Co phishing ve skutečnosti je a proč je stále tak účinný
Phishing je forma podvodu, při které se útočník vydává za důvěryhodnou instituci nebo osobu a snaží se z vás vylákat přihlašovací údaje, platební informace nebo jiné citlivé data. Nejčastěji přichází e-mailem, ale stejně dobře funguje přes SMS, chaty, sociální sítě nebo falešné weby. Cíl je vždy stejný: přimět vás kliknout, vyplnit formulář, otevřít přílohu nebo schválit akci, kterou byste za normálních okolností neudělali.
Podle zpráv bezpečnostních firem patří phishing dlouhodobě mezi nejčastější vstupní body útoků. Například Verizon ve svých Data Breach Investigations Report opakovaně uvádí, že lidský faktor stojí za výraznou částí incidentů a phishing je jedním z dominantních vektorů. Důvod je jednoduchý: technická ochrana je dnes lepší než dřív, ale lidé stále reagují na naléhavost, strach, zvědavost nebo autoritu.
Moderní phishing navíc často využívá AI. Útočník si nechá vygenerovat bezchybný text, přizpůsobí tón komunikace konkrétní firmě a snadno vyrobí desítky variant stejného e-mailu. To je důvod, proč už nestačí hledat jen pravopisné chyby nebo „divnou češtinu“.
Jak poznat podvodný e-mail: kontrola, která zabere méně než minutu
Nejspolehlivější obrana je systematická kontrola několika detailů. Když si na ni vytvoříte návyk, odhalíte většinu útoků ještě před kliknutím.
- Adresa odesílatele: zkontrolujte doménu za zavináčem. Podvod může vypadat jako support@banka-cz.com místo support@banka.cz.
- Zobrazené jméno nestačí: e-mail může ukazovat „Česká pošta“, ale skutečná adresa je úplně jiná.
- Odkazy: najeďte myší na odkaz a sledujte skutečnou URL. Pokud vede na zkrácenou, podezřelou nebo cizí doménu, neklikejte.
- Tlak na čas: fráze typu „do 24 hodin“, „poslední upozornění“, „účet bude zablokován“ jsou typický manipulační prvek.
- Neobvyklá příloha: pozor na soubory .zip, .html, .iso, .js nebo dokumenty s výzvou k povolení maker.
- Nečekaná žádost: banka, úřad ani IT oddělení po vás obvykle nechtějí heslo e-mailem.
Praktický příklad: dostanete fakturu od „dodavatele“, který běžně komunikuje s vaším účetním oddělením. E-mail vypadá věrohodně, ale doména je o jednu znakovou variantu jiná a příloha je ZIP s JavaScriptem. To je jasný varovný signál, i když text působí profesionálně.
Nejčastější techniky útoku: od falešné faktury po kompromitovaný účet
Podvodníci dnes nespoléhají jen na klasické „vyhrál jste iPhone“. Častější jsou cílené scénáře, které vypadají jako běžná firemní nebo úřední komunikace.
1. Falešná faktura nebo platební výzva
Útočník pošle e-mail s přílohou nebo odkazem na „nezaplacenou fakturu“. Cílem je donutit vás otevřít soubor, nebo zaplatit na změněný bankovní účet. U firemních účtů bývá problém hlavně ve schvalování plateb bez druhé kontroly.
2. Přihlášení do Microsoft 365, Google nebo banky
Typický scénář: e-mail upozorňuje na „nezvyklé přihlášení“ nebo „vypršení hesla“. Odkaz vede na falešnou přihlašovací stránku, která vypadá téměř identicky jako originál. Pokud zadáte údaje, útočník je okamžitě použije.
3. Kompromitovaný firemní účet
To je nebezpečnější varianta. Útočník se dostane do skutečné schránky kolegy nebo dodavatele a rozesílá zprávy z legitimní adresy. V takovém případě už nepomůže jen kontrola domény, protože e-mail opravdu přichází od známého kontaktu. Pomůže až ověření jiným kanálem.
4. QR phishing a mobilní útoky
Stále častější je podvod přes QR kód, hlavně v PDF přílohách nebo na plakátech. Mobilní zařízení často zobrazí jen zkrácený náhled URL, takže uživatel nevidí, kam skutečně míří.
