše vypadá profesionálně. V řadě případů poškozený povolí „makléři“ dálkový přístup ke svému počítači a internetovému bankovnictví, aby měl vše pohodlné. V těchto případech zcela absentují jakékoliv kroky k ověření. Investici poškozený tedy nikdy neuvidí. Chodí k nám lidé, kteří takto přišli i o milionové částky. Peníze končí obvykle na zahraničních účtech „bílých koní“ nebo v kryptoměně.
Obdobné techniky využívají „podvodní kupující“. Evidujeme desítky oznámení, kdy poškozený prodává nějakou věc na inzertním portálu např. Bazoš. Na inzerát se mu ozve podvodný kupující s tím, že má zájem, kdy věc převezme kurýrní služba a prostřednictvím této služby dostane poškozený i kupní cenu. Stačí jen málo…, kliknout na přiložený link, kde poškozený v domnění potvrzení příchozí platby vyplní citlivé údaje ke své platební kartě nebo internetovému bankovnictví a autorizuje převody. Namísto prodané věci v hodnotě několika set korun, tak poškozený přijde o desítky až stovky tisíc Kč.
Podvodný bankéř používá techniky zastrašení. Oběť kontaktuje telefonicky s tvrzením, že detekoval bezpečnostní problém na bankovním účtu a je nutné, aby okamžitě všechny prostředky z účtu vybral a vložil do zabezpečeného vkladomatu. Tito pachatelé používají různé triky, např. volají prostřednictvím VOIP služeb, které jim umožňují přiřadit ke svému volání skutečné tel. číslo banky. Dále tvrdí, že do případu jsou zapleteni i pracovníci banky, proto nestačí účet blokovat a není možné věc ani konzultovat na pobočce. Tyto skutečnosti poškozenému potvrdí v dalším hovoru spolupachatel, který se představí jako policista. Pachatelé jsou schopni poškozenému přivolat i taxi do místa bydliště a nechají je odvést přímo do banky. Dále poškozeného navigují k vkladomatu kryptoměn, kde své úspory v omylu vloží na předem zaslané anonymní kryptopeněženky. Po celou dobu pachatel s poškozeným komunikuje a zaměstnává jeho mysl, aby ho nenechal přemýšlet o nesmyslnosti celé věci. Škody jsou úměrné úsporám, často v řádech milionů.
Útoky ransomware jsem popsal již v úvodu. Zde se jedná již o sofistikovaný útok na počítačové sítě a v nich obsažená data. Útok probíhá prostřednictvím distribuce škodlivého malware. Útočník využívá zranitelnost systému (často slabě zabezpečený dálkový přístup do vnitřní sítě), či lidský faktor, kdy uživatel otevře email s nákazou. Vlivem nákazy dojde k zašifrování všech dat, pro uživatele se tedy stávají nečitelné. Přichází tak např. o účetní a obchodní data, fotografie apod. Útočník v postiženém systému zanechá výzvu ke kontaktu s tím, že za příslušný poplatek data dešifruje. V tomto směru PČR kontakt a platbu výkupného nedoporučuje. Výše škody je pak odvislá podle toho, zda poškozený zálohuje svá data i mimo síť. Pokud jde o vyšetřování, z taktických důvodů zde nemohu prozradit detaily. Obecně však policie jde po výnosech z trestné činnosti. Byť pachatelé tyto výnosy „perou“ prostřednictvím „bílých koní“ nebo je ukládají do anonymních kryptoměn, šance na úspěch tu vždy nějaká je. Větší smysl má ale prevence, je třeba zvýšit bezpečnost chování občanů na internetu.

Jaká jsou preventivní opatření a bezpečnostní pravidla, která lze uplatnit pro ochranu před kybernetickou kriminalitou? Jak podporujete povědomí veřejnosti a podniků o těchto rizicích a jakou roli hraje spolupráce s dalšími články policie?
Prevence zaměřená na potencionální oběti je z mého pohledu alfa a omega celé věci. Plně podporuji jakékoliv preventivní sdělení, či opatření směrem k veřejnosti. V tomto směru jsou účinná zejména masivní a opakované sdělení ve sdělovacích prostředích, přednášková činnost a využití soc. sítíorgánů státní správy. Základní radou pro všechny, je: “pozorně číst, nespěchat, a hlavně věci ověřovat z jiných zdrojů“. Podvodnou investiční nabídku prozradí doména (url řádek), která obvykle běží na zahraničním serveru (nemá tedy koncovku „cz“), neshoduje se s oficiální doménou zneužité společnosti (cez. cz) a není možné sjednat osobní schůzku s makléřem. Varovným signálem jsou také slibované zisky v řádech desítek až stovek procent.
Podvodného kupujícího odhalí ihned url řádek zaslaného linku na potvrzení přepravy a platby. Ten nikdy není shodný s oficiální stránkou přepravce (např. ppl.cz) a hlavně k příchozí platbě nikdy není nutno zadávat hesla a potvrzovací kódy v rámci internetbanking, či všechny údaje z platební karty. Banky vesměs požadují dvoufaktorovou verifikaci platby. Tento systém je však bezpečný jen do té míry, jak ho používá poškozený. Podvedení lidé nám totiž opakovaně přiznávají, že obsah autorizačních zpráv od banky nečetli, jen je prostě potvrdili.
Pokud jde o podvodného bankéře, je nutno říci, že banka nikdy a v žádném případě neřeší bezpečnostní incidenty hotovostním výběrem prostředků. Spoofované tel. číslo lze odhalit zpětným voláním v síti GSM. Jinými slovy, pokud pachatel metodou spoofing podvrhl tel. číslo banky, poškozený hovor položí a na stejné číslo zavolá sám, dovolá si již do banky, nikoliv pachateli. Ostatně pokud poškozený přesto podlehne, peníze vybere a drží je v ruce, jsou již v bezpečí a nedává smysl je vkládat jinam do jakéhosi zabezpečeného vkladomatu.
Ochrana před útoky ransomware spočívá především v prevenci. Důležité je pravidelné a úplné zálohování dat mimo vlastní vnitřní síť. Nutností je zachování bezpečnostních pravidel týkajících se přístupu do vnitřní sítě z internetu a nakládání z emailovými zprávami. V tomto směru je dobré se obrátit na odborníky.

Kybernetická kriminalita má často mezinárodní přesah. Jak vypadá spolupráce se zahraničními orgány při vyšetřování a potírání těchto trestných činů? Jaké jsou hlavní výzvy a překážky v mezinárodní spolupráci v této oblasti?
Spolupráce je odvislá od toho, zda má ČR s příslušnou zemí smlouvu o mezinárodní justiční spolupráci, případně o mezinárodní policejní spolupráci. V rámci Evropské Unie je spolupráce na velmi dobré úrovni. Ze zřejmých skutečností je problém např. s Ruskem. Na policejním prezidiu máme odbor, který se přímo zabývá mezinárodní policejní spolupráci. Využíváme spojení na Europol a Interpol. Spolupracujeme se styčnými důstojníky PČR při ambasádách v zahraničí a řadu informací získáme napřímo dle dohod o přímé spolupráci s některými provozovateli soc. sítí. Překážkou je neochota ke spolupráci, resp. absence smlouvy o spolupráci, nebo délka vyřízení takové žádosti, když je nebezpečí z prodlení. Výzvou může být například vnik unijní policie v rámci EU, tak jak je tomu např. v USA.

Autor: Yeva Bartkiv, Foto Shutterstock / PČR