Hlavní navigace

Kyberkriminalita a kryptosvět: Jak se nepřipravit o peníze?

30. 5. 2022
Doba čtení: 11 minut

Sdílet

Kryptoměny nás fascinují svými možnostmi a straší rizikem. Chystaná regulace může zmírnit obojí a eliminovat krádeže kryptoměn, jejichž sumy dosahují obrovských částek.

Ačkoli o kryptoměnách slyšel už téměř každý, investuje do nich zatím stále menšina lidí. Lidé se bojí výkyvů i podvodů, o které není nouze. Jak se ve světě kryptoměn podvádí a co zmůže chystaná regulace?

O tom se diskutovalo na konferenci FIN ®Evoluce, kterou pořádal server Měšec.cz. O dalších tématech z konference jsme psali v článku Voicebot, digitální identita nebo čip v ruce. Mají všechny technologické novinky budoucnost?

Regulace kryptoměn

Kryptoměny se na konferenci řešily hned několikrát. Není se čemu divit, svět se o ně zajímá stále víc. Od ledna 2018 do listopadu 2021 se podle Adama Neubergera, jednoho ze zakladatelů projektu Probinex, trh kryptoměn zvětšil až na čtyřnásobek tržní kapitalizace. Výrazně narostl i počet peněženek v kryptu, zvětšil se tedy počet uživatelů, kteří reálně kryptoměny používají. V čase roste i počet institucí, které vstupují do světa kryptoměn.

Samotní Češi jsou v krypto světě poměrně aktivní. Za rok 2021 byly podle Neubergera v ČR nakoupeny kryptoměny v hodnotě 5 mld. Kč.

Trh kryptoměn se mezi lety 2018 a 2021 zvětšil čtyřikrát

Autor: Gábina Hájková, z prezentace Adama Neubergera

Peníze tedy v kryptu jsou, a kde jsou peníze, tam se obrací i pozornost lidí, kteří si je chtějí neprávem přivlastnit. V roce 2021 bylo takto ukradeno 14 mld. dolarů. Oproti roku 2020 se jedná o nárůst o 79 %.

Bobtnající svět krypta už na sebe stihl přivolat i zájem států, které začínají řešit regulaci. Toto téma řeší země po celém světě. Ať už jsou to USA, Švýcarsko, Jižní Korea, Japonsko… Nás samozřejmě nejvíce zajímá EU. Jaká regulace se nás bude týkat. Ta pravidla už se tvoří, dokonce část z nich už dnes funguje, upozornil Neuberger, podle kterého má přijít velká regulace v roce 2024 nazývaná zkratkou MiCA.

Regulátoři přitom podle něj řeší většinou podobné otázky. Jednou z nich jsou samozřejmě dohledové orgány a licence, aby vzrostla kontrola nad tím, kdo služby spojené s kryptoměnami poskytuje.

Dále se regulace dotkne procesů AML (anti-money-laundering), tedy opatření proti praní špinavých peněz. Ačkoli, jak Neuberger upozornil, AML procesy už dnes v této oblasti fungují. Například subjekty v ČR se živností pro služby spojené s virtuálními aktivy spadají pod dohledové orgány, a pokud podnikáte v kryptoměnách, musíte provádět AML procesy, vysvětlil.

Dále bude v oblasti regulace hrát svou roli pravidlo Travel rule. To se týká identifikace peněženek, verifikace peněženek. Pokud budu chtít poslat ze své krypto peněženky částku od 200 euro svému kamarádovi na peněženku mimo EU, pak ho budu muset identifikovat, vysvětlil.

Zároveň zdůraznil, že klíčový bude při regulaci legislativní rámec, který určuje, co je to kryptoaktivum, jak k němu přistupovat a jak ho danit.

Regulace přinese podle Neubergera do světa kryptoměn více bezpečnosti, což do této oblasti přitáhne další zájem, větší kapitalizaci. To podle něj povede k tomu, že se tento trh stane stabilnějším a nebude na něm docházet k takovým výkyvům. Jasný legislativní rámec také umožní větší rozjezd byznysu v této oblasti.

