Phishing: jak ho poznat a nenechat se nachytat

← Zpět na blog

Přijde vám e-mail od vaší banky. Logo sedí, text je česky bez chyb, odkaz vypadá legitimně. Kliknete. O tři minuty později zadáváte přihlašovací údaje na webu, který není vaší bankou. Přesně takhle funguje phishing v roce 2026 — a právě proto je stále nejúspěšnějším kybernetickým útokem na světě.

91 %

kyberútoků na firmy začíná phishingovým e-mailem

82 s

průměrná doba, než někdo ve firmě klikne na podvodný odkaz

3,6 B $

globální roční škody způsobené phishingem (FBI IC3, 2024)

Co je phishing a proč pořád funguje?

Phishing je technika sociálního inženýrství, při které se útočník vydává za důvěryhodný subjekt — banku, úřad, kolegu nebo oblíbenou službu — a láká oběť k akci, která mu poskytne přístup k datům, penězům nebo systémům.

Proč to funguje? Protože útočí na člověka, ne na technologii. Firewall ani antivirus nezabrání tomu, abyste vy sami dobrovolně zadali heslo na falešné stránce. A právě v tom je záludnost phishingu — obchází všechnu technickou ochranu tím nejjednodušším způsobem: zeptá se vás.

„Nejdražší bezpečnostní prvek v každé firmě je zaměstnanec, který klikne bez přemýšlení."

Druhy phishingu, se kterými se setkáte

Phishing není jen jeden útok — je to celá rodina technik. Každá cílí na jiný kanál a jinou psychologickou zranitelnost.

Klasický phishing (e-mail)

Nejrozšířenější forma. Útočník posílá hromadné e-maily, které napodobují komunikaci bank, platebních bran (PayPal, GoPay), státních institucí nebo velkých technologických firem (Microsoft, Google). Spoléhá na objem — i když na podvod přijde jen jedno procento příjemců, při milionech odeslaných zpráv je to pořád výhra.

Spear phishing — útok na míru

Na rozdíl od hromadného phishingu se spear phishing zaměřuje na konkrétní osobu nebo organizaci. Útočník si nejdřív udělá domácí úkol: prostuduje LinkedIn, web firmy, veřejné dokumenty. Ví, jak se jmenujete, kdo je váš šéf, na jakém projektu pracujete. Výsledkem je e-mail, který vypadá jako od kolegy nebo obchodního partnera. Míra úspěšnosti je mnohonásobně vyšší než u hromadného phishingu.

CEO fraud a BEC (Business Email Compromise)

Útočník se vydává za ředitele, jednatele nebo CFO a žádá účetní nebo asistentku o urgentní bankovní převod. Zpráva bývá krátká, naléhavá a nezřídka obsahuje větu „nezkoušejte mi volat, jsem na jednání". Průměrná škoda jednoho úspěšného BEC útoku na malou firmu přesahuje 2 miliony korun.

Smishing a vishing

Smishing je phishing přes SMS — „vaše zásilka čeká, doplaťte 39 Kč" nebo „vaše karta byla zablokována, klikněte zde". Vishing funguje přes telefon: „voláme z technické podpory Microsoft", „jsme z vaší banky, detekovali jsme podezřelou transakci". Lidé jsou na SMS a telefonáty méně ostražití než na e-maily, proto tento kanál roste nejrychleji.

AI phishing — nová generace hrozby

Generativní umělá inteligence změnila phishing zásadním způsobem. Dřív prozrazovaly podvodné e-maily gramatické chyby a neosobní tón. Dnes AI napíše přesvědčivý text bez jediné chyby v češtině, přizpůsobí styl komunikaci konkrétní firmy a zkopíruje tón skutečného odesílatele. Stará rada „hledejte překlepy" dnes nestačí.

Trend 2025–2026: Roste počet útoků kombinujících e-mail a telefon. Útočník nejdřív pošle e-mail a pak zavolá: „Právě jsem vám poslal fakturu k proplacení, jenom jsem chtěl ověřit, že vám přišla." Tato technika dramaticky zvyšuje míru důvěryhodnosti.

Phishingový e-mail zblízka: anatomie útoku

Podívejme se na konkrétní příklad. Útok napodobující komunikaci od banky je jeden z nejběžnějších. Na první pohled může vypadat legitimně — jenže obsahuje celou řadu varovných signálů:

Doručená pošta

Vážený kliente,

naše bezpečnostní systémy detekovaly podezřelé přihlášení k vašemu účtu z neznámého zařízení. Pro ochranu vašich financí jsme váš přístup dočasně omezili.

Pro obnovení přístupu ověřte svoji totožnost nejpozději do 24 hodin, jinak dojde k trvalému zablokování účtu. ③

Klikněte na odkaz níže a přihlaste se: ④

https://csob-bezpecnostni-centrum.cz/overeni-uzivatele ④
Ověřit účet nyní →

① Falešná doména: csob-bezpecnostni-centrum.cz — skutečná ČSOB posílá z @csob.cz

② Správný čas odeslání — útočníci záměrně posílají v pracovních hodinách, kdy jste zahlceni prací

③ Umělá urgence — „24 hodin", „trvalé zablokování" — cíl: potlačit kritické myšlení a vyvolat paniku

④ Falešný odkaz — přejede myší nad odkazem (bez kliknutí) — zobrazí se jiná URL, než je doména banky

Jak phishing spolehlivě rozpoznat

Bez ohledu na to, jak sofistikovaný phishing je, vždy obsahuje alespoň jeden ze vzorů níže. Naučte se je a váš mozek začne tyto signály zachytávat automaticky — jako reflex.

