Stačí jediný kliknutý odkaz a útočník je uvnitř. Phishing nepotřebuje prolomit firewall ani uhodnout heslo hrubou silou – stačí mu přesvědčit jednoho zaměstnance, aby otevřel přílohu, zadal přihlašovací údaje nebo schválil falešnou platbu. V tomto článku si vysvětlíme, proč phishing tak spolehlivě funguje, jak rozpoznat podvodnou zprávu na první pohled a co dělat, když se náhoda obrátí proti vám.

Co je phishing a proč na něj lidé naletí

Phishing je forma podvodu, při níž se útočník vydává za důvěryhodnou osobu nebo organizaci – banku, kolegu, dodavatele, státní úřad – a snaží se z vás vylákat citlivé údaje, peníze nebo přístup do systémů. Slovo vzniklo z anglického „fishing", tedy rybaření: útočník vyhodí návnadu a čeká, kdo se chytí.

Klíčové je, že phishing necílí na technologie, ale na lidskou psychiku. Pracuje s několika osvědčenými spouštěči, kterým se těžko odolává:

  • Naléhavost. „Váš účet bude do 24 hodin zablokován." Časový tlak nás nutí jednat dřív, než stihneme přemýšlet.
  • Autorita. Zpráva tváří se jako od ředitele, banky nebo policie. Autoritě se instinktivně podřizujeme.
  • Strach a zvědavost. „Někdo se přihlásil do vašeho účtu z ciziny" nebo „Faktura k úhradě v příloze" – obojí nás nutí kliknout.
  • Důvěra a rutina. Když zpráva vypadá jako desítky jiných, které denně řešíme, mozek přepne na automatický režim.
Phishing nezneužívá chybu v softwaru. Zneužívá to, že jsme lidé – ve spěchu, pod tlakem a ochotní pomoci.

Jak phishing vypadá v praxi – hlavní typy

Phishing není jen otravný e-mail s nabídkou výhry. Útoky se vyvinuly do mnoha podob a některé z nich jsou velmi sofistikované a cílené.

  • Klasický e-mailový phishing. Hromadná zpráva rozeslaná tisícům příjemců – falešná banka, doručovací služba, e-shop. Spoléhá na to, že se chytí alespoň malé procento lidí.
  • Spear phishing. Cílený útok na konkrétní osobu. Útočník si o vás dopředu zjistí informace (z LinkedInu, webu firmy) a zpráva pak působí osobně a věrohodně.
  • Smishing. Phishing přes SMS – typicky falešné zprávy o nedoručené zásilce nebo doplatku za clo s odkazem na podvodnou stránku.
  • Vishing. Telefonický podvod, kdy „pracovník banky" nebo „IT podpora" po telefonu vylákají kódy či vzdálený přístup k počítači.
  • BEC a podvod s fakturou. Business Email Compromise – útočník se vydává za jednatele nebo dodavatele a žádá o urgentní platbu na „nové" číslo účtu. Tyto útoky způsobují firmám největší škody.
⚠️
Pozor zejména na změnu bankovního účtu u dlouhodobého dodavatele. Pokud vám přijde e-mail „od dodavatele", že nově platíte na jiný účet, vždy si změnu telefonicky ověřte na čísle, které už máte – nikdy ne na čísle uvedeném v podezřelé zprávě.

Konkrétní znaky podvodu, kterých si všímat

Většinu phishingových zpráv prozradí pár opakujících se signálů. Když si na ně zvyknete, rozpoznáte podvod během několika sekund.

  • Odesílatel. Adresa nesedí s názvem firmy, obsahuje překlepy nebo cizí doménu (například spravadane@ceska-sporitelnа.info místo oficiální domény). Zobrazované jméno může být v pořádku, skutečná adresa za ním ne.
  • Odkazy. Najeďte myší na odkaz (bez kliknutí) a podívejte se, kam skutečně vede. Pokud se text odkazu liší od cílové adresy, je to varovný signál.
  • Přílohy. Nečekané přílohy typu .zip, .html nebo dokument vyžadující „povolit makra" jsou klasickou cestou pro malware.
  • Gramatika a stylistika. Strojový překlad, podivné fráze, chybějící diakritika nebo neosobní oslovení „Vážený zákazníku" u služby, která vás zná jménem.
  • Žádost o údaje. Žádná seriózní banka ani úřad po vás nikdy nebude e-mailem chtít heslo, PIN nebo celé číslo karty.
Varovný signálCo to znamená
Naléhavá výzva s krátkým termínemSnaha vyřadit vaše kritické myšlení tlakem času
Odesílatel sedí jen na pohledSkrytá adresa za jménem patří někomu jinému
Odkaz vede na jinou doménu, než tvrdíFalešná přihlašovací stránka pro krádež hesel
Žádost o heslo, PIN nebo kódLegitimní organizace tyto údaje nikdy nevyžadují
Neočekávaná příloha či „povolte makra"Typický nosič škodlivého kódu
Nové číslo účtu u známé fakturyMožný pokus o přesměrování platby (BEC)
💡
Zlaté pravidlo: u jakékoli zprávy, která ve vás vyvolá silnou emoci nebo pocit spěchu, se zastavte. Útočníci spoléhají právě na to, že nebudete přemýšlet. Pár sekund klidu je vaše nejlepší obrana.

