Byznys a finance

Podvody s využitím deepfake: Jak útočníci zneužívají hlasy příbuzných a jak ochránit své úspory

56 roky ago

Jak deepfake hlasové podvody fungují a proč jsou tak účinné

Hlasové deepfaky využívají generativní AI k napodobení konkrétní osoby na základě krátké ukázky hlasu. V praxi často stačí 20 až 60 sekund záznamu z videa na sociálních sítích, hlasové zprávy z messengeru nebo podcastového rozhovoru. Moderní modely pak umí vytvořit přesvědčivý projev včetně intonace, tempa řeči i emocí.

Podvodníci cílí na situace, kdy oběť jedná pod tlakem. Typický scénář: volá „syn“ nebo „dcera“, hlas zní vyděšeně, tvrdí, že měl/a nehodu, je na policii nebo nutně potřebuje peníze na kauci či opravu auta. Útočník spoléhá na to, že člověk v šoku přestane ověřovat detaily. Podle veřejně dostupných bezpečnostních reportů narostl počet AI phishingových a hlasových podvodů v posledních letech o desítky procent a firmy i banky opakovaně upozorňují, že největší slabinou je časový tlak a emoce.

Nejčastější scénáře útoku: od falešného dítěte po „bankéře“

Deepfake hlas se nepoužívá jen u rodinných podvodů. Útočníci kombinují hlasovou imitaci s dalšími technikami, aby zvýšili důvěryhodnost.

  • Falešná nouze v rodině: „Jsem v nemocnici, pošli peníze hned.“ Cíl je rychlý převod bez ověření.
  • Podvod přes WhatsApp nebo Messenger: z cizího čísla přijde hlasová zpráva s imitací známého hlasu a žádostí o okamžitou pomoc.
  • Vishing s deepfakem bankéře: útočník se vydává za pracovníka banky a tlačí oběť k převodu na „bezpečný účet“.
  • Firemní podvod na účetní nebo asistenty: falešný nadřízený telefonuje s požadavkem na urgentní platbu nebo změnu bankovních údajů dodavatele.

Velmi nebezpečná je kombinace hlasu a veřejných informací. Útočník si zjistí jméno dítěte, školu, město, poslední dovolenou nebo jméno psa z Facebooku a v hovoru použije přesné detaily. Tím snižuje podezření i u opatrných lidí.

Jak poznat, že mluvíte s deepfakem nebo s podvodníkem

Samotný hlas už dnes nestačí jako důkaz identity. Přesto existují varovné signály, které by měly okamžitě aktivovat ověřování:

  • neobvyklá urgence – „hned teď“, „do 10 minut“, „nevolej zpět“;
  • tlak na utajení – „nikomu to neříkej“, „nesmí to slyšet mamka“;
  • chybějící přirozené detaily – neurčité odpovědi na doplňující otázky;
  • zvláštní intonace – monotónní projev, drobné artefakty, nepřirozené pauzy, zvláštní sykavky;
  • odmítání videohovoru nebo záminka typu „mám rozbitou kameru“;
  • požadavek na platbu přes okamžitý převod, kryptoměny nebo dárkové karty.

Je dobré vědět, že kvalita deepfake hlasu není vždy perfektní. V kratších hovorech bývá často patrné, že mluvený projev je příliš hladký, bez přirozených přeřeknutí, nebo naopak obsahuje drobné chyby v rytmu. V praxi ale není rozumné spoléhat na „poznám to podle divného zvuku“. Lepší je mít pevný ověřovací postup.

Praktická ochrana: co nastavit v rodině během 15 minut

Nejefektivnější obrana není technická, ale procesní. Doporučuji zavést jednoduché pravidlo: žádné peníze, žádné citlivé údaje a žádné změny účtů bez druhého ověření. Ideální je ověřovat přes jiný kanál, než přišel původní požadavek.