🔴 Červené vlajky — zastav se a ověř

✕Podivná doména odesílatele — @csob.cz je v pořádku, @csob-centrum.cz nebo @csob.support.eu je podvod
✕Časová urgence — „do 24 hodin", „okamžitě", „dnes do 15:00" — jde o záměrný tlak, ne skutečnou nutnost
✕Žádost o heslo nebo kód — žádná legální instituce nikdy nežádá heslo, PIN nebo MFA kód e-mailem ani telefonicky
✕Odkaz, který po najetí ukazuje jinam — text odkazu říká „csob.cz", ale skutečná cílová URL je úplně jiná
✕Nečekaná příloha — soubory .zip, .exe, .docm, .pdf s makry, které jste nečekali a neobjednali
✕Obecné oslovení — „Vážený zákazníku" místo vašeho jména (banka zná vaše jméno)
✕„Nezkoušejte volat" — výzva k tichosti je téměř vždy příznak BEC podvodu
✕Žádost o platbu na nový účet — jakákoliv změna čísla účtu dodavatele vyžaduje telefonické ověření

✅ Jak ověřit, zda je e-mail legitimní

Přejeďte myší nad odkaz — neklikejte, jen sledujte skutečnou cílovou URL dole v prohlížeči nebo v tooltipu
Otevřete prohlížeč zvlášť — zadejte adresu ručně do adresního řádku, nikdy ne přes odkaz z e-mailu
Zavolejte na známé číslo — ověřte telefonicky na čísle z kartičky nebo z oficilálního webu, ne z e-mailu
Zkontrolujte odesílatele v detailech — v e-mailovém klientu rozbalte záhlaví zprávy a podívejte se na skutečnou doménu
Zeptejte se IT nebo nadřízeného — raději jednou nahlásit zbytečně než jednou nekliknout a ztrpčit si tím měsíce

Klikl/a jsem. Co teď?

Stane se to i zkušeným lidem. Důležité je reagovat rychle a správně. Každá minuta se počítá — útočník začíná jednat okamžitě po vašem kliknutí.

Odpojte zařízení od internetu — ihned vypněte Wi-Fi nebo vytáhněte kabel. Zastavíte tím šíření případného malwaru v síti.
Neklikejte na nic dalšího — nezavírejte, nerestartujte, neinstalujte. Zachovejte stav pro analýzu.
Okamžitě nahlaste IT oddělení — telefonicky, ne e-mailem (e-mail může být kompromitován). Pokud nemáte IT, kontaktujte nadřízeného.
Změňte hesla z jiného zařízení — prioritně e-mail, VPN, bankovnictví a všechny systémy, ke kterým máte přístup.
Zdokumentujte incident — screenshot e-mailu, přesný čas, co jste klikli a co jste případně zadali. To pomůže při vyšetřování.

Nejdůležitější věc: Nahlaste to. Okamžitě. Skrývání incidentu ze studu způsobuje mnohonásobně větší škody než samotné kliknutí. Za nahlášení phishingu vám nikdo nevynadá — za to, že jste to tajili a útočník měl tři dny klid v síti, vynadají.

Jak se chránit dlouhodobě

Technická ochrana je důležitá, ale bez chytrých lidí nestačí. Nejúčinnější kombinace je trojice: MFA + správce hesel + trénink.

Zapněte dvoufaktorové ověření (MFA) všude

I kdyby útočník získal vaše heslo phishingem, bez druhého faktoru (kódu z aplikace nebo SMS) se do účtu nedostane. MFA je dnes nejsnazší způsob, jak dramaticky snížit dopad úspěšného phishingu. Zapněte ho na firemním e-mailu, VPN, Teams, OneDrive — a ideálně i na soukromých účtech.

Používejte správce hesel

Správce hesel generuje unikátní složitá hesla pro každou službu a ukládá je šifrovaně. To řeší dva problémy najednou: odstraňuje slabá hesla typu „Firma2024!" a znemožňuje útočníkovi použít jedno ukradené heslo na více místech.

Pravidlo pěti vteřin

Před každým kliknutím na odkaz nebo otevřením přílohy si dejte pět vteřin: „Čekal jsem tuto zprávu? Od koho přišla? Dává smysl, že mi to posílají takto?" Phishing spoléhá na spěch a automatismus. Pět vteřin vědomého zastavení tento mechanismus rozbije.

Kybernetická bezpečnost není o technologiích. Je o návycích. A návyky se dají natrénovat — stejně jako kondice v posilovně.

Závěr

Phishing existuje od devadesátých let a stále je nejúspěšnějším nástrojem kybernetických zločinců — ne proto, že by byl technicky sofistikovaný, ale proto, že útočí na přirozenou lidskou důvěřivost a spěch. Dobrá zpráva je, že rozpoznání phishingu je dovednost, ne talent. Dá se natrénovat, stejně jako jakákoliv jiná dovednost.

Naučte se vzory, zpomalte o pět vteřin, ověřujte telefonicky a nahlašujte všechno podezřelé. Jedna tato dovednost vás a vaši firmu ochrání lépe než jakýkoliv firewall.

Chcete, aby vaši zaměstnanci phishing poznali spolehlivě?

Připravím pro vaši firmu praktické školení kyberbezpečnosti se skutečnými ukázkami útoků a nácvikem rozpoznávání. Bez IT žargonu, