Stačí jediný kliknutý odkaz a útočník je uvnitř. Phishing nepotřebuje prolomit firewall ani uhodnout heslo hrubou silou – stačí mu přesvědčit jednoho zaměstnance, aby otevřel přílohu, zadal přihlašovací údaje nebo schválil falešnou platbu. V tomto článku si vysvětlíme, proč phishing tak spolehlivě funguje, jak rozpoznat podvodnou zprávu na první pohled a co dělat, když se náhoda obrátí proti vám.
Co je phishing a proč na něj lidé naletí
Phishing je forma podvodu, při níž se útočník vydává za důvěryhodnou osobu nebo organizaci – banku, kolegu, dodavatele, státní úřad – a snaží se z vás vylákat citlivé údaje, peníze nebo přístup do systémů. Slovo vzniklo z anglického „fishing", tedy rybaření: útočník vyhodí návnadu a čeká, kdo se chytí.
Klíčové je, že phishing necílí na technologie, ale na lidskou psychiku. Pracuje s několika osvědčenými spouštěči, kterým se těžko odolává:
- Naléhavost. „Váš účet bude do 24 hodin zablokován." Časový tlak nás nutí jednat dřív, než stihneme přemýšlet.
- Autorita. Zpráva tváří se jako od ředitele, banky nebo policie. Autoritě se instinktivně podřizujeme.
- Strach a zvědavost. „Někdo se přihlásil do vašeho účtu z ciziny" nebo „Faktura k úhradě v příloze" – obojí nás nutí kliknout.
- Důvěra a rutina. Když zpráva vypadá jako desítky jiných, které denně řešíme, mozek přepne na automatický režim.
Phishing nezneužívá chybu v softwaru. Zneužívá to, že jsme lidé – ve spěchu, pod tlakem a ochotní pomoci.
Jak phishing vypadá v praxi – hlavní typy
Phishing není jen otravný e-mail s nabídkou výhry. Útoky se vyvinuly do mnoha podob a některé z nich jsou velmi sofistikované a cílené.
- Klasický e-mailový phishing. Hromadná zpráva rozeslaná tisícům příjemců – falešná banka, doručovací služba, e-shop. Spoléhá na to, že se chytí alespoň malé procento lidí.
- Spear phishing. Cílený útok na konkrétní osobu. Útočník si o vás dopředu zjistí informace (z LinkedInu, webu firmy) a zpráva pak působí osobně a věrohodně.
- Smishing. Phishing přes SMS – typicky falešné zprávy o nedoručené zásilce nebo doplatku za clo s odkazem na podvodnou stránku.
- Vishing. Telefonický podvod, kdy „pracovník banky" nebo „IT podpora" po telefonu vylákají kódy či vzdálený přístup k počítači.
- BEC a podvod s fakturou. Business Email Compromise – útočník se vydává za jednatele nebo dodavatele a žádá o urgentní platbu na „nové" číslo účtu. Tyto útoky způsobují firmám největší škody.
Konkrétní znaky podvodu, kterých si všímat
Většinu phishingových zpráv prozradí pár opakujících se signálů. Když si na ně zvyknete, rozpoznáte podvod během několika sekund.
- Odesílatel. Adresa nesedí s názvem firmy, obsahuje překlepy nebo cizí doménu (například spravadane@ceska-sporitelnа.info místo oficiální domény). Zobrazované jméno může být v pořádku, skutečná adresa za ním ne.
- Odkazy. Najeďte myší na odkaz (bez kliknutí) a podívejte se, kam skutečně vede. Pokud se text odkazu liší od cílové adresy, je to varovný signál.
- Přílohy. Nečekané přílohy typu .zip, .html nebo dokument vyžadující „povolit makra" jsou klasickou cestou pro malware.
- Gramatika a stylistika. Strojový překlad, podivné fráze, chybějící diakritika nebo neosobní oslovení „Vážený zákazníku" u služby, která vás zná jménem.
