Temná strana Black Friday v cybersecurity | robot_dreams Czech
should_authorize_via_email
email.input_code tel.input_code
 
email.code_actual_for tel.code_actual_for
apply_exit_text
session_ended
to_homepage
Temná strana Black Friday: Jak kyberzločinci využívají nákupní horečku, aby tě připravili o peníze

Temná strana Black Friday: Jak kyberzločinci využívají nákupní horečku, aby tě připravili o peníze

Phishing, falešné weby a úniky dat

Příběh Black Friday začal ve Filadelfii, kde policisté začali označovat pátek po Dni díkůvzdání jako „černý“. Důvodem byl obrovský chaos: dopravní zácpy, davy lidí, příval turistů i nakupujících. Do toho se konal každoroční fotbalový zápas, který situaci ještě zhoršoval. Město bylo přetížené a prudce vzrostl počet krádeží a nehod. Pro policii to byl zkrátka těžký, temný den.

Postupně marketéři význam výrazu obrátili a dnes se s ním pojí slevy, výprodeje a nákupní šílenství. Něco „černého“ však přetrvalo doslova – phishing, podvodné weby, úniky dat a další kybernetické hrozby.

V tomto článku se podíváme na temnou stranu Black Friday a na to, jak útočníci využívají nákupní mánii, aby z ní udělali Black Fraud Day – den podvodů.

Hlavní metody útoků

Každý rok přináší Black Friday nové formy podvodů. Zatímco dříve se jednalo zejména o manipulaci se slevami či falešné fronty, dnes se přidávají sofistikované digitální útoky. Tady jsou ty nejčastější.

Phishingové e-maily: Lákavé nabídky, které tě mají nachytat

Během Black Friday výrazně přibývá phishingových kampaní. Útočníci rozesílají e-maily, které napodobují známé e-shopy či platební služby. Nabízejí exkluzivní akce, oznamují, že tvůj účet byl zablokovaný nebo informují o výhře v soutěži.

Zpráva často vypadá důvěryhodně, ale vede na falešnou stránku nebo rovnou obsahuje škodlivý software v příloze. Podle statistik je až kolem 77 % e-mailů spojených s Black Friday podvodných.

Podvodníci cílí na FOMO, tedy strach, že o něco přijdeš. Díky naléhavosti hrají na emoce a přimějí lidi k impulzivnímu kliknutí nebo nákupu.

související kurzy:

Penetrační testování prakticky

Patrik Žák

Penetrační tester / Red Teamer / Business owner, SYSNETSHIELD

O kurzu
patrik-69831b094b2b3857237702.webp

Falešné weby a podvodné reklamy

Vytvořit web dnes zabere pár minut. Útočníci toho využívají a zakládají falešné e-shopy, které jsou téměř k nerozeznání od originálů. Kopírují vše – recenze, loga, podmínky vrácení i tlačítka pro platbu.

Poté tyto stránky propagují pomocí placených reklam na sociálních sítích nebo v Google vyhledávání, aby na ně přilákali své oběti.

Například podle společnosti Netcraft v roce 2023 vzrostl počet podvodných e-shopů během sezóny až o 135 % oproti běžnému období.

Jak falešné weby poznat? Prvním krokem by vždy mělo být zkontrolovat doménu. Falešné weby se často liší jen nepatrně – např. waimart.com místo walmart.com nebo allexpress.com místo aliexpress.com.

Skimming a Magecart: Krádež platebních údajů přímo při nákupu

E-skimming (útoky typu Magecart) spočívá v tom, že útočníci vloží škodlivý skript přímo do platební stránky legitimního e-shopu. Ten pak sleduje platební údaje v momentě, kdy je zákazník zadává.

Uživatel nic nepozná. Stránka vypadá normálně, ale jeho údaje se odesílají i na server hackerů. Jen v USA bylo takto ukradeno přes 269 milionů platebních záznamů a 1,9 milionu bankovních šeků, které pak kolovaly na dark webu.

Pokud platební stránka načítá externí skripty z neznámých domén, jde o riziko. Firmy by měly používat SRI (Subresource Integrity), Content Security Policy a monitorovat změny ve front-endovém kódu.

související kurzy:

Ofenzivní bezpečnost a Red Teaming v praxi

Petr Váchal

Ethical Hacker BEMOP s.r.o.

O kurzu
petr-vachal-664da6a77bf3b872733219.webp

Škodlivý software zaměřený na finance

Kyberzločinci dnes šíří i bankovní trojany a škodlivé mobilní aplikace, které zachytávají SMS, zobrazují falešné přihlašovací obrazovky nebo přesměrovávají finanční transakce.