Vedle pozitiv ale v souvislosti s regulací varuje například před negativním zásahem do samotné filozofie kryptoměn, nebude-li regulace nastavená rozumně.

Ať nás čeká v oblasti kryptoměn v budoucnu cokoli, podle Neubergera mohou být už nyní kryptoměny téma pro nás pro všechny, protože mohou přinést zajímavé možnosti a nové finanční produkty. A regulace bude příležitost, aby si ke kryptoměnám našli cestu i ostatní.

Jak se podvádí v kryptosvětě?

O kryptoměnách hovořil také Radomír Eliáš, který se této oblasti věnuje dlouhodobě. V jejich souvislosti upozorňoval hlavně na hledisko bezpečnosti. Podle Eliáše totiž může přijít o peníze v kryptoměnách (ať už kvůli manipulaci, podvodu, nebo špatné investici) každý z nás.

Přispívá k tomu například fakt, že drtivá většina kryptoměn se podle jeho mínění ocitne nakonec v propadlišti dějin. Mnoho z nich je založených na podvodné manipulaci nebo podvodném schématu nebo jde o kryptoměnu s malou nebo žádnou hodnotou (tzv. shitcoin – pozn. red.), jejímž účelem je obohacení na úkor investora, upozornil Eliáš.

Prostor pro různá podvodná schémata a manipulaci vzniká především tam, kde má jedna strana informační převahu nad tou druhou: Kybernetický vývoj probíhá strašně rychle a není v lidských silách držet krok, takže útočníci tahají za delší konec a investor bude vždy na té slabší straně.

V kryptoměnách může být podle něj denní zisk mnohem vyšší než ten, který známe z bankovního světa. V současnosti útočníci slibují investorům profit 15 % denně. Problém je, že spousta lidí není finančně gramotná a neumí si spočítat, co je a co není možné.

Standardní fungující kryptoměnová firma musí mít podle Eliáše podchycenou technickou stránku (např. funkční blockchain), musí mít svou finanční jednotku, která spočítá, co dává a co nedává smysl, a musí mít spolupracující obchod a marketing, které ale musí brát ohled právě na technologickou a finanční stránku.

Ponziho schéma je podvodná investiční operace, kdy si investoři ukládají u fondu peníze za účelem zhodnocení, provozovatel fondu prostředky ale dál neinvestuje. Místo toho je vyplácí investorům, kteří zde investovali dříve.

Systém může fungovat pouze pokud se provozovateli daří lákat nové a nové investory. V opačném případě peníze ve fondu dojdou a ten zkrachuje. Vyplacení jsou tedy jen někteří, zatímco ostatní o investici přijdou.

Pokud jde o firmu, která sáhne po Ponziho schématu, ta může naopak celou technickou stránku věci vyškrtnout, protože ta podvodníky nezajímá. Musí fungovat jen obchod, marketing a finance a firma pak prodává jenom sen nebo příslib.

Jak se vyvarovat toho, abyste investovali do podobně pochybného projektu? Podle Eliáše je nutné si důkladně prostudovat celý projekt, podívat se na jeho technickou stránku i tým, který za ním stojí. Podstatné je také ověřovat získávané informace. Nejenom v případě, že si „lustrujete“ firmu.

Když vám volá někdo z burzy, že jste někde nechali půl bitcoinu z roku 2013, ověřte si, že jste na ní vůbec obchodovali. Odložte ten telefonát a vše si ověřte. Neinstalujte si do počítače programy na vzdálený přístup do počítače nebo telefonu, protože útočníci mohou mít připraveného robota, který koná hned po získání přístupu k citlivým datům, upozornil Eliáš, který ve své praxi narazil například i na případ, kdy si útočníci po okradení oběti přes takový program ještě zvládli vzít na její jméno velkou půjčku, kterou banka schválila.

