Umělá inteligence dala útočníkům do rukou nástroje, které dříve vyžadovaly měsíce práce IT profesionálů. Dnes zvládne přesvědčivý phishingový web sestavit téměř kdokoli za pár dní a několik dolarů v AI kreditech. Výsledek? Jen za rok 2025 bylo v USA zpronevěřeno přes 17 miliard dolarů prostřednictvím podvodů zaměřených na finanční instituce a jejich klienty meziročně o 25 % více.

Na konferenci CryptoByte 2026 v Liberci vystoupil Dominik Moštěk, CTO české kryptoburzy Coinmate, s přednáškou o tom, jak se bezpečnost softwarových produktů mění v éře AI. Ukázal reálný záznam phishingového útoku, který cílil přímo na klienty Coinmate, a vysvětlil, jak útočníkům podařilo prolomit hned šest bezpečnostních bariér. Podařilo se jim to z jediného důvodu: uživatel pospíchal.

Přednáška ale není jen varováním. Dominik sdílí konkrétní opatření, která Coinmate zavedlo, a nabízí jednoduchou radu pro každého. Ne silnější heslo, ale pomalejší rozhodování.

👉 Celou přednášku si pusťte na YouTube. 🎧

---

Transkript

Řečník: Dominik Moštěk (CTO Coinmate) Konference: CryptoByte 2026, Liberec

Vítám vás na přednášce Bezpečnost jako produkt — engineering a kvalita v době AI. Jde o téma, které teď hýbe spoustou komunit a inženýrských disciplín: jak AI ovlivňuje kvalitu a celkovou bezpečnost softwarových produktů.

Ještě jednou — jsem Dominik Moštěk, CTO společnosti Coinmate. Jsme česká kryptoburza s dlouhou historií v Čechách, první svého druhu. Jsem dlouhodobý vývojář a tech lead s téměř 20 lety zkušeností.

Proč se vůbec o bezpečnosti bavit

Začnu závěrem z reportu FBI, který sleduje finanční trestnou činnost ve světě fiat i kryptoměn. Data jsou jen za Spojené státy: za rok 2025 bylo zpronevěřeno přes 17 miliard dolarů prostřednictvím podvodů a bezpečnostních úniků. Nárůst o 25 % oproti předchozímu roku — a toto číslo neustále roste. Potenciál přijít o velké peníze je tedy obrovský. Proto má cenu se tím zabývat, ať už z pohledu provozovatele burzy, nebo jako klienta.

Za výrazným nárůstem stojí primárně jeden typ útoku: tzv. impersonation attack, tedy vydávání se za někoho jiného. Útočníci se vydávají za burzu, státní instituci nebo důvěryhodnou osobu a snaží se vás dostat do situace, kdy jim předáte své prostředky nebo přihlašovací údaje.

Co burza chrání a před kým

Burza chrání klientské prostředky — fiat peníze i kryptoměny. Samozřejmě: kdo si stahuje krypto do vlastní peněženky, má ho pod kontrolou sám. Ne vždy je to ale jednoznačně bezpečnější varianta — k tomu se ještě dostanu. Kromě prostředků chráníme také vaše osobní data: nejen KYC údaje jako číslo občanky, ale i transakční historii, která může prozradit, kdy a co jste nakupovali nebo kam jste prostředky odesílali. A samozřejmě chráníme i naše vlastní prostředky a know-how.

Před kým? Nejčastější odpověď jsou hackeři — IT profesionálové, kteří se snaží kompromitovat burzu nebo vaše zařízení. Upřímně, to není zas tak časté. Jsou to většinou velmi cílené útoky a jejich počet sice roste, ale pozvolna. Co roste výrazně, jsou podvodníci. Právě jim AI dalo velký náskok — umí vytvářet sofistikované útoky a cílí primárně na klienty. A pak je tu ještě třetí kategorie: my sami. I my jako zaměstnanci a vývojáři děláme chyby — ve vývoji, v procesech, v každodenním fungování.

Phishingový útok v praxi: záznam z první ruky

Ukážu vám reálný záznam, jak takový podvod vypadá z pozice klienta. Vytvořili jsme si testovací účet a nechali se záměrně napálit. Tady je, co se stalo.

Uživatel si vyhledá „Coinmate“ na Googlu a klikne na první odkaz. Stránka nevykazuje žádné zjevné známky podvodu — vypadá naprosto stejně jako ten pravý web. Uživatel vyplní přihlašovací údaje a čeká.

Pak přijde výzva k ověření e-mailem. Pro někoho, kdo se přihlašuje z vlastního prohlížeče, může být tato výzva podezřelá — ale kdo jedná ve spěchu, třeba protože bitcoin právě padá a chce nakoupit dip, ji bezmyšlenkovitě odklikne. Navíc na Apple zařízeních iOS automaticky nabídne vyplnění kódu z e-mailu, takže ho člověk ani nečte.

