Jak phishing vypadá dnes: od hrubých chyb k přesné imitaci
Phishingové kampaně se za poslední roky výrazně profesionalizovaly. Podle bezpečnostních reportů od firem jako Microsoft, Proofpoint nebo Google už nejde jen o hromadně rozeslané zprávy s pravopisnými chybami. Útočníci využívají typosquatting, napodobené domény, kompromitované účty skutečných firem a stále častěji i generativní AI, která umí vytvořit velmi přesvědčivý text bez typických jazykových chyb.
Průměrný uživatel dnes často nepadne na „špatnou češtinu“, ale na dobře načasovanou manipulaci: výzvu k platbě, upozornění na blokaci účtu, fakturu, změnu hesla nebo urgentní žádost od šéfa. Právě proto je důležité sledovat nejen obsah, ale i technické detaily zprávy.
- falešná doména podobná originálu: např. micros0ft.com, airbnk.com
- odesílatel, který se tváří jako banka, úřad nebo kolega
- odkaz vedoucí na přihlašovací stránku s jinou adresou, než je oficiální web
- příloha s makrem, archivem nebo podvrženým PDF
Nejčastější psychologické triky, na které útočníci spoléhají
Phishing stojí hlavně na psychologii. Útočník se nesnaží jen „hacknout“ techniku, ale především rozhodnutí člověka. Nejčastěji pracuje se čtyřmi emocemi: strachem, naléhavostí, zvědavostí a autoritou.
Strach je typický pro zprávy o blokaci účtu, neuhrazené pokutě nebo údajném porušení pravidel. Naléhavost se objevuje v textech typu „platba musí proběhnout do 30 minut“ nebo „ověřte účet ještě dnes“. Zvědavost využívá příloh jako „výplata_2026.pdf“ nebo „foto_zakaznika.zip“. A autorita funguje, když se útočník vydává za ředitele, účetní, banku, policii nebo IT podporu.
Typický příklad: zaměstnanec dostane e-mail „od šéfa“, ve kterém je požadavek na okamžitý nákup dárkových poukazů nebo změnu bankovního účtu pro fakturaci. Pokud zpráva tlačí na rychlé jednání a zakazuje ověřování jiným kanálem, je to velmi silný varovný signál.
- Okamžitý tlak – „jen dnes“, „do 15 minut“, „poslední upozornění“
- Izolace – „neodpovídejte na tento e-mail“, „kontaktujte jen přes odkaz“
- Emoční manipulace – hrozba sankce, ztráty peněz nebo dostupnosti služby
- Falešná důvěryhodnost – logo banky, podpis, jazyk i grafika napodobují originál
Jak poznat podvodný e-mail podle detailů, které si většina lidí nevšimne
Nejspolehlivější ochrana je kontrola technických znaků. Nestačí jen přečíst obsah. Zaměřte se na odesílatele, doménu, odkazy, přílohy a způsob komunikace. V praxi pomáhá jednoduché pravidlo: neklikat, dokud si neověříte, kam zpráva skutečně vede.
U adresy odesílatele sledujte nejen jméno, ale i skutečnou doménu. Útočníci často použijí zobrazované jméno „Česká spořitelna“ nebo „Fakturace“, ale za ním je úplně jiná adresa. V Gmailu nebo Outlooku si rozklikněte detaily zprávy a zkontrolujte hlavičky, zejména pole From, Reply-To a případně Return-Path.
Odhalení odkazu je stejně důležité. Před kliknutím najet kurzorem na odkaz a porovnat cílovou adresu s oficiální doménou. Pokud e-mail tvrdí, že je z banky, ale odkaz vede na doménu s exotickou koncovkou nebo překlepem, je to jasné podezření. U mobilu je dobré podržet prst na odkazu a zkontrolovat náhled URL.
Přílohy jsou další slabé místo. Nebezpečné bývají zejména soubory .html, .iso, .zip, .rar, .js, .lnk a dokumenty s makry. U PDF může být problém i v tom, že obsahuje tlačítko vedoucí na falešné přihlášení. Pokud nečekáte fakturu, smlouvu nebo dokument, přílohu neotevírejte bez ověření.