Jindy se obětí podvodu stal vysokoškolsky vzdělaný člověk, kterého přes krypto okradla jeho čerstvá známost z Tinderu. Připravila ho o půl milionu. Podle Eliáše se ale najdou i takové případy, kdy oběti podvodů přijdou o celoživotní úspory. Proto je potřeba k těmto investicím přistupovat s pokorou a obezřetností.

Současné trendy v kyberkriminalitě

O kyberkriminalitě na konferenci sdíleli informace kpt. Martin Míšek a kpt. Aleš Zahradníček z oddělení kybernetické kriminality Krajského ředitelství policie Středočeského kraje.

Za posledních pět let podle nich došlo v oblasti kyberkriminality k podstatnému nárůstu případů. V podstatě se jejich počet za tu dobu zdvojnásobil. V čase roste i sofistikovanost útoků i výše způsobených škod.

Za posledních pět let se počet případů zdvojnásobil

Autor: Gábina Hájková, z prezentace Krajského ředitelství policie Středočeského kraje

Stát rozkládá ochranu v oblasti kyberbezpečnosti mezi několik subjektů. Jde o:

  • Policii ČR – vyhledává a objasňuje trestní činnost,
  • NÚKIB (Národní úřad pro kybernetickou a informační bezpečnost) – má na starosti prevenci, monitorování a řešení kybernetických incidentů,
  • Vojenské zpravodajství (Národní centrum kybernetických operací) – její činnost je utajovaná, ale řeší např. aktivní protiopatření k ochraně zájmů ČR.

Český stát využívá také justiční spolupráce formou mezinárodní právní pomoci. Dále spolupracuje se subjekty, jako jsou Europol nebo Interpol, a řadou dalších, zahraničních i domácích. Například s poskytovateli internetových služeb, fintech společnostmi poskytující nebankovní platby nebo s provozovateli e-mailů, sociálních sítí, webhostingů či kryptosměnáren.

Na území EU se v současnosti podle komisařů kriminální policie k nejzávažnějším kybernetickým hrozbám řadí zejména:

  • ransomware a malware,
  • nelegální těžba kryptoměn,
  • e-mailové útoky,
  • porušení ochrany a úniky dat,
  • DDoS útoky,
  • dezinformace.

Pachatelé při kyberútocích přitom v současné době nejvíce využívají sociálního inženýrství. A to bez ohledu na to, zda jde o útoky na korporát, či jednotlivce. Je to typ útoku, při němž se pachatelé snaží pomocí manipulace vylákat osobní či citlivá data (např. přístupy do internetového bankovnictví nebo intranetu společnosti) nebo danou osobu vmanipulovat do určitého jednání.

Kyberkriminalita je trestná činnost páchaná v prostředí informačních a komunikačních technologií. Policisté rozlišují dva základní typy.

Pravá kyberkriminalita – objektem je samotná oblast komunikačních a informačních technologií a data v ní obsažená. Typicky jde o případy neoprávněných přístupů k počítačovým systémům.

Ostatní kriminalita – hojně využívá informačních a komunikačních technologií, ale cílem útoku jsou jiné zájmy, například podvodné jednání, zneužití karet, mravnostní delikty, sexuální predátoři a šíření dětské pornografie atp.

Stále přitom platí, že nejzranitelnějším článkem celého systému zabezpečení je člověk: Jediné, co dokáže překonat sebelepší zabezpečení, antiviry, prostě vše, co investujete do zabezpečení svých systémů, jste vy sami. Tedy člověk, který ovládá ten počítač, zdůraznil Martin Míšek.

Útočníci jsou dnes podle něj se svými útoky stále úspěšnější, protože nezřídka mají o své oběti zjištěné určité informace. Je to proto, že má každý z nás na internetu nějakou svou digitální stopu, čehož oni zneužívají: Právě kvůli těmto informacím může útočník vytvořit důvěryhodnou legendu, pod kterou na daného člověka cíleně zamíří. Může se díky nim vydávat za kamaráda nebo jednatele společnosti a bude působit věrohodně. 98 % útoků spoléhá na některou formu sociálního inženýrství, informoval Míšek a upozornil také na to, že 21 % současných nebo bývalých zaměstnanců používá sociální inženýrství k vlastnímu obohacení nebo k získání finanční výhody nebo ho zneužije za účelem pomsty.

