Přihlásit se Registrace
Registrace
Nejnovější články
Bezpečnost
21 minut čtení

🎙️ Dominik Moštěk: Bezpečnost nejen v kryptu

21. 6. 2026
🎙️ Dominik Moštěk: Bezpečnost nejen v kryptu

Kyberpodvody v roce 2026 nejsou záležitostí jen nepoučených seniorů. Cílí na ajťáky, investory i manažery. Z podvodů se stalo odvětví s odhadovaným obratem 17 miliard dolarů ročně a umělá inteligence dala útočníkům do rukou nástroje, které dříve vyžadovaly hluboké technické znalosti. Dnes si phishingovou stránku nebo přesvědčivý deepfake zvládne vyrobit prakticky kdokoli za pár hodin a pár set dolarů.

V novém dílu Coincastu Vlastimil Mach zpovídá Dominika Moštěka, technického ředitele Coinmate. Probírají, jak útočníci pracují s časovým tlakem a emocemi, proč falešné aplikace prochází i přes kontrolu App Store a Google Play, co je phishing as a service a jak správně uložit seed frázi. Ale také: jak ochránit babičku a proč byste se za to, že jste naletěli na podvod, neměli stydět.

👉 Epizodu najdete na YouTube a Spotify. 🎧

Transkript

Hosté: Vlastimil Mach (moderátor) a Dominik Moštěk (CTO Coinmate)

Vlastimil Mach: Pojďme začít. Když se řekne bezpečnost v kryptu, co si pod tím běžný člověk může představit?

Dominik Moštěk: Je to celý proces od nákupu až po vlastnictví. Přihlašovací údaje, příchozí fiat, samotná směna, uložení krypta na burze a pak jeho výběr do vlastní peněženky. Každý krok musí být chráněný.

Vlastimil Mach: Je rok 2026. Máme tu umělou inteligenci, deepfaky, phishingové útoky. Nedávno jsme se stali terčem útoku i my a třeba Trezor byl napaden přes dopis. Je to jiná liga než před pěti lety, nebo základ zůstává stejný?

Dominik Moštěk: Princip zůstává pořád stejný. Co se změnilo, je to, že takový útok dnes zvládne i amatér. Množství útoků roste, roste i jejich úspěšnost. Na vzestupu jsou hodně útoky typu impersonace, kdy se útočník vydává za cílovou službu. Ať už je to Coinmate, Trezor, nebo i státní orgány, policie, úřady.

Trh kyberpodvodů se meziročně zvětšil zhruba o 25 % a dnes se tam točí odhadem 17 miliard dolarů ročně. A to je spíše nižší odhad.

Vlastimil Mach: Jak člověk pozná falešný e-mail od finanční instituce? Historicky tam bývaly překlepy, grafické prvky, které neseděly, a byl to na první pohled spam. Ale dnes je to sofistikovanější. Na co si dát pozor?

Dominik Moštěk: Jsou tu dva faktory, které situaci zhoršují. Útočníci dostali do rukou AI a navíc se učí, takže jsou zkušenější. Překlepy a strojově přeložený divný jazyk dnes prostě nejsou tak běžné, překlady jsou velice dobré. Na druhou stranu do krypta vstupuje širší, méně poučená veřejnost. A to je živná půda pro podvody.

Jak se chránit? Komunikujte přes oficiální kanály a zjistěte si, jaké jsou. Třeba u Trezoru: nedokážu si představit, proč by mi čistě digitální služba posílala dopis. To bych čekal od banky, a i ty dnes dopisy téměř neposílají. Takže dopis jako oficiální komunikační kanál digitální služby prostě nepřipadá v úvahu.

Na tom dopisu od Trezoru byl navíc velký QR kód k naskenování, ale nikde nebyla uvedena samotná adresa URL. Protože by z ní bylo vidět, že je to něco jako t-rezor.ru, a ne legitimní doména. To je varovný signál.