Pak přijde ověření SMSkou. To už by u zkušenějšího uživatele měl rozsvítit červený majáček — Coinmate nikdy nežádá ověření zároveň e-mailem i SMS. Útočníci ale vsadili na to, že to klient přehlédne. A měli pravdu.

V momentě, kdy uživatel vyplnil SMS kód, přišel o prostředky na Coinmate. Nic nenaznačovalo, že se to stalo — žádné varování, žádná zpráva.

Co se dělo na pozadí? Útočník provozoval vlastní server fungující jako proxy. Přesměrovával požadavky klienta přes své servery, upravoval je a automatizovaně se vydával za klienta v našem rozhraní. Cílem bylo vybrat prostředky.

Jak se útočníkovi podařilo prolomit jednotlivé bariéry?

Bariéra první: Google má schvalovací proces pro inzerenty. Útočník si nejprve založil legitimně vyhlížející web — prodávající například pelíšky pro psy — nechal si účet schválit a pak celý obsah i přesměrování změnil na phishing stránku napodobující Coinmate. Schválený reklamní účet přitom zůstal v platnosti. Paradoxně k tomu přispělo i to, že Google dlouhá léta zakazoval kryptosubjektům vůbec inzerovat — my jsme tedy nemohli inzerovat ani na vlastní brand, čímž útočníkovi zcela uvolnil pole.

Bariéra druhá: moderní prohlížeče varují před podezřelými adresami. Adresa nebyla coinmate.cz, ale „coln mate“ — rozdíl pouhých několika pixelů mezi l a I. Útočníci dokonce zkopírovali i naše vlastní varování s textem „Zkontrolujte si adresu, na které se nacházíte, že je opravdu Coinmate.cz“ — a přidali ho přímo na svou phishing stránku.

Bariéra třetí: ověřovací e-mail přišel s jasně podezřelými detaily. Informoval o přihlášení z Brazílie přes Edge na Windows — přestože uživatel používá Chrome. Kdo jedná ve spěchu, toto nepřečte.

Bariéra čtvrtá a pátá: dvojité ověření e-mailem i SMS, které Coinmate při přihlášení standardně nenasazuje.

Bariéra šestá: analýza chování ze strany Coinmate. Detekujeme podezřelá přihlášení z neobvyklých lokací nebo zařízení. Jenže v kryptokomunita je přihlášení z Brazílie v pondělí a z Panamy ve středu celkem běžné — VPNky, cestování, plány B. Takže ani tato ochrana útok nezachytila.

Každá jednotlivá bariéra by za normálních okolností obstála. Jenže uživatel pospíchal a přehlédl varovné signály hned na šesti místech.

Bezpečnost není přepínač

Mám rád seriál o vyšetřování leteckých nehod. Ne proto, že by mě lidské tragédie bavily — ale proto, co to vyšetřování vždy ukáže. V celém systému neexistuje jedna velká páka, která řekne „spadni / nespadni“. Bezpečnost každého komplexního systému zajišťuje série drobných opatření, která sama o sobě nejsou absolutní — ale v sérii za sebou výrazně snižují pravděpodobnost selhání všech najednou.

Bezpečnost přitom není přepínač, který buď máte, nebo nemáte. Je to kompromis mezi třemi aspekty:

Uživatelský komfort: čím více bezpečnostních kroků, tím větší tření pro klienta. Soukromí: dokonalá bezpečnost by vyžadovala o vás shromažďovat maximum dat co nejdéle — ale to samo o sobě přináší rizika úniku. A náklady: dokonalé zabezpečení je drahé a ty náklady se musí někde projevit, například vyššími poplatky. Kdybychom do bezpečnosti dali vše, stali bychom se nekonkurenceschopní — a vy byste přešli ke konkurenci, která ji možná řeší méně důsledně. Jde tedy o rovnováhu, které celý proces řídí.

Co AI dalo útočníkům

Ekonomie zná Jevonsův paradox: když se cena výroby nějakého statku sníží, nevede to k úsporám, ale k masivnímu navýšení produkce. AI dramaticky snížilo cenu tvorby kódu, webů i softwaru. Výsledkem není levnější vývoj — ale exploze množství kódu.

Pro útočníky to znamená: dnes stačí zadat prompt do Clauda nebo ChatGPT, s trochou snahy obejít ochranné filtry a nechat AI zkopírovat legitimní web, napsat podvodný software a tvářit se jako důvěryhodná platforma. Co dříve vyžadovalo IT profesionála a měsíce práce, zvládne dnes téměř kdokoli za dva tři dny a pár dolarů v AI kreditech. Trendová data FBI tento vývoj jen potvrzují.