Spustit audit zdarma

Prověříme bezpečnost vaší domény — výsledek do e‑mailu.

Jak zprávu ověřit, než cokoli uděláte

Nejistota se vyplatí. Pokud máte sebemenší pochybnost, postupujte takto:

  • Nepoužívejte odkazy a kontakty ze zprávy. Banku, dodavatele i úřad oslovte přes oficiální web nebo telefon, který si sami dohledáte.
  • Ověřte u zdroje jiným kanálem. Když „kolega" žádá e-mailem převod peněz, zavolejte mu. Třicet sekund hovoru může ušetřit statisíce.
  • Zkontrolujte detaily. Skutečnou adresu odesílatele, cíl odkazu, kontext zprávy. Sedí to s tím, co byste reálně očekávali?
  • Poraďte se s IT. Když si nejste jistí, přepošlete zprávu IT podpoře. Lepší jedno ověření navíc než jeden úspěšný útok.

Co dělat, když přece jen naletíte

Stane se to i opatrným lidem. Důležitější než výčitky je rychlá reakce – první minuty rozhodují o tom, jak velká škoda vznikne.

  • Okamžitě změňte heslo k dotčenému účtu, a pokud ho používáte i jinde, změňte ho i tam.
  • Kontaktujte IT a banku. Čím dřív se o problému dozví, tím dřív mohou zablokovat přístup nebo zastavit platbu.
  • Odpojte zařízení, pokud jste otevřeli podezřelou přílohu, a nechte ho prověřit.
  • Nezakrývejte to. Mlčení útočníkovi nahrává. Nahlášení incidentu je projev profesionality, ne selhání.
90 %kybernetických incidentů začíná phishingovým e-mailem
< 1 minprůměrná doba, než oběť klikne na podvodný odkaz
5xnižší úspěšnost útoku u firem s pravidelným školením

Jak ochránit celou firmu, ne jen sebe

Jednotlivec se může chránit obezřetností, ale firma potřebuje vrstvy obrany. Bezpečí nestojí na jednom opatření, ale na jejich kombinaci.

  • Vícefaktorové ověření (MFA). I když útočník získá heslo, bez druhého faktoru se nikam nedostane. Jde o jedno z nejúčinnějších opatření vůbec.
  • Antispamové a antiphishingové filtry. Většinu škodlivých zpráv zachytí, než se vůbec dostanou do schránky.
  • DMARC, SPF a DKIM. Tyto technologie ztěžují útočníkům podvržení vaší domény, takže se za vaši firmu hůř vydávají.
  • Pravidelné školení. Zaměstnanci jsou poslední linií obrany. Pravidelný trénink a testovací phishingové kampaně výrazně snižují riziko.
🔒
V upit nastavujeme ochranu proti phishingu komplexně – od MFA a e-mailových filtrů přes konfiguraci DMARC až po školení vašich lidí. Bezpečnost není jednorázový nákup, ale služba, kterou pro vás průběžně spravujeme a vylepšujeme.

Co si odnést

  • Phishing cílí na psychiku – pracuje s naléhavostí, autoritou a strachem.
  • Existuje mnoho podob: e-mail, spear phishing, smishing, vishing i podvod s fakturou.
  • Podvod nejčastěji prozradí odesílatel, cíl odkazu, přílohy, gramatika a žádost o údaje.
  • Při pochybnostech ověřujte jiným kanálem a nikdy nepoužívejte kontakty ze zprávy.
  • Firmu chrání kombinace MFA, filtrů, DMARC a pravidelného školení.
ℹ️
Phishing je často jen prvním krokem většího útoku. Pokud se vaše firma připravuje na povinnosti podle nové legislativy, přečtěte si i náš článek o tom, jak se NIS2 týká i vaší firmy.

Nenechte phishing dostat se k vám dál

Útočníci spoléhají na to, že se ochrana podcení a školení odloží. Nedávejte jim tu šanci. Pojďme se společně podívat, jak je na tom vaše firma a kde má e-mailová bezpečnost slabá místa.

Začněte nezávazným online auditem, podívejte se na naše služby v oblasti kybernetické bezpečnosti nebo nám rovnou napište přes kontaktní formulář. Rádi vám pomůžeme nastavit obranu, díky které vaši lidé phishing poznají dřív, než stihne napáchat škodu.