Pak je tu křížová kontrola. Pokud dopis tvrdí, že se mění nějaký autentizační mechanismus, okamžitě bych to šel ověřit. Tak velká věc by byla na blogu, na sociálních sítích firmy. Pokud tam nic není, je to podvod.

A samozřejmě: vyhledávám si odkaz vždy sám v jiném kanálu, přes Google nebo Seznam. Nikdy neklikám na odkaz z e-mailu nebo SMS, který přišel nevyžádaně. Není nic jednoduššího, než do firmy zavolat nebo napsat. Oni se ozvou.

Vlastimil Mach: Mimochodem, koukám právě na ten dopis a v závěru je podpis Matěje Žáka s titulem Ledger CEO, přičemž jde o dopis od Trezoru. To je samo o sobě dost zvláštní. Ale pojďme dál. Jsou i falešné aplikace. Jak je možné, že vůbec projdou přes App Store nebo Google Play?

Dominik Moštěk: Žádný proces není neomylný. Na konci každého procesu je člověk, dnes možná i AI, ale ani ta není neomylná. Bezpečnost se skládá z mnoha malých dílků, ne z jedné velké ochrany. A kontrola aplikací je jen jeden nebo dva dílky z té skládačky.

Útočníci mají dnes propracovanou taktiku. Zveřejní aplikaci nebo si jen vytvoří účet, aby mohli inzerovat na Googlu nebo Seznamu. Začnou s nevinnou aplikací, třeba s oblečky pro pejsky. Kdo by to neschválil? Po schválení ji začnou postupně měnit. U Applu, kde je kontrola silnější, předkládají i přihlašovací údaje pro testování. Aplikace pak pod tímto testovacím účtem zobrazuje jiný obsah než v reálném provozu. A takových aplikací nepošlou jednu, pošlou jich stovky. Z těch stovek jedna projde.

Vlastimil Mach: Při přípravě jsem narazil na termín phishing as a service. Zní to jako startupový pitch. Co to je a jak je to dostupné?

Dominik Moštěk: V době AI si phishingovou stránku zvládne vyrobit každý. Ale útočníci mají spoustu zkušeností, takže to udělají lépe a rychleji. Weby, autentizační mechanismy, celý ten proces vyrábějí jako na běžícím páse. Vyrobit kopii nějaké služby tak, aby obešla zabezpečení a oklamala uživatele, je dnes otázka pár dní a pár set dolarů.

Vlastimil Mach: Proč mi přestaly chodit e-maily od nigerijských princů?

Dominik Moštěk: Ony chodí dál, jen je nedostáváš. Spam filtry se na ně dobře naučily a tyto e-maily ti vůbec nezobrazí. Existují ale sofistikovanější podoby. V novinách se dost čte o tom, jak si americký voják dopisuje s českou maminkou a potřebuje peníze. Jde o tu samou techniku, jen v jiném kabátu. A dnes navíc s AI, kdy si útočník vygeneruje fotografii za pět minut. Poznat podvod je v některých případech opravdu těžké.

Vlastimil Mach: Pojďme k správě hesel. Zapsat si heslo do poznámek v počítači nebo na papír není úplně ideální. Jaká je správná cesta?

Dominik Moštěk: Doporučovat v roce 2026 správce hesel je skoro jako nést vodu do moře. Jenže ne každý o tom ví. Viděl jsem reportáž ze zastupitelstva, kde byl za starostou na nástěnce přilepený lístek s heslem k počítači. Správci hesel jsou dnes součástí běžných zařízení, takže tato bariéra padá.

Co se týká obavy z prolomení správce hesel, existuje dobrý trik: do správce si neuložím celé heslo, jen jeho část. Ke zbytku si přidám vlastní frázi nebo číslo ručně při přihlašování. Bezpečnost to zvyšuje, i když trochu ubírá na pohodlnosti.

Ale samotné heslo dnes nestačí. Musí se přidat druhý faktor: SMS, passkeys, autentizační aplikace a podobně.

