Z kybernetické kriminality v Česku se stává velké a problematické téma. Policie ČR v loňském roce zaznamenala růst kriminálních případů spojených s kyberprostorem o téměř sto procent, a to na 18 554 skutků. Rok předtím byl růst pouze sedmnáctiprocentní. „Nárůstem jsme byli zaskočeni,“ uvedl vedoucí oddělení kybernetické kriminality Policie ČR Richard Valiček. „Kolik jich vedle toho nebylo nahlášeno, se nikdy nedozvíme.“
Objasněnost kyberkriminálních případů je navíc velice nízká. Téměř každý případ, který je často z kategorie podvodů, má totiž mezinárodní přesah. Legislativy na národní a mezinárodní úrovni podle policie nejsou dokončené a jsou nedostatečné, takže nelze rychle a efektivně postupovat. „Když jdeme za Facebookem, aby nám poskytl data o profilu podezřelého, informace se nám vrátí za rok,“ přiblížil Valiček.
Kybernetické případy snižují celkovou objasněnost kriminální činnosti celé policie. Ta kvůli tomu loni podle oficiálních čísel spadla na 52,2 procenta. Podíl kyberkriminality na celkové trestné činnosti je 10,2 procenta. Roste podíl hackingu, loni se zvýšil o 53 procent.
„Vše, co známe v běžném světě, se přesunulo do kyberprostoru. Většina věcí, kterými se zabýváme, je paralelou k bagatelní majetkové trestné činnosti v běžném světě,“ doplnil Jiří Nový z Policie ČR.
Dlouhé vyšetřování
Kybernetická trestná činnost se také poměrně dlouho vyšetřuje, na případech se dělá měsíce i roky. Policie například v roce 2013 začala šetřit jeden případ týkající se organizované skupiny působící na internetu. Stíhání pachatelů začalo v roce 2016 a až po čase šli na tři až šest let do vězení. Část trestu jim byla prominuta, takže už jsou venku.
Když se případy podaří objasnit, často se narazí na to, že trestnou činnost nepáchají odborníci zdatní v IT či jiných oborech. Jde o laiky, kteří ale postupně získávají nové schopnosti. Existují případy recidivy, kdy se útočníci poučí ze svých chyb a po návratu z vězení používají nové metody.
Vyšetřování digitálních případů ztěžují také poškozené osoby. Primárně samozřejmě tím, že se v kyberprostoru chovají proti všem zásadám bezpečnosti, což se ukazuje na statistikách nejpoužívanějších hesel (123456 a spol.) a podobně. Někdy ale poškození hledání kriminálníků komplikují svými dalšími činy.
Příkladem je mazání dat a konverzací. „Pachatel si online dopisuje s dítětem či mladistvým, vyláká z něj intimní fotografie a následně je použije k vydírání. Postižené osoby ze strachu smažou konverzaci a někdy resetují telefon do továrního nastavení. Jediné, co pak máme za důkazy, je výpověď oběti,“ nastínil Valiček.
Policie proto nabádá, aby oběti policii poskytly své notebooky, smartphony a další digitální důkazy. Přijít je možné na běžnou policejní služebnu či zavolat 158. Policie si přístroje na analýzu nechává řádově dny.
V případech finanční trestné činnosti, kdy postižení přijdou o peníze, může být nejlepším způsobem kontaktovat banku. Útočníci často peníze ukradené z karet či internetového bankovnictví převádí přes řadu účtů. Banky tak mají šanci tok peněz v nějaké fázi zastavit. „I pro banky je to náročné, ale pořád jsou několik kroků před námi, protože my musíme jít na státní zastupitelství a podobně,“ popsal vedoucí oddělení kybernetické kriminality.
Bitové kopie
S analýzou techniky a dat policie pracuje také v případě útočníků. Jde o takzvané důkazy v podobě hmotných nosičů digitální informace. Tyto přístroje se umisťují do zapečetěných igelitových sáčků, aby byla zajištěna autenticita. Jakmile by byla narušena kontinuita důkazů, byly by v rámci obhajoby znehodnoceny důkazní prostředky. Získaná data se posuzují na základě znaleckého zkoumání.
Policie rovněž někdy dělá kopie dat. Například za součinnosti IT pracovníků a za pomocí forenzních nástrojů provádí bitové klony. Tyto kopie mohou provádět pouze vyškolení policisté s certifikačním kurzem. Dodržují se procesy a techniky, aby daný policista případně mohl u soudu vše obhájit. Česká policie pro práci s přístroji a daty mimo jiné používá tuzemský software MOBILedit od pražské společnosti Compelson.