- Žádost o údaje. Žádná seriózní banka ani úřad po vás nikdy nebude e-mailem chtít heslo, PIN nebo celé číslo karty.
| Varovný signál | Co to znamená |
|---|---|
| Naléhavá výzva s krátkým termínem | Snaha vyřadit vaše kritické myšlení tlakem času |
| Odesílatel sedí jen na pohled | Skrytá adresa za jménem patří někomu jinému |
| Odkaz vede na jinou doménu, než tvrdí | Falešná přihlašovací stránka pro krádež hesel |
| Žádost o heslo, PIN nebo kód | Legitimní organizace tyto údaje nikdy nevyžadují |
| Neočekávaná příloha či „povolte makra" | Typický nosič škodlivého kódu |
| Nové číslo účtu u známé faktury | Možný pokus o přesměrování platby (BEC) |
Spustit audit zdarma
Prověříme bezpečnost vaší domény — výsledek do e‑mailu.
Jak zprávu ověřit, než cokoli uděláte
Nejistota se vyplatí. Pokud máte sebemenší pochybnost, postupujte takto:
- Nepoužívejte odkazy a kontakty ze zprávy. Banku, dodavatele i úřad oslovte přes oficiální web nebo telefon, který si sami dohledáte.
- Ověřte u zdroje jiným kanálem. Když „kolega" žádá e-mailem převod peněz, zavolejte mu. Třicet sekund hovoru může ušetřit statisíce.
- Zkontrolujte detaily. Skutečnou adresu odesílatele, cíl odkazu, kontext zprávy. Sedí to s tím, co byste reálně očekávali?
- Poraďte se s IT. Když si nejste jistí, přepošlete zprávu IT podpoře. Lepší jedno ověření navíc než jeden úspěšný útok.
Co dělat, když přece jen naletíte
Stane se to i opatrným lidem. Důležitější než výčitky je rychlá reakce – první minuty rozhodují o tom, jak velká škoda vznikne.
- Okamžitě změňte heslo k dotčenému účtu, a pokud ho používáte i jinde, změňte ho i tam.
- Kontaktujte IT a banku. Čím dřív se o problému dozví, tím dřív mohou zablokovat přístup nebo zastavit platbu.
- Odpojte zařízení, pokud jste otevřeli podezřelou přílohu, a nechte ho prověřit.
- Nezakrývejte to. Mlčení útočníkovi nahrává. Nahlášení incidentu je projev profesionality, ne selhání.
Jak ochránit celou firmu, ne jen sebe
Jednotlivec se může chránit obezřetností, ale firma potřebuje vrstvy obrany. Bezpečí nestojí na jednom opatření, ale na jejich kombinaci.
- Vícefaktorové ověření (MFA). I když útočník získá heslo, bez druhého faktoru se nikam nedostane. Jde o jedno z nejúčinnějších opatření vůbec.
- Antispamové a antiphishingové filtry. Většinu škodlivých zpráv zachytí, než se vůbec dostanou do schránky.
- DMARC, SPF a DKIM. Tyto technologie ztěžují útočníkům podvržení vaší domény, takže se za vaši firmu hůř vydávají.
- Pravidelné školení. Zaměstnanci jsou poslední linií obrany. Pravidelný trénink a testovací phishingové kampaně výrazně snižují riziko.
Co si odnést
- Phishing cílí na psychiku – pracuje s naléhavostí, autoritou a strachem.
- Existuje mnoho podob: e-mail, spear phishing, smishing, vishing i podvod s fakturou.
- Podvod nejčastěji prozradí odesílatel, cíl odkazu, přílohy, gramatika a žádost o údaje.
- Při pochybnostech ověřujte jiným kanálem a nikdy nepoužívejte kontakty ze zprávy.
- Firmu chrání kombinace MFA, filtrů, DMARC a pravidelného školení.
Nenechte phishing dostat se k vám dál
Útočníci spoléhají na to, že se ochrana podcení a školení odloží. Nedávejte jim tu šanci. Pojďme se společně podívat, jak je na tom vaše firma a kde má e-mailová bezpečnost slabá místa.
Začněte nezávazným online auditem, podívejte se na naše služby v oblasti kybernetické bezpečnosti nebo nám rovnou napište přes kontaktní formulář. Rádi vám pomůžeme nastavit obranu, díky které vaši lidé phishing poznají dřív, než stihne napáchat škodu.