Jedním z hlavních nástrojů sociálního inženýrství je využití strachu a časového nátlaku. Útočníci potřebují, abyste jednali rychle a neměli čas přemýšlet nad důsledky. Snaží se také využít principu reciprocity, kdy se vydávají za kamaráda přes napadené účty na sociálních sítích, který potřebuje například finanční pomoc kvůli rozbitému auto v zahraničí apod.

Phishing cílí na získání citlivých informací nebo přístupů k internetovému bankovnictví či sociálním sítím. Je buď plošný, nebo cílený na určitou skupinu lidí (např. zaměstnance nebo prodávají na internetových bazarech apod.).

Hojně využívanou metodou sociálního inženýrství je tzv. phishing. Útočníci napodobují internetové stránky, e-mailové adresy nebo i telefonní čísla (tzv. spoofing). Vaše obrana musí spočívat v obezřetnosti, ověřování a používání selského rozumu. Vážně by po vás banka po mailu chtěla ověřit účet zadáním přihlašovacích údajů? Vážně jde o oficiální e-mail, když jsou v něm pravopisné chyby? Vážně po vás operátor může chtít zadání citlivých údajů přes linku? Vždycky byste si měli udělat prostor na to podezřelé zprávy ověřit tím, že instituci kontaktujete zpátky na oficiální lince nebo e-mailu.

Než na odkaz kliknete, najeďte na něj myší, zobrazí se vám jeho adresa

Autor: Gábina Hájková, z prezentace Krajského ředitelství policie Středočeského kraje

Podvržené stránky můžete odhalit podle podivné adresy. V každém prohlížeči je na začátku adresního řádku ještě před samotnou adresou webu ikona zámku, kterou když rozkliknete, uvidíte, pro kterou doménu byl ten který certifikát vydaný. Pokud je tato doména podivná, stejně jako přímo adresa samotného webu, neměli byste se na takové stránce v žádném případě přihlašovat do internetového bankovnictví ani jiných aplikací nebo sem zadávat jakékoli údaje.

Podivná adresa v adresním řádku by vás měla varovat, že jde o podvod

Autor: Gábina Hájková, z prezentace Krajského ředitelství policie Středočeského kraje

Poslední dobou se rozmáhá také vishing. Jde o formu phishingového útoku, kdy útok probíhá přes telefonát. Útočník se většinou vydává za nějakou důvěryhodnou osobu (pracovníka banky, technické podpory či zástupce úřadu) a snaží se opět vylákat citlivé údaje, přimět oběť provést nějakou transakci nebo ji přimět ke stažení softwaru, který umožňuje vzdálený přístup k počítači, např. přes program TeamViewer.

CHP22

Útočníci kromě soukromých osob cílí i na firmy, které pro ně mohou znamenat větší profit. Při podvodech na korporátní zaměstnance útočníci využívají tzv. CEO/BEC podvody a těží ze znalosti organizační struktury firmy nebo jejích partnerů. Informace přitom získávají z otevřených zdrojů nebo stránek společnosti, nastínil Aleš Zahradníček, podle kterého se útočníci vydávají za nadřízeného a požadují proplacení nějaké faktury nebo odeslání určité platby. Dá se podle něj ale narazit i na případy, kdy napadnou e-mailovou komunikaci a k podvodu využijí reálnou fakturu, u které pozmění platební údaje.

I komisaři ve své přednášce zmínili kryptoměny, které jsou z jejich pohledu oblíbeným prostředkem pro praní výnosů z trestné činnosti. Kvůli anonymitě se hojně využívají při daňových podvodech či vishingu. Slouží ale jako platidlo například i za podvodné covidové certifikáty, dětskou pornografii, drogovou trestnou činnost, terorismus nebo obchod s lidmi.

Autor článku

Autorka je zástupkyní šéfredaktora serveru Měšec.cz. Příležitostně píše pro magazín Reportér.

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).