Funguje například tato rodinná procedura:

  • „Bezpečné slovo“ – rodina si sjednotí krátké heslo, které se použije při nouzové žádosti o peníze. Nesmí být veřejně dohledatelné ani spojené s dnem narození.
  • Ověření přes zpětný hovor – zavolat zpět na uložený kontakt, ne na číslo z hovoru nebo zprávy.
  • Dvoukanálové potvrzení – když přijde SMS, potvrdit situaci telefonátem; když přijde telefonát, potvrdit ji videohovorem nebo hlasovou poznámkou do předem domluvené skupiny.
  • Rodinný komunikační plán – kdo volá komu při krizi, jaké jsou alternativní kontakty, kdo má přístup k důležitým informacím.

V domácnosti se vyplatí také omezit množství veřejně sdílených audio a video záznamů. Pokud někdo z rodiny pravidelně publikuje hlasová videa na sociálních sítích, dává tím útočníkům materiál pro trénování modelů. Neznamená to přestat sdílet obsah, ale je rozumné omezit délku veřejných nahrávek a nastavit přísnější soukromí profilů.

U seniorů se osvědčuje jednoduchý „anti-panikový“ návyk: když někdo chce peníze okamžitě, nejdřív položte telefon a zavolejte někomu dalšímu. Tato pauza často útok zcela zmaří.

Technické nástroje a nastavení, která skutečně pomáhají

Na úrovni zařízení a služeb lze riziko snížit několika kroky. Nejsou neprůstřelné, ale výrazně ztěžují práci útočníkům.

  • Aktivace dvoufaktorového ověření na e-mailu, WhatsAppu, Apple ID, Google účtu i bankovnictví.
  • Silná ochrana SIM karty – PIN ke kartě, zákaz přenosu čísla bez osobního ověření u operátora, kde je to možné.
  • Antispam a filtrování hovorů – některé telefony a aplikace umí označovat podezřelé hovory, blokovat neznámá čísla nebo přesměrovávat spam.
  • Správce hesel – zabrání opakovanému používání hesel, které mohou být po úniku dat snadno zneužity v kombinaci s deepfake hovorem.
  • Aktualizace zařízení – staré systémy mají slabší ochranu proti škodlivým aplikacím, které mohou nahrávat zvuk nebo získat přístup ke kontaktům.

Pro firmy je vhodné doplnit ochranu o call-back policy a interní pravidla pro platby. U každé neobvyklé finanční operace by měl existovat druhý schvalovatel a ověření přes interní adresář, ne přes číslo z e-mailu nebo hlasové zprávy. Praktické jsou také nástroje pro detekci podvodných domén, ochranu e-mailu a monitoring identity značky, protože deepfake hlas bývá jen částí širšího útoku.

Co dělat, když už jste naletěli nebo máte podezření na útok

Když máte podezření, že jde o podvod, jednejte okamžitě. U bankovního převodu je čas kritický, protože u okamžitých plateb bývá šance na zastavení omezená. Přesto má smysl kontaktovat banku co nejdřív a nahlásit podezřelou transakci. Současně si uložte čísla, čas hovoru, text zprávy a případně nahrávku, pokud ji máte legálně k dispozici.

Další kroky:

  • zablokujte přístup k e-mailu, bankovnictví a messengerům, pokud jste sdělili kódy nebo údaje;
  • změňte hesla a odhlaste všechna zařízení;
  • kontaktujte operátora, pokud hrozí zneužití SIM nebo přesměrování;
  • nahlaste incident policii a pojišťovně, pokud je relevantní;
  • informujte rodinu, aby útočník nemohl pokračovat na další osoby stejným scénářem.

Pokud jste peníze poslali pod nátlakem, nečekejte, že se situace „nějak vyřeší“. Prvních 30 až 60 minut je rozhodujících. Čím rychleji se aktivují banka, operátor a případně policie, tím větší je šance omezit škody. Do budoucna se vyplatí nastavit si domácí pravidlo, že jakákoli nečekaná žádost o peníze musí projít přes druhý kontakt a bezpečné slovo. Právě tato jednoduchá bariéra je v době deepfake podvodů často účinnější než samotná technologie.