Vlastimil Mach: Nahrál jsi mi na další otázku. Znáš fenomén SIM swappingu?

Dominik Moštěk: Krátce: útočník přenese vaše telefonní číslo na svoji SIM kartu a pak zachytává ověřovací SMS kódy. Ale je potřeba rozlišit dva typy útoků. Cílený útok jde přímo po konkrétní osobě a tam standardní ochrana nestačí, plejáda možností útoku je velká. Druhý typ je brokovnicový útok, kdy útočníci zkouší na všechny a čekají, kdo se chytí. Tady jsou sofistikované útoky jako SIM swapping příliš nákladné a matematicky se nevyplácejí.

Celá bezpečnost je statistika a vyvažování rizika. O tom jsem mimochodem mluvil na CryptoBay 2026. Kdo chce, může si najít záznam.

Pokud jste exponovaná osoba, řídíte velkou firmu nebo máte hodně prostředků, doporučoval bych ochranná opatření zvýšit. Jsou známé případy, kdy útočníci sledují, kam oběť chodí na kávu nebo do jakého parku běhá. A pak třeba záměrně nechají volně ležet flashku. Přijdete domů, zapojíte ji do počítače a máte nainstalovaný keylogger.

Vlastimil Mach: Co je keylogger pro úplného laika?

Dominik Moštěk: Program v telefonu nebo v zařízení, který zaznamenává veškeré stisky kláves, případně pohyby myši. Přihlásíte se do internetového bankovnictví nebo na burzu a útočník má zaznamenanou každou klávesu, kterou jste stiskli, včetně hesla.

Vlastimil Mach: A 2FA samo o sobě neznamená, že jsem v absolutním bezpečí?

Dominik Moštěk: Záleží na kombinaci faktorů. Musí jít o skutečné 2FA, tedy druhý faktor musí být oddělený od prvního. Jenže dnes lidé dost často ukládají druhý faktor přímo do správce hesel. Pokud mi někdo prolomí správce hesel, dostane se nejen k heslu, ale i ke druhému faktoru. Čímž ho degraduji vlastně na první.

Doporučuji oddělit. Třeba Bitwarden jako správce hesel a Google Authenticator jako 2FA aplikaci. Ještě lepší je mít druhý faktor na úplně jiném zařízení. Existují i specializovaná fyzická zařízení. Není to zas takové nepohodlí a bezpečnost to pořád zvyšuje.

Vlastimil Mach: Deepfaky. Před pár měsíci koloval deepfake Andreje Babiše, který sliboval pasivní příjem. Na to se pěkně koukalo, ale ne každý to pozná. Jak to vysvětlit babičce?

Dominik Moštěk: Jednoduše nevysvětlíš. Opakovat mermomocí „nevěřte ničemu“ je důležité, ale těm lidem se nedivím. Vyrůstali ve světě, kde podvodníci samozřejmě byli, ale nebylo jich tolik a nebyli tolik sofistikovaní. Teď najednou přijde někdo a řekne: „Babi, tohle je pryč. Nikomu nevěř. Nikdy nikomu nevěř.“ V takovém věku se člověk moc nemění.

Ale to neznamená, že jim to nemáme připomínat. Nejlepší ochrana je dát jim na sebe kontakt. Já funguju jako druhý faktor pro mé tchána a tchyni. Kolikrát jim přišel divný dopis, vyfotili ho a poslali mi. Já jim napsal: smaž to, zahoď to. Pokud tedy máte v rodině někoho trochu poučeného, dejte prarodičům jeho kontakt a naučte je volat.

Vlastimil Mach: A co děti?

Dominik Moštěk: U dětí je výhoda, že nemají moc peněz. Hrozí spíše to, že utratí zbytečně za hry nebo jiné nesmysly. Ale platí to samé: výchova, mluvit s nimi o tom, finanční i technická gramotnost. To je nová realita a děti je potřeba k ní vychovat.

A hlavně: děti jsou opičky, co vidí, to dělají. Jít příkladem je nejdůležitější.