- doména odesílatele neodpovídá značce nebo firmě
- odpovědní adresa je jiná než odesílatel
- odkaz vede mimo oficiální web
- soubor v příloze má neobvyklou příponu
- text obsahuje nečekaný požadavek na přihlášení nebo platbu
Moderní phishing: AI texty, falešné faktury a útoky na firmy
Generativní AI umožnila podvodníkům rychle vytvářet bezchybné texty v češtině, angličtině i dalších jazycích. To znamená, že dnes už nelze spoléhat na jazykové chyby jako na hlavní filtr. Útočníci navíc personalizují zprávy podle veřejně dostupných dat z LinkedInu, webů firem nebo sociálních sítí.
Velmi častý je business e-mail compromise (BEC), tedy podvod zaměřený na firemní komunikaci. Útočník se vydává za vedení, dodavatele nebo účetní oddělení a snaží se změnit bankovní účet pro platbu, získat přístup do cloudových služeb nebo vylákat přihlašovací údaje. Podle statistik FBI a dalších bezpečnostních organizací patří BEC mezi nejdražší formy kybernetických podvodů, protože často nevyužívá malware, ale lidskou důvěru.
Typickým scénářem je falešná faktura. E-mail vypadá důvěryhodně, obsahuje logo, podpis, číslo objednávky a urgentní výzvu k úhradě. Útočník často přiloží PDF nebo odkaz na „portál dodavatele“, kde je přihlašovací formulář. Jakmile zaměstnanec zadá údaje, přístup končí v rukou podvodníka.
U firem je důležité mít jasný proces: každá změna platebních údajů se ověřuje telefonicky na čísle z interního adresáře, nikoli z e-mailu. To je jednoduché pravidlo, které dokáže zabránit velmi drahým chybám.
Praktický postup, jak si podezřelý e-mail ověřit během jedné minuty
Nejlepší obrana proti phishingu je rutina. Když si vytvoříte krátký ověřovací postup, snížíte riziko impulzivního kliknutí. V běžné praxi doporučuji tento jednoduchý checklist:
- Zastavit se – neklikat hned po otevření zprávy.
- Zkontrolovat odesílatele – doména, reply-to adresa, nesoulad mezi jménem a skutečným e-mailem.
- Prověřit obsah – je požadavek očekávaný? Počítal jste s touto zprávou?
- Ověřit odkaz – najet myší, případně zkopírovat URL do bezpečného nástroje.
- Ověřit jiným kanálem – zavolat, napsat přes interní chat nebo přihlásit se ručně přes oficiální web.
Pro technickou kontrolu lze využít nástroje jako VirusTotal pro kontrolu URL a souborů, Google Safe Browsing pro reputaci domény nebo firemní bezpečnostní nástroje typu Microsoft Defender for Office 365, Proofpoint nebo Mimecast. Ve firmách je vhodné zapnout také ochranu proti podvrženým doménám a DMARC, SPF a DKIM autentizaci pro odchozí i příchozí poštu.
Pokud už jste na odkaz klikli, ale nic nezadali, stále má smysl jednat rychle: zavřít stránku, vymazat dočasné soubory, změnit heslo, pokud jste se přihlásili, a informovat IT nebo správce účtu. Pokud jste zadali bankovní údaje nebo heslo, je nutné okamžitě kontaktovat banku, zablokovat přístup a změnit všechna související hesla.
Co nastavit dlouhodobě, aby phishing neměl šanci
Prevence není jen o opatrnosti uživatelů. Důležitá je také technická a procesní ochrana. Na úrovni jednotlivce pomáhá správce hesel, dvoufaktorové ověření a oddělené e-mailové adresy pro různé typy služeb. Na úrovni firmy je zásadní bezpečnostní školení, simulované phishingové kampaně a jasná pravidla pro práci s platbami, přílohami a přístupy.
Z pohledu webu a e-mailové infrastruktury se vyplatí sledovat tyto body:
- DMARC, SPF a DKIM pro ochranu před spoofingem
- 2FA/MFA pro všechny důležité účty, ideálně přes autentizační aplikaci nebo hardwarový klíč
- správce hesel pro kontrolu, zda se nepřihlašujete na falešné domény
- bezpečnostní brány a filtrování příloh na úrovni poštovního serveru
- interní procesy pro ověřování faktur, změn účtů a urgentních požadavků
Phishing je úspěšný hlavně tehdy, když oběť jedná rychle, bez ověření a pod tlakem. Jakmile si osvojíte zvyk kontrolovat doménu, odkaz, přílohu a kontext zprávy, většinu útoků odhalíte ještě před kliknutím. A právě to je v každodenní praxi nejúčinnější obrana.
