Sextortion — vydírání domnělou nahrávkou

Sextortion (sex + extortion = vydírání) je psychologický scam, kdy útočník tvrdí, že má kompromitující video oběti — typicky natočené přes hacknutou webkameru během prohlížení erotického obsahu. Hrozí zveřejněním rodině, kolegům, sociálním sítím, pokud oběť nezaplatí výkupné v Bitcoinu (typicky 0.01–0.05 BTC, ~25 000–100 000 Kč). V 99 % případů žádné video neexistuje — útočník blufuje. Případy v ČR rostou se zveřejněnými datovými úniky (2.5 miliardy hesel).

Klíčová čísla

Typický scénář

1) Příjde e-mail s předmětem typu „Vaše heslo: [skutečné heslo]“. Tělo: „Hacknul jsem váš počítač, nahrál jsem vás přes webkameru, jak prohlížíte (erotický obsah). Pošlete 0.04 BTC na adresu XYZ do 48 hodin, jinak rozešlu video všem kontaktům.“. 2) Heslo v e-mailu je SKUTEČNÉ — pochází z dataleaku (LinkedIn, Adobe, Yahoo). Útočník prostě listuje databázi 2,5 miliardy uniklých hesel a posílá masově. 3) Žádné video neexistuje — útočník nemá přístup k vaší webkameře, jen k starému heslu. 4) Pokud zaplatíte, posílá další žádost (snadná oběť). Pokud nezaplatíte, neudělá nic — bluf.

Klíčové signály

1) Heslo v e-mailu — útočník chce zastrašit. Pokud heslo poznáte (z LinkedIn 2012, Yahoo 2013, Adobe 2013), pochází z dataleaku, ne z vašeho počítače. 2) Generický text — žádné konkrétní detaily o vašem životě (jméno partnera, byt, atd.). Skutečný útočník by detaily znal. 3) Bitcoin adresa pro platbu (BTC nemá refundaci → ideální pro útočníka). 4) Hrozba „rozeslání všem kontaktům“ je generická, útočník nemá vaše kontakty. 5) Časový tlak (48 hodin).

Jak se bránit

PRAVIDLO: NEPLATIT. 99 % sextortion e-mailů je bluf. Jakmile zaplatíte, dostanete další požadavky. Útočník nemá video, jen heslo z dataleaku. Co dělat: 1) Smažte e-mail. 2) Změňte heslo, které útočník zveřejnil — i kdyby to byl starý účet. 3) Zkontrolujte si haveibeenpwned.com, jestli jsou další úniky vašich účtů. 4) Zapněte 2FA všude, kde to lze. 5) Zalepte fyzicky webkameru (pásek, kryt) — ne kvůli tomuhle scamu, ale kvůli skutečnému malware.

Když je obava reálná

V 1 % případů útočník skutečně má video — typicky pochází ze sextingových konverzací s falešnou identitou (catfishing → screenshot/nahrávka videohovoru). Pokud máte podezření, že video opravdu existuje: 1) NEPLATIT — to neukončí vydírání, jen zaplatíte za další kola. 2) Sbírejte všechny důkazy (screenshoty, e-maily, profily). 3) Nahlaste Policii ČR — sextortion je trestný čin (§ 175 TZ, vydírání). 4) Kontaktujte advokáta. 5) Bílý kruh bezpečí poskytuje psychologickou pomoc.

Reálné kauzy

Aktuálně reportovaná nebezpečná čísla

Top čísla z naší databáze, na která lidé hlásí podvodné nebo otravné hovory. Pokud jste obdrželi hovor z jednoho z nich, čtěte zkušenosti ostatních.

• +420 573 036 011Obtěžující

  129 komentářů

  31
• +420 840 999 888Obtěžující

  57 komentářů

  32
• +420 477 754 423Obtěžující

  44 komentářů

  29
• 2147483647Obtěžující

  43 komentářů

  39
• +420 277 009 500Obtěžující

  40 komentářů

  29

Pojmy ze slovníku

Časté otázky o tomto podvodu

• Co je telefonní phishing (vishing)?

  Telefonní phishing (vishing = 'voice phishing') je podvod, kdy útočník přes hovor vylákává citlivé údaje, hesla nebo peníze. Liší se od klasického phishingu (e-mailem) tím, že využívá hlas a stres v reálném čase.

• Jak nahlásit podvodné telefonní volání?

  1) Komentář na cislo.info — varuje ostatní. 2) Policie ČR (formulář na policie.cz nebo 158) — pokud došlo ke škodě. 3) NÚKIB (nukib.cz) — pro analýzu trendů. 4) ČTÚ — pro telekomunikační porušení.

• Jak poznat spoofing — falešné telefonní číslo?

  Spoofing je falšování čísla volajícího. Hlavní znak: požadavek o citlivé údaje (PIN, SMS kód, hesla) z čísla, které tyto věci po telefonu nikdy nechce.

• Přišla mi SMS o nedoručeném balíku. Mám platit?

  NE. SMS o 'nedoručeném balíku' s odkazem na zaplacení 29 Kč je smishing podvod. Skutečné kurýrní služby (Pošta, Zásilkovna, PPL, DPD) takto nikdy poplatky nevybírají.

Související podvody