Jak krádeže identity fungují a proč jsou pro gangy výhodné
Krádež identity na internetu je promyšlený proces, ne náhodná chyba jednotlivce. Útočníci obvykle neshánějí kompletní identitu v jednom balíčku, ale skládají si ji z více zdrojů: jména, data narození, adresy, rodného čísla, čísla OP, fotografií dokladů nebo přihlašovacích údajů. V praxi pak stačí kombinace několika údajů a někdejší „ověření přes SMS“ už nemusí stačit.
Proč je to pro pachatele atraktivní? Protože půjčky a úvěry lze vyřizovat rychle, často online a bez osobního kontaktu. U některých nebankovních produktů rozhoduje automatizované skórování a identita se kontroluje jen formálně. Pokud gang získá dostatek dat, může během několika minut podat žádost, vyplnit kontaktní údaje a nechat peníze poslat na účet muly nebo na předplacenou kartu.
Odkud data pocházejí: od phishingu po úniky databází
Nejčastější zdroj bývá phishing, tedy podvodné stránky a e-maily, které napodobují banku, dopravce, úřad nebo doručovací službu. Uživatel zadá heslo, číslo dokladu nebo jednorázový kód a útočník má vstup do dalšího systému. Další častý kanál představují úniky dat z e-shopů, CRM systémů a marketingových databází. V roce 2024 se podle veřejných bezpečnostních reportů objevovaly úniky v řádu milionů až desítek milionů záznamů napříč různými službami, což vytváří obrovský „trh“ s identitami.
Část dat přichází i z méně nápadných míst: z inzertních serverů, životopisů na pracovních portálech, veřejných obchodních rejstříků, fotek dokladů poslaných přes chat nebo z kopií občanek uložených v nechráněných e-mailech. Útočníci navíc umí data propojovat s informacemi ze sociálních sítí, kde lidé sami zveřejňují datum narození, rodinné vztahy, názvy škol nebo fotky z dovolené s viditelnou adresou na balíku.
Jak gangy zneužívají osobní údaje k půjčkám
Po získání údajů následuje ověření, zda je identita použitelná. Pachatelé testují přístup do e-mailu, bankovnictví nebo do klientských portálů. Zároveň zjišťují, zda oběť nemá nastavené limity, blokace nebo upozornění na nové smlouvy. Když mají dostatek dat, podají žádost o půjčku na cizí jméno, často na menší částku, aby prošla rychleji.
Typický scénář vypadá takto:
- získání jména, adresy, data narození a kopie dokladu,
- ověření přes e-mail, telefon nebo bankovní identitu,
- žádost o mikropůjčku, nákup na splátky nebo revolvingový úvěr,
- přesměrování peněz na účet třetí osoby,
- rychlé „vyprání“ přes další převody, hotovost nebo kryptoměny.
Nejde jen o klasické banky. Zneužití se objevuje i u e-shopů s odloženou platbou, u leasingu elektroniky, u mobilních operátorů nebo při zakládání účtů v digitálních službách. V některých případech pachatelé nechtějí peníze hned, ale získají zboží na splátky, které následně prodají za zlomek ceny.
Jak poznat, že je vaše identita nebo účet v ohrožení
Varovné signály bývají nenápadné. Při útoku nemusí dojít k okamžitému vybrání účtu, ale k postupnému testování dostupných služeb. Podezření by měl vzbudit nečekaný SMS kód k přihlášení, potvrzení změny hesla, upozornění na nový přístroj v bankovnictví nebo dopis o smlouvě, kterou jste neuzavřeli.
Další rizikové indikátory jsou změny v úvěrových registrech a časté dotazy „na nahlédnutí“ do bonity. V Česku lze využít kontrolu přes registry jako BRKI a NRKI, případně přes službu Bankovní identita, pokud ji využívá konkrétní instituce. U bank i nebankovních společností se vyplatí sledovat historii přihlášení, zařízení a změny kontaktních údajů.
Praktický příklad: pokud vám přijde e-mail o schválení půjčky, kterou jste nežádali, neotvírejte přiložené odkazy. Ověřte si smlouvu přímo v klientské zóně nebo telefonicky na oficiální lince. Útočníci často posílají i „falešné storno“ nebo „ověření platby“, aby získali další přístup.