Podvody všeho druhu
Útočníci se nejčastěji zaměřují na internetové podvody všeho druhu. Nejrozšířenější jsou takzvané reverzní inzertní podvody, které jsou známým případem. Když někdo prodává zboží přes internetový bazar, už během půl hodiny se mu ozve „kupující“ a snaží se prodávajícímu přes WhatsApp a další kanály podstrčit phishing. Tímto způsobem lze získat údaje o platebních kartách nebo přístupy do bankingu. Podvádí se i u dalších inzerátů, kdy uživatelé něco zaplatí předem a zboží neobdrží, případně nějaké jiné.
Dalším rozšířeným způsobem je takzvaný falešný bankéř. Útočník začne klidně ve dvě ráno volat své oběti. Využije spoofing telefonního čísla, takže na displeji telefonu lze vidět název skutečné finanční instituce. Útočník oběti sdělí, že jsou její finance v ohrožení a že má raději vybrat veškerou hotovost a vložit ji do kryptoměn. Společně s tím dojde k manipulaci dané osoby tak, aby na přepážce v bance při výběru peněz nevěřila pravému bankéři. Obět následně vloží hotovost do vkladomatu na krypto, samozřejmě na peněženku útočníka.
Časté případy jsou rovněž s investicemi do kryptoměn. Mnoho lidí po internetu pronásledují reklamy, na kterých různé známé osobnosti lákají na investice. Oběti na to skočí a vyplní telefonní číslo. Na to se útočníci ozvou a poškozené zmanipulují k poskytnutí dalších údajů. Často mají profesionálně zpracované weby totožné s legitimními platformami. Oběti takto převedou své prostředky a často i několik měsíců žijí v tom, že mají hotovost v kryptu, jehož hodnota roste. Když pak chtějí učinit převod do fiat měny, slyší přinejlepším výmluvy, spíše už se ale nikam nedovolají. Tím pádem oběti za policií chodí až po půl roce a déle.
Typické jsou rovněž podvody přes mPlatby, kdy útočníci skrze spam a sociální inženýrství z lidí získávají informace. Naopak na ústupu jsou podvodné e-shopy a už tolik nejsou evidovány připravené obchody, které se zjeví třeba před Vánoci.
Naopak novým fenoménem jsou podvody skrze eSIM. Policie začala evidovat desítky takových podvodů. Oběti jménem operátora přijde výzva, že je třeba aktualizovat osobní a další údaje. Útočníci dokáží uživatele přimět k převodu fyzické SIM karty na elektronickou eSIM. Mobilní číslo z těchto karet je často navázané na dvoufaktorové ověřování a podobně, díky čemuž se útočníci mohou dostat dále.
Nový policejní kyberútvar
Policie nevyšetřuje „pouze“ případy jednotlivých občanů, ale také větší kauzy týkající se firem a dalších organizací. Valičekovo oddělení mimo jiné dělalo na kauze ransomwaru v benešovské nemocnici, což už je dnes uzavřený případ se škodou téměř šedesát milionů korun.
Policisté nicméně naznačují, že ne všechny instituce chtějí dobrovolně spolupracovat. „Z otevřených zdrojů a informací NÚKIBu víme, že každý z operátorů byl zasažen významným útokem, většinou DDoS. Jako policie o tom v podstatě nic nevíme. Je to považováno za interní záležitost firmy, maximálně se objeví něco v médiích,“ uvedl zmiňovaný Nový na nedávné konferenci Asociace provozovatelů mobilních sítí.
„Chápu, že vyšetřování útoku může vést k poškození dobrého jména. Ale může to mít i preventivní efekt. Prostřednictvím zahraničních partnerů disponujeme sítí partnerů s informacemi. To může útokům předejít nebo je minimalizovat. Nikdo z policie nechce zasahovat do byznysu firem,“ navázal Nový.
Zástupce policie také zmínil, že nejmenovaný provider byl napaden útokem pocházejícím z Česka, útok šel z infrastruktury jiného poskytovatele. „Kdybychom nenavázali komunikaci, musela by policie udělat násilný zásah do infrastruktury a útok zastavit. To dělat nechceme.“
Policie letos rozjela nový útvar pro boj s kybernetickou kriminalitou, terorismem a extremismem, prozatím se 150 místy. Vznikl vyčleněním dvou struktur z Národní centrály proti organizovanému zločinu. Kybernetické útvary jsou i součástí jednotlivých policejních ředitelství. Obecně se školí více policistů, existují interní vzdělávací programy i spolupráce s externími firmami, využívají se evropské projekty a podobně.
„Kybernetická kriminalita si v policii prošla velkým vývojem. Dříve jsme centralizovali vyšetřování do jednoho místa. Situace v kyberprostoru ale ukázala, že toto řešení je nefunkční,“ zakončil Nový.