Co se vlastně vyšetřuje: od phishingu po sofistikované investiční podvody
Pod označením kybernetický podvod se skrývá široké spektrum jednání. V praxi jde nejčastěji o phishing, falešné e-shopy, investiční scam, podvodné platby přes bankovní převody, zneužití platebních bran, útoky na firemní účty nebo tzv. business email compromise, kdy útočník napodobí ředitele či dodavatele a vyláká platbu. Podle statistik evropských bezpečnostních týmů tvoří phishing a sociální inženýrství dlouhodobě většinu incidentů, protože útočník nepotřebuje prolomit systém, ale člověka.
Vyšetřování začíná otázkou, co přesně se stalo: šlo o krádež identity, neoprávněnou platbu, kompromitaci účtu, nebo o kombinaci více scénářů? Už tady je důležité rozlišit, zda má smysl řešit incident jako trestný čin, nebo jako bezpečnostní incident s dopadem na byznys. Pro firmy je klíčové nečekat na „dokonalý důkaz“, ale ihned uchovat logy, e-maily, hlavičky zpráv, historii plateb a všechny přístupové záznamy.
První hodiny rozhodují: sběr důkazů a forenzní zajištění stop
Největší chyba po zjištění podvodu je panika a mazání stop. Vyšetřovatelé i interní IT bezpečnost potřebují zachytit stav systému v okamžiku incidentu. Prakticky to znamená exportovat e-mailové hlavičky, serverové logy, přihlášení do administrace, historii změn v účtech, záznamy z firewallu, DNS logy a přehled transakcí. U firemních zařízení se navíc dělá forenzní obraz disku nebo paměti, aby bylo možné později rekonstruovat činnost útočníka.
V praxi se používají nástroje jako Autopsy, FTK Imager, EnCase nebo open-source sada Volatility pro analýzu paměti. U síťových stop jsou důležité systémy typu SIEM (např. Microsoft Sentinel, Splunk, Elastic Security), které umí spojit přihlašování, změny oprávnění a podezřelé přenosy dat do jedné časové osy.
U podvodných e-mailů je zásadní analyzovat hlavičky: odkud zpráva skutečně přišla, zda prošla SPF, DKIM a DMARC kontrolou, jaké domény a IP adresy byly použity a zda se nejedná o kompromitovaný účet legitimního poskytovatele. Právě hlavičky často prozradí, že e-mail sice vypadá jako od banky, ale ve skutečnosti prošel přes infrastrukturu v jiné zemi a byl odeslán z účtu vytvořeného před několika hodinami.
Jak se skládá identita pachatele: IP, peníze, domény a chování
Jedna IP adresa sama o sobě obvykle nikoho neodhalí. Útočníci používají VPN, proxy servery, Tor, kompromitované routery nebo cloudové instance. Vyšetřování proto stojí na propojení více vrstev důkazů. Sleduje se registrace domén, platební stopy, přenos peněz, jazykové vzory, časová pásma a opakující se techniky.
Velmi cenné jsou informace z WHOIS, DNS historie a pasivního DNS. Nástroje jako SecurityTrails, DNSlytics nebo VirusTotal ukazují, kdy doména vznikla, jaké měla změny a zda je napojená na další škodlivé infrastruktury. U falešných e-shopů se často ukáže, že doména byla registrována pár dní před spuštěním kampaně, používá anonymizační služby a hostuje se na serveru s desítkami dalších podvodných webů.
Další zásadní stopou jsou finance. Banky a platební instituce sledují IBANy, příjemce, rychlost přesunů a tzv. mule accounts, tedy účty nastrčených osob, přes které peníze protékají. Jakmile se peníze přesunou přes několik účtů nebo do kryptoměn, roste složitost vyšetřování dramaticky. U krypta se proto využívají nástroje jako Chainalysis, TRM Labs nebo Elliptic, které umí mapovat tok prostředků mezi peněženkami a směnárnami.
Vyšetřovatelé se dívají i na „měkké“ stopy: styl komunikace, gramatiku, pracovní dobu pachatele, opakující se šablony a preference konkrétních služeb. Když se v několika případech objeví stejný vzorec registrace domén, stejný hosting a stejný způsob výběru peněz, může to spojit jinak zdánlivě nesouvisející útoky do jedné kampaně.