Vlastimil Mach: Máš nějaký nejbizarnější podvod, na který jsi narazil?

Dominik Moštěk: Vzpomněl jsem si na jeden z předdigitální doby. Jeden Čech prodal Eiffelovu věž dvakrát. A proč mu to prošlo podruhé? Protože první podvedený se tak styděl, že o tom nikomu neřekl. A to je přesně to, co chci zdůraznit: nebojte se to říct. Byl jsem podvedený, stalo se to takhle. Jednak varujete ostatní, jednak tomu předejdete i v budoucnu. Mluvit o těchto věcech je důležité. Stane se to, no.

Vlastimil Mach: Přesuňme se k seed frázi. Jak bys to vysvětlil někomu, kdo to nezná?

Dominik Moštěk: Laicky: je to mnemotechnická pomůcka, jak sestavit přístupový kód k adrese kryptoměn. Z těchto slov se dá peněženka obnovit. Kryptopěněženka jako taková neexistuje, existují jen kryptoadresy. Ty jsou chráněny kryptograficky a vycházejí z matematických vzorců. Ty vzorce potřebují vstup od uživatele, aby vytvořily výsledný kód, který tu adresu chrání. A seed fráze je právě ten vstup. Protože ty kódy jsou velké, vymyslel se způsob, jak z lidsky zapamatovatelných slov dostat vždy stejný výstup.

Vlastimil Mach: Jaká je nejlepší forma uložení seed fráze? Papír, kovová destička?

Dominik Moštěk: Je to o úrovni rizika, které je člověk schopný akceptovat, a o tom, kolik prostředků spravuje. Papír proč ne, ale je potřeba ho dobře zabezpečit. Papír se moc nekamarádí s vodou a ohněm, takže bych ho chránil a jednou za čas přepsal na nový. Udělat si při tom zkoušku obnovy peněženky je dobrý zvyk.

Kovové destičky jsou odolnější. Požár je nezničí, voda je zreziví, ale pořád jsou čitelné. Jsou nákladnější, ale za jistotu to stojí.

Existují i pokročilejší techniky. Seed frázi lze rozdělit a uložit části na různých místech. Jednu zakopu u sebe na zahradě, druhou u tchána, třetí u kamaráda. Žádná část sama o sobě nestačí. Při obnově pak tato tři místa objedu.

Vlastimil Mach: A co je hot a cold peněženka?

Dominik Moštěk: Je to jako peněženka v kapse versus účet v bance. V peněžence nosím minimum na každodenní provoz. Když mi ji někdo ukradne, mrzí mě to, ale nezničí mě to. Na bankovním účtu mám více prostředků, třeba zásobu na tři měsíce. To je cold. A super cold jsou pak prostředky v trezoru, sefu nebo v investicích. Likvidita je horší, ale zabezpečení větší.

Vlastimil Mach: Kdy má smysl mít krypto na vlastní peněžence a kdy ho nechat na burze, třeba na Coinmate?

Dominik Moštěk: Záleží na množství prostředků a na tom, jak dokáže uživatel svoji peněženku zabezpečit. Pokud si uživatel vytiskne seed frázi a přilepí ji na nástěnku, pak bych řekl: nechte to raději na burze. My jsme dobře zabezpečení, dodržujeme všechny osvědčené postupy ohledně struktury hot a cold peněženek. Prostředky zákazníků jsou u nás v bezpečí.

Pro zkušenějšího uživatele, který ví, jak se o svoji peněženku postarat, je vlastní správa bezpochyby nejlepší. Zde samozřejmě platí klasika: „not your keys, not your coins.“ A to stojí na důvěře a historii. My fungujeme od roku 2014, nikdy nedošlo k úniku, nikdy nikdo nic nezpronevěřil. A i kdyby chtěl, tak nemůže. Naše bezpečnostní infrastruktura je nastavena tak, aby nikdo nemohl s prostředky klientů volně nakládat.

