Ověřování deepfake obsahu

Simona Česaná

Proč „rychlý manuál ověřování“ u deepfake a AI podvodů

Generativní AI radikálně snížila bariéry pro tvorbu přesvědčivých podvodů: syntetický hlas, tvář, podpis či dokonce celá „osoba“ dokáže během minut vyvolat falešnou naléhavost a vylákat peníze, přístupy či citlivá data. Tento manuál poskytuje praktické, okamžitě použitelné postupy k ověření pravosti hlasu, videa, fotografie, textu a identity volajícího/odesílatele. Je psán pro jednotlivce i organizace a zdůrazňuje zásadu: před jakoukoli platbou, sdílením kódů nebo údajů – ověř a zdokumentuj.

Spektrum hrozeb: co všechno dnes deepfake a AI zvládnou

  • Hlasové klony (voice cloning): napodobení hlasu z krátké ukázky (10–60 s). Typické při „urgentních“ telefonátech (falešné výkupné, „šéf žádá převod“).
  • Videodeepfake: realistická tvář, synchronizované rty; často v kombinaci s face swap a syntetickým hlasem.
  • Fotorealistické snímky: falešné důkazy, profilové fotografie, „printscreen“ konverzací a dokladů.
  • Textové podvody s pomocí LLM: dlouhé, bezchybné e-maily, chaty a scénáře sociálního inženýrství s osobním tónem.
  • „Živé“ videohovory: překrývání tváře v reálném čase a synchronizovaný překlad (lip-sync) – používá se při onboardingových a KYC podvodech.

Rychlá rozhodovací schéma: STOP–OVER–KDO–CO–PROČ

  1. STOP: přerušte automatismus (neplaťte, nesdílejte kódy, neklikejte).
  2. OVER: použijte druhý kanál (jiné číslo/e-mail/chat), který už znáte, nikoli ten, který vám právě diktují.
  3. KDO: vyžádejte si tajné heslo/klíčovou frázi dohodnutou předem („dohodnutý kód“).
  4. CO: požadujte přesný důvod a ověřitelné detaily (číslo smlouvy, interní reference, kontaktní osoba).
  5. PROČ: ptejte se na účel a alternativy (proč naléhavě, proč mimo běžný proces, proč právě teď).

Manuál ověření videa (deepfake) – 10 kroků

  1. Zdroj: kde se video objevilo poprvé (originál vs. reupload). Preferujte primární kanál osoby/instituce.
  2. Konzistence obrazu: okraje vlasů a uší, okolí očí, mihotání a stínování; hledejte „gelový“ vzhled, nepravidelné zuby, nepřesné zuby/jazyk při artikulaci „f“/„v“/„s“.
  3. Osvětlení a odlesky: zda světelné zdroje a odrazy v očích odpovídají scéně; pohyby hlavy vs. změna stínů.
  4. Geometrie: proporce rukou, prstů, krku; deformace při rychlých gestech nebo překrývání objektů.
  5. Synchronizace: zpoždění rtů vůči hlasu (mikroskopické „lip off“), zvlášť při rychlých slabikách.
  6. Zvuk: „kovový“ dozvuk, nesoulad akustiky místnosti, chybějící mikropauzy a pohybový šum.
  7. Metadata: pokud máte originální soubor, zkontrolujte kontejner/EXIF (nestandardní editační tagy, nepravděpodobné časové razítko).
  8. Referenční klipy: porovnejte s autentickými videi (tempo řeči, mimika, slovník, typické gesta).
  9. Kontext: dává tvrzení smysl v čase/místě? Ověřte datum, místní svědky, oficiální vyjádření.
  10. Druhý kanál: potvrďte u osoby/instituce přes jiný komunikační kanál (známé číslo, oficiální helpdesk).