Proč je dopadení pachatele tak složité: anonymita, jurisdikce a rychlost
Hlavní problém kybernetické kriminality je, že útok lze spustit z jedné země, infrastrukturu provozovat v druhé, peníze vybrat ve třetí a oběť mít v celé Evropě. Policie pak musí spolupracovat přes mezinárodní právní pomoc, která bývá pomalá. Zatímco útočník dokáže změnit doménu během minut, odpověď od zahraničního poskytovatele může trvat týdny až měsíce.
Další překážkou je použití služeb, které záměrně ztěžují dohledání původu. Patří sem anonymní registrátoři, „bulletproof“ hostingy, šifrované komunikátory, jednorázové e-maily a zneužité účty obětí. U některých kampaní se navíc útočníci vůbec nenapojují přímo na infrastrukturu, ale nakupují hotové sady phishingových stránek nebo malwaru v rámci modelu crime-as-a-service. To rozděluje odpovědnost mezi vývojáře, distributory a finální operátory.
Je tu i statistický faktor: podle veřejných odhadů je velká část incidentů nikdy nenahlášena, protože firmy se bojí reputační škody nebo si drobné ztráty vyřeší interně. To snižuje šanci na propojení případů. Když každý řeší jen svůj incident, pachatel zůstává neviditelný. Jakmile se ale data agregují napříč bankami, ISP, CERT týmy a policií, začnou se objevovat opakující se vzory.
Jak vypadá spolupráce policie, bank a bezpečnostních týmů v praxi
Úspěšné vyšetřování bývá týmová disciplína. Do procesu vstupuje poškozený, interní IT, právní oddělení, banka, poskytovatel hostingu, někdy národní CERT a policie. Cílem je rychle zastavit škody, zajistit důkazy a zablokovat další zneužití. U finančních podvodů je čas kritický: čím rychleji banka dostane alert, tím větší šance je na záchyt peněz ještě před jejich odchodem do zahraničí.
Praktický postup bývá následující:
- Okamžité zajištění důkazů – export logů, e-mailů, screenshotů, transakcí a přístupových záznamů.
- Incident triage – určení typu útoku, rozsahu a toho, co je nutné odpojit nebo zablokovat.
- Threat intelligence – porovnání domén, IP, hashů souborů a taktiky útoku s databázemi hrozeb.
- Finanční stopa – kontaktování banky, platební brány nebo směnárny a žádost o freeze prostředků.
- Právní a policejní krok – podání trestního oznámení a koordinace s mezinárodními partnery.
V dobře nastavených firmách se využívá i interní playbook. Ten obsahuje kontakty na banku, forenzní tým, právníka, dodavatele hostingu a odpovědné osoby pro komunikaci. Dává to smysl i menším firmám, protože první dvě hodiny po incidentu rozhodují o tom, jestli půjde jen o ztrátu dat, nebo o dlouhodobý podvod s dalšími škodami.
Co může udělat běžná firma nebo majitel webu, aby vyšetřování pomohl
Nejlepší vyšetřování je to, které má od začátku kvalitní data. Majitelé webů a e-shopů by měli mít zapnuté detailní logování přihlášení do administrace, změn účtů, objednávek, platebních stavů a administrátorských akcí. V prostředí WordPressu to znamená sledovat nejen přístupy do wp-admin, ale i změny pluginů, šablon a nově vytvořené uživatele. U e-commerce platforem je důležité uchovávat historii objednávek, refundací a změn dodacích adres.
Dobrá praxe zahrnuje také:
- zapnuté 2FA pro administrátory a finance,
- oddělené účty pro běžnou práci a citlivé operace,
- pravidelné zálohy s offline kopií,
- monitoring změn DNS a domén,
- ochranu e-mailu přes SPF, DKIM, DMARC,
- logování přes SIEM nebo alespoň centralizovaný syslog.
Pro firmy je také důležité vědět, co neposílat veřejně. Detailní interní informace, screenshoty administrace nebo technické postupy mohou pomoci útočníkům. Vyšetřování potřebuje přesnost, ale zároveň kontrolu nad tím, kdo má k datům přístup. Pokud incident zahrnuje osobní údaje, je nutné řešit i GDPR a případné oznamovací povinnosti.
Kybernetické podvody se vyšetřují kombinací forenzní analýzy, finančního sledování a mezinárodní spolupráce. Dopadnout pachatele je těžké proto, že digitální identita je snadno zaměnitelná, infrastruktura je rozptýlená a peníze mizí rychleji, než dokáže proběhnout právní proces. Přesto platí, že čím lépe jsou zachované technické stopy, tím větší je šance spojit konkrétní útok s reálnými osobami, účty a peněžními toky.