S rostoucí popularitou mobilního nakupování několikanásobně vzrostl počet těchto útoků v letech 2024–2025 oproti předchozím rokům.

Zlaté pravidlo zní: neinstalujte aplikace z neověřených zdrojů. Kontrolujte oprávnění, přístupy k datům a aktivujte dvoufaktorové ověření pomocí klíče či tokenu, nejen skrze SMS.

Sociální inženýrství v reklamách a na sociálních sítích

Podvodníci zakládají falešné stránky značek, platí cílené reklamy nebo vkládají odkazy do komentářů pod skutečné příspěvky.

Uživatelé často důvěřují vizuálu reklamy, zvlášť pokud je přizpůsoben jejich zájmům. Takové kampaně bývají automatizované a personalizované ve velkém měřítku.

Jak se bránit? Ověřujte oficiální účty a neklikejte na zkrácené odkazy z komentářů či neznámých zdrojů.

Umělá inteligence: Nový motor pro automatizaci podvodů

Generativní modely výrazně zjednodušily práci hackerům. Pomáhají jim psát věrohodné phishingové e-maily, tvořit realistické reklamy i falešné dokumenty, voiceovery či videa (deepfaky).

Odborníci i instituce varují, že zneužití AI činí podvody masovějšími a náročnějšími k odhalení. Útočníci využívají vše od automatizovaných skriptů založených na LLM až po deepfake hovory a falešné profily.

související články:
Post cover 5 digitálních hrozeb, které ti nedají spát

Co s tím, když se technologie mění v nepředvídatelné protivníky?

Když tradiční rady nestačí: problém dodavatelského řetězce

Běžné rady typu „neklikejte na podezřelé odkazy“ nebo „zkontrolujte URL“ jsou důležité, ale leckdy nestačí. Mnohé útoky totiž necílí na uživatele, ale na dodavatelský řetězec, tedy externí poskytovatele, pluginy nebo partnery s přístupem do systémů.

  • Přístup přes třetí stranu: Útočníci mohou napadnout dodavatele, který má přihlašovací údaje nebo VPN přístup do sítě klienta. Typický příklad je Target (2013) – jeden z největších úniků dat v historii, kde se hackeři dostali do systému přes HVAC dodavatele.
  • Kompromitace externího skriptu: Útoky Magecart nebo jiné „script skimmery“ cílí na zranitelné knihovny či widgety. Příklady: British Airways a Ticketmaster, kde napadený kód kradl platební data.
  • Nedostatečná kontrola odpovědnosti: Firmy často spoléhají na své dodavatele, ale smlouvy obvykle nepožadují audity, aktualizace nebo hlášení incidentů. Případ SolarWinds ukázal, jak zničující mohou být následky, když tisíce organizací používají infikovaný software.

Proto tradiční přístupy k bezpečnosti ztrácejí účinnost, a pokud se útok šíří z legitimního zdroje, nepomůže blokace odkazů ani kontrola domény.

Školení zaměstnanců pomáhá pouze proti základnímu phishingu, nikoli proti útokům přes důvěryhodné partnery. Navíc odpovědnost bývá roztříštěná: marketing něco nakoupí, IT to napojí a právníci nemají možnost provést technický audit.

Co z toho plyne

Na Black Friday se dá dívat dvěma způsoby:

  • Pokud ho vnímáš jako Black Fraud Day, je důležité znát své nepřátele. Když víš, co očekávat, víc se zaměříš na ochranu. Kritické myšlení, znalost základních bezpečnostních principů a rozvaha při klikání na „neodolatelné nabídky“ jsou tvoje největší zbraně.
  • Pokud pro tebe zůstává především svátkem nákupů, zkus se zamyslet, co skutečně potřebuješ. Fyzické věci stárnou a mění se – ale investice do znalostí mají trvalou hodnotu.

Takže jen (ne)skrytě připomínáme: všechny aktuální kurzy od robot_dreams najdeš tady.

Autor: Pavlo Kirnoz

Více článků
Michal Novotný: Začněte myslet promptově
„Nakrmte AI informacemi a daty. Pak se budete divit, co dokáže,“ tvrdí Michal Novotný, freelancer v oblasti marketingu, AI a obchodu
Apple a Google spojují síly: Siri jako AI agent
Nová generace asistentky ukončí éru manuálního zadávání dat
Všechny materiály