Manuál ověření hlasu (voice clone) – 8 kroků

  1. Kontrolní otázka: vyžádejte si dohodnutý kód nebo detail známý jen vám (nikoli datum narození z veřejných zdrojů).
  2. Rušení a dynamika: syntetické hlasy mívají nepřirozeně čistý signál, chybí jim šum prostředí při náhlých změnách.
  3. Melodie a dysfluence: umělý hlas má plochou intonaci, chybí koktání, „ehm“, přežvykování slabik.
  4. Latence: neobvyklé pauzy po vaší otázce (model „sestavuje“ odpověď).
  5. „Nouzová“ žádost: tlak na rychlé platby/převody, odpor k ověření druhým kanálem – červená vlajka.
  6. Call-back: zavolejte zpět na známé číslo z adresáře, nikoli na číslo z hovoru/SMS.
  7. Bezpečné prostředí: nikdy nediktujte jednorázové kódy (MFA, podpisy) během hovoru; tyto kódy nejsou určeny k hlasovému sdílení.
  8. Záznam: pokud je to legální, pořiďte záznam hovoru pro pozdější forenzní analýzu a nahlášení.

Ověření fotografií a „screenshotů“ – 7 kroků

  1. Reverse image: zpětné vyhledávání rámečků/obrázku (zda nejde o starší obsah s novým popisem).
  2. Kompozitní chyby: ruce a prsty, texty na tričkách/cedulkách (křivky, deformace, nečitelná písma).
  3. Kulturní a odrazy: zda odrazy odpovídají scéně; deepfake často odlesky zanedbává.
  4. EXIF: model zařízení, čas, software; zjevné rozpory.
  5. Okraje a bokeh: nerealistická hloubka ostrosti, „vytečení“ vlasů do pozadí.
  6. Text v obraze: překlepy, nelogické rozložení UI prvků, „divné“ ikony/notifikace ve screenshotech.
  7. Kontextové potvrzení: stejný obraz by měl existovat v nezávislých zdrojích (nikoli jen série reuploadů od jedné anonymní entity).

Ověřování identity při „živém“ hovoru nebo videohovoru

  • Dvojkanálové ověření: během hovoru požádejte osobu, aby napsala SMS/e-mail z předem známého kontaktu se slovem, které jí nadiktujete.
  • Náhodné výzvy: požádejte o tři rychlé úkony: ukaž levé ucho, řekni dnešní datum, otoč kameru k oknu. Reálné deepfake mají problémy s interakcí a osvětlením v reálném čase.
  • Oddělený kalendář: pokud se jedná o nadřízeného, ověřte v interním kalendáři jeho dostupnost; podvodníci „volají“ během porad a mimo běžnou pracovní dobu.
  • Bez peněz v hovoru: žádné převody ani kódy během hovoru; po ověření použijte standardní finanční proces.

Organizační zásady: procesy rušící „urgentní scénář“

  1. Pravidlo dvou osob u financí: každá platba nad stanovený limit musí mít dva nezávislé schvalovatele.
  2. Callback policy: u nestandardní žádosti povinný zpětný hovor na číslo z adresáře/CRM.
  3. Kódová slova: tajná fráze pro krizové situace; rotujte ji každých X měsíců.
  4. Vzdělávání: kvartální školení s novými příklady; sdílený „podvodný sešit“ s reálnými incidenty.
  5. Řízení incidentů: formulář pro hlášení podezření a bezpečnostní hotline; bez sankcí za „falešné poplachy“.

Nástroje a signály „provenience“ (C2PA, watermarking, hashování)

  • Provenienční značky: digitální podpisy a manifesty obsahu (C2PA) mohou prokázat, kdo a čím obsah vytvořil/upravil.
  • Vodotisky modelů: některé generátory vkládají zjistitelné vzory; berte je jako pomocný signál, nikoli absolutní důkaz.
  • Hashování originálů: u kritických nahrávek (porady, vyjádření) uložte originál a jeho hash – usnadní to dokazování autenticity.

Limity detekce: proč stačí malá chyba v procesu

Moderní deepfake jsou čím dál přesnější; vizuální a akustické artefakty mizí. Proto se nespoléhejte pouze na „odhalení“, ale na procesní brzdy (druhý kanál, vícenásobné schvalování, zákaz kódů přes hovor). Ověření identity je multifaktorový problém: technické stopy + organizační pravidla + zdravý skepticismus.