Jak si e-mail ověřit technicky: nástroje a postupy pro běžného uživatele i firmu
Pokud chcete jít dál než jen podle „pocitu“, využijte konkrétní nástroje. Většina e-mailových klientů dnes umí zobrazit hlavičky zprávy, což je velmi užitečné při podezření na spoofing.
- Gmail: „Zobrazit originál“ ukáže SPF, DKIM a DMARC výsledky.
- Outlook: přes hlavičky zprávy lze dohledat cestu e-mailu i podezřelé přesměrování.
- VirusTotal: pro kontrolu odkazu nebo souboru před otevřením.
- urlscan.io: bezpečná analýza cílové stránky a redirectů.
- Have I Been Pwned: ověření, zda váš e-mail nebyl součástí úniku dat.
Ve firmě je zásadní nastavit správně SPF, DKIM a DMARC. SPF říká, které servery smí odesílat poštu za vaši doménu, DKIM přidává kryptografický podpis a DMARC určuje, co má příjemce dělat s neověřenou poštou. Bez DMARC politiky je snazší doménu zneužít k podvrženým e-mailům.
Pro pokročilejší ochranu se vyplatí i MFA neboli vícefaktorové ověření, ideálně přes aplikaci nebo hardwarový klíč. SMS je lepší než nic, ale vůči SIM swapu a přesměrování čísla je slabší.
Jak reagovat, když už jste klikli nebo zadali údaje
Rychlá reakce dokáže výrazně snížit škody. Pokud jste klikli na odkaz, ale nic nevyplnili, obvykle stačí zavřít stránku a projít kontrolu zařízení. Pokud jste zadali heslo nebo bankovní údaje, jednejte okamžitě.
- Změňte heslo na napadené službě i všude, kde jste používali stejné nebo podobné heslo.
- Odhlaste všechna relace v Google, Microsoftu, Facebooku, bankovní aplikaci nebo e-shopu.
- Zapněte nebo zkontrolujte MFA.
- Kontaktujte banku, pokud šlo o kartu nebo přístup do bankovnictví.
- Proveďte antivirovou kontrolu a zkontrolujte, zda se neinstaloval škodlivý software.
- Nahlaste incident internímu IT, správci pošty nebo bezpečnostnímu týmu.
U firemních účtů je vhodné zkontrolovat také přeposílací pravidla v e-mailu. Útočníci si často nastaví skryté forwardy, aby měli přístup ke konverzaci i po změně hesla. V Microsoft 365 i Google Workspace je to běžná post- kompromitace, kterou administrátor musí zkontrolovat ručně.
Jak snížit riziko dlouhodobě: nastavení, školení a návyky
Odolnost proti phishingu není jednorázová akce, ale kombinace technických opatření a návyků. U jednotlivce je nejdůležitější používat unikátní hesla v password manageru, například 1Password, Bitwarden nebo Dashlane, a nikdy neklikat na přihlašovací odkazy z e-mailu u citlivých služeb. Místo toho je lepší otevřít web ručně přes záložku nebo přímé zadání adresy.
Ve firmě funguje dobře pravidelné školení s reálnými ukázkami phishingu a simulované kampaně. Není neobvyklé, že po 3 až 6 měsících opakovaného tréninku klesne míra kliknutí na testovací phishing výrazně níže než u prvního testu. Důležité je ale školit prakticky, ne formálně: lidé si mají nacvičit, co dělat při podezřelém e-mailu, kam ho přeposlat a jak ověřit odesílatele.
Pro majitele webů a e-shopů je navíc důležité chránit vlastní značku. Zvažte monitoring podobných domén, nastavení DMARC reportů a upozornění na nové registrace připomínající vaši značku. Pokud provozujete zákaznickou komunikaci, informujte klienty, z jaké domény skutečně posíláte e-maily, jaké přílohy posíláte a jaké nikdy ne. Tím výrazně snížíte šanci, že podvod projde jen proto, že lidé nevědí, jak má legitimní komunikace vypadat.