Vlastimil Mach: Coinmate má i řadu licencí. Nejčerstvěji MiCA, pak DORA a také ISO certifikaci, i když si nejsem jistý přesným číslem.

Dominik Moštěk: Přesně tak.

Vlastimil Mach: A co dědictví? Spousta lidí má kryptoměny, ale o tom nikomu neřekla, ani manželce. Jak to udělat, aby se rodina v případě úmrtí dozvěděla?

Dominik Moštěk: Musíte je s tím naučit. Musí vůbec vědět, že něco takového máte. Já jsem svoji manželku učil pracovat s Trezorem, i když jsem věděl, že to není nejzáživnější trávení večera. Stejně jako jí dám školení, jak zabezpečit účet a jak používat správce hesel, tak práce s hardwarovou peněženkou je dnes součástí každodenního života. Hold.

Vlastimil Mach: Kdybys měl dát posluchači jeden úkol na dnes, co by to bylo?

Dominik Moštěk: Nepodléhat časovému tlaku. Podle mě to je celé gro bezpečnosti. Dát si čas se rozmyslet, co dělám a proč to dělám. Prohlédnout si aplikaci, webovku, e-mail nebo SMS pořádně. Jak jsem říkal: ignorujte první zprávu. Pokud je to legitimní a důležité, ozvou se znovu. Tím odfiltrujete 90 % spamu.

Většina lidí, které znám a kteří někdy byli podvedeni, tak to bylo v nějakém tlaku. „Hned teď si vyberte prostředky, jinak o všechno přijdete.“ Útočníci se snaží vyvolat emoce a pocit časové tísně, protože v takové situaci se aktivuje instinktivní část mozku a rácio ustupuje. Naučte se dát si čas a zamyslet se.

Vlastimil Mach: Kde je ta zdravá hranice mezi racionalitou a naprostou paranoiou?

Dominik Moštěk: To záleží na každém. Někdo rád má bezpečí a anonymitu, i za cenu většího nepohodlí. Mít heslo na lístečku vedle počítače je nejpohodlnější, ale za něco je to vykoupeno. Sdílet zážitky z dovolené na sociálních sítích je skvělé, ale zároveň všem ukazuji, kde právě jsem a že mi mohou přijít vykrást byt. Každý si musí sám říct, jaké riziko je ochotný přijmout.

Vlastimil Mach: A nakonec: kde je to těžší pro uživatele? V kryptu, nebo v tradičním bankovnictví?

Dominik Moštěk: Pro uživatele je dnes asi těžší nastudovat kryptopeněženky, protože je to nová věc a kryptografie v lidech trochu budí obavy. Ale firmy jako Trezor to udělaly tak přívětivé, že vlastně ani nemusíte moc rozumět technické stránce, oni vám pomohou.

Tradičnímu nebo internetovému bankovnictví bylo asi na začátku taky trochu jako s magií. Co teprve složené úročení?

Krypto ale dává více možností, je decentralizované. Není žádný CEO Bitcoinu, který rozhoduje nad vašimi penězi. To s sebou ale nese velkou odpovědnost. A té odpovědnosti si myslím spousta lidí není připravena. Když se něco stane, nemůžete zavolat na podporu Bitcoinu a říct: udělal jsem chybu, vraťte mi to. V tradičním světě to jde. V kryptu jste pánem, ale to pánovství s sebou nese zodpovědnost. Tu si lidé uvědomí až v momentě, kdy jsou peníze pryč.

Seznam kapitol:
🎙️ Dominik Moštěk: Bezpečnost jako produkt, engineering a kvalita v době AI 5 minut čtení

🎙️ Dominik Moštěk: Bezpečnost jako produkt, engineering a kvalita v době AI
Krypto je plné podvodů. Opravdu?
Začátečníci
5 minut čtení

Krypto je plné podvodů. Opravdu?
Jak vypadá phishingový e-mail?
Začátečníci
5 minut čtení

Jak vypadá phishingový e-mail?