Útočníci navíc vždy byli a budou o krok napřed. Nejprve najdou způsob, jak prolomit ochranu — a teprve potom ji my začínáme záplatovat. Dnes platí: my nestačíme jen reagovat, musíme zároveň vyvíjet produkt. Útočníci naproti tomu nemusí platit provoz platformy ani řešit zákaznickou podporu — jenom vyrábějí podvody. Mají tedy velkou výhodu.

Více kódu, více bugů

AI generuje obrovské množství kódu i na naší straně. Jenže kód vždy nese chyby — AI generovaný kód není v tom ničím výjimečný. Více kódu rovná se více bugů. Zároveň roste tlak na rychlé doručování: LinkedIn je plný příspěvků ve stylu „za víkend jsem postavil nový produkt“ nebo „přidal jsem šest nových funkcí za večer“. Tento tlak vede k přepracování, únavě a poklesu kvality.

Do toho vstupuje jev popsaný v ekonomii jako Market for Lemons — informační asymetrie mezi prodejcem a kupujícím. Já jako klient dnes nevím, jestli kryptoburzu, na které obchoduji, vybudoval tým dvaceti inženýrů po dobu dvou let, nebo ji někdo dal dohromady za víkend s kamarádem na chatě. Obě mohou na první pohled vypadat stejně. A do tohoto vakua vstupuje třetí strana s dokonalou informací — hacker nebo podvodník, který přesně ví, kde je díra.

Jaký je tedy důkaz bezpečnosti? Na kryptokonferenci si vypůjčme terminologii: proof of work. Dříve byl přirozený proof of work prostý — burzu nešlo postavit jinak než za roky práce a nemalé investice, takže za tou dobou se na bezpečnosti pracovalo. Co je tím důkazem dnes?

Jsou to podle mě signály — konkrétní znaky, které produkt navenek vykazuje. Nezaručují dokonalou bezpečnost, ale zvyšují pravděpodobnost, že tam bezpečnost skutečně je.

Jak Coinmate přistupuje k bezpečnosti

Najímáme etické hackery — platíme jim za to, aby se pokoušeli narušit naši platformu jakýmkoli způsobem. Provozujeme bezpečnostní centrum, kde sledujeme neobvyklé chování: sdílení dokumentů mimo bezpečnou zónu, přihlášení z IP adres na spamových blacklistech, rychlé střídání zařízení v krátkém čase. Pokud vidíme, že se někdo s podezřelým chováním pokouší vybrat prostředky, výběr zastavíme a klienta informujeme.

Máme regulaci MiCA a DORA a sami jsme si vyžádali ISO audit. To nás zavazuje nejen mít předpisy, ale je i dodržovat — a ty předpisy jsou poměrně přísné.

Nabízíme dvoufaktorové ověření různými způsoby včetně Trezoru, což považuji za jednu z nejlepších variant. Spolupracujeme také s Wultra, českou společností specializující se na zabezpečení mobilních zařízení a autentizaci pro finanční instituce.

Snažíme se pěstovat bezpečnost jako součást firemní kultury. Pár příkladů z praxe: kolegyně ze zákaznické podpory mi bez váhání posílá zprávu, když se jí zobrazí varování SSL certifikátu na webu, který běžně navštěvuje — místo toho, aby varování odklikla a šla dál. Jiný kolega systematicky odstraňuje tracking parametry ze všech odkazů sdílených na firemním Slacku. A nedávno někdo nechal na stole flashku s lísečkem „je tam zajímavý film“ — nikdo ji nezapojil.

A pak je tu naše historie: 11 let na trhu bez jediného úniku dat nebo ztráty klientských prostředků. Bezpečnost byla priorita od prvního dne, s níž zakladatelé Coinmate projekt zakládali. To není náhoda.

Závěr: Zpomalte

V éře AI jsme AI začali používat primárně k eliminaci technického dluhu, automatizaci rutinní práce a větší svobodě vývojářů. Není to jednorázová investice — je to neustálý proces. A platí pro nás to samé, co pro vás jako klienty.

Mohl jsem vám dát seznam obvyklých rad: silná hesla, správce hesel, dvoufaktorové ověření. To jste slyšeli tisíckrát a stejně to polovina z nás nedělá. Místo toho mám jednu radu, která funguje: nepodléhejte časovému tlaku.

Phishing, který jsem ukázal, byl úspěšný z jediného důvodu — uživatel pospíchal. Kdyby si v každém z těch šesti kroků dal deset sekund a pořádně se podíval, co se děje, nestalo by se nic. Toto platí pro klienty a stejně tak pro nás jako autory platforem. Dát si čas na důkladné review kódu, na review zadání, na rozmyšlení před kliknutím. Ve světě, kde všichni sprintují, je zpomalení kontraintuitivní. Ale je to jediný lék na software plný chyb a bezpečnostních děr.

Děkuji vám. Budu rád za jakékoli dotazy. Pokud byste se chtěli přidat k naší beta testovací skupině, které uvolňujeme vybrané funkce dříve než ostatním, připojte se k našemu Discordu.