Nejčastější scénáře AI podvodů a doporučená obrana

Scénář Signály Okamžité kroky
„Šéf“ žádá urgentní převod Netypický kanál, časový tlak, odpor k ověření Zpětný hovor na známé číslo, pravidlo dvou osob, žádné IBANy přes chat
„Rodina“ v nouzi (hlasový klon) Emocionální tlak, žádost o kódy/dárkové karty Dohodnutý kód, druhý kanál, záznam hovoru (pokud legální)
Investiční „zaručené“ nabídky Celebrity/video, nereálné výnosy Ověření zdroje, nevěřit screenshotům, nikdy neposílat seed/privátní klíče
KYC/Onboarding přes video Žádají obejít oficiální aplikaci, „pomoc“ při verifikaci KYC pouze v oficiální aplikaci, nikdy přes ad-hoc odkazy
Reputační útok (falešné prohlášení) Virové video bez potvrzení instituce Čekat na oficiální stanovisko, archivovat originál, nekonat impulzivně

„Nezdielej kódy“: speciální pravidla pro MFA a podpisy

  • Jednorázové kódy (OTP): nikdy je nepřenášejte z telefonu do hovoru/chatu. Legitímní procesy nikdy nevyžadují váš OTP hlasem.
  • Schvalování v aplikaci: pozor na „push fatigue“ – při opakovaných push notifikacích o schválení informujte bezpečnost.
  • Autorizace plateb: používejte firemní schvalovací aplikace, ne e-mailová „potvrzení“.

Forenzní připravenost: co a jak archivovat při podezření

  1. Originály: uložte původní soubor/URL, nestahujte reuploady s recompressí.
  2. Kontext: datum, čas, kanál, účty, čísla, ID hovorů, jméno operátora.
  3. Řetězec držby: kdo měl přístup k materiálu; zachovejte integritu (hashy).
  4. Právní: respektujte zákony o nahrávání a ochraně osobních údajů; při eskalaci připravte stručné shrnutí pro orgány.

Domácí a firemní „playbook“ – připravené skripty

Osobní skript (telefonát v nouzi)

  1. „Zastavme se: řeknu naše kódové slovo, ty ho zopakuješ.“
  2. „Zavěsím a zavolám ti zpět na číslo v kontaktech.“
  3. „Dokud nepotvrdíme identitu, nic neplatím a neposílám kódy.“

Firemní skript (finanční požadavek)

  1. „Děkuji, zadávám callback podle politiky – ozvu se z interního čísla.“
  2. „Bez druhého schválení a ticketu v systému platba neproběhne.“
  3. „Ověřuji v kalendáři dostupnost a žádost připojuji do incident logu.“

Minimální balík opatření pro jednotlivce

  • Dohodnuté kódy s nejbližšími; rotace každých 6–12 měsíců.
  • Druhý kanál pro ověřování (alternativní e-mail/telefon).
  • Žádné OTP/klíče přes hovor/chat; platby pouze po ověření.
  • Archivace: screenshoty, poznámka k incidentu (čas, číslo, požadavek).

Minimální balík opatření pro organizaci

  • Pravidlo dvou osob a callback policy v interních směrnicích.
  • Bezpečnostní helpdesk s jednoduchým kanálem pro hlášení podezření.
  • Simulovaná cvičení (table-top) s deepfake scénáři každých 3–6 měsíců.
  • Technické kontroly: DMARC/SPF/DKIM pro e-maily, blokace od

Súvisiace články

Přeshraniční úvěry

Přeshraniční úvěry kombinují rozdílné regulační, daňové a právní rámce, měnová rizika a složitosti v zajištění, což zvyšuje provozní náklady a rizika selhání. Vyžadují precizní právní struktury, správu kolaterálu a efektivní řešení inkasa n

FOMO: Jak eliminovat tlak neustálé potřeby být v obraze

  • Drmi
  • 20. septembra 2025
  • 0

FOMO neboli strach ze zmeškání ovlivňuje chování a rozhodování jedinců i na finančních trzích, kde vede k impulzivním investicím a tržní volatilitě. Digitalizace a sociální média tento fenomén prohlubují, což má negativní dopady na psychiku