Co dělat okamžitě: postup prvních 60 minut
Rychlá reakce výrazně snižuje škody. Pokud máte podezření na zneužití identity, postupujte bez prodlení. Nečekejte na „až bude čas“, protože u online půjček mohou být peníze vyplaceny během několika desítek minut.
- Změňte hesla k e-mailu, bankovnictví a hlavním službám, ideálně z jiného zařízení.
- Odhlaste všechna zařízení v e-mailu i v bankovní aplikaci.
- Zablokujte SIM, pokud máte podezření na převzetí čísla nebo přesměrování hovorů.
- Kontaktujte banku a požádejte o preventivní kontrolu podezřelých transakcí a úvěrových žádostí.
- Podívejte se do úvěrových registrů, zda nevznikl nový závazek nebo dotaz.
- Podání trestního oznámení připravte s důkazy: screenshoty, e-maily, SMS, časy událostí.
U firemních účtů je potřeba navíc zkontrolovat správu oprávnění. Pokud byl kompromitován firemní e-mail, útočník může přesměrovat faktury, objednávky nebo potvrzení smluv. V takovém případě je nutné zablokovat účet, zkontrolovat pravidla přeposílání a ověřit, zda nebyly změněny bankovní údaje pro platby.
Jak se bránit dlouhodobě: konkrétní nástroje a návyky
Nejúčinnější obrana stojí na více vrstvách. Silné heslo samo o sobě nestačí, pokud stejné přihlašovací údaje používáte ve více službách. Základ tvoří správce hesel, jedinečná hesla a dvoufaktorové ověření. Místo SMS je vhodnější aplikace typu Google Authenticator, Microsoft Authenticator, Authy nebo bezpečnostní klíč podle standardu FIDO2.
U citlivých účtů se vyplatí zapnout notifikace na změnu hesla, nové přihlášení a změnu kontaktních údajů. V bankovnictví je rozumné nastavit nižší limity pro převody, potvrzování přes aplikaci a pravidelné kontroly oprávnění. U e-mailu je důležité mít obnovovací kontakty, které pachatel nemá pod kontrolou, a nespoléhat na jedinou schránku pro všechny služby.
Na úrovni prevence funguje i digitální hygiena: neposílat fotky dokladů běžným chatem, skrývat rodné číslo, neukládat občanky do veřejného cloudu bez šifrování a nepoužívat stejné telefonní číslo pro registrace všude. Pokud firma pracuje s osobními údaji klientů, měla by mít pravidla pro mazání dokladů, omezení přístupu a audit logy. Pro weby a e-shopy je vhodné nasadit WAF, detekci botů, rate limiting a monitorování neobvyklých pokusů o registraci nebo změnu účtu.
Co by měli sledovat majitelé webů, e-shopů a marketéři
Organizované skupiny často zneužívají i formuláře na webech. Registrace bez kontroly, slabé resetování hesla a nedostatečné ověření změny e-mailu jsou časté slabiny. Majitelé webů by měli pravidelně kontrolovat logy, podezřelé IP adresy, opakované pokusy o registraci a automatizované vyplňování formulářů. Pomáhá i omezení počtu pokusů, ochrana proti botům a validace změny údajů přes druhý kanál.
V marketingu je důležité nepoužívat osobní data bez jasného souhlasu a mít bezpečně nastavený přístup do nástrojů jako Google Analytics 4, Search Console, CRM nebo e-mailingové platformy. Pokud útočník získá přístup do marketingového účtu, může změnit cílení kampaní, přesměrovat kontaktní formuláře nebo získat databázi zákazníků. I proto je vhodné používat role, dvoufaktorové přihlášení a pravidelné revize oprávnění.
Prakticky platí jednoduché pravidlo: čím méně dat web sbírá a čím kratší dobu je uchovává, tím menší je dopad případného incidentu. Minimalizace dat, šifrování záloh, bezpečné API a pravidelné testy obnovy jsou dnes stejně důležité jako samotný design webu. Uživatelé i firmy tak snižují riziko, že se z jednoho úniku stane řetězec podvodů, který končí falešnou půjčkou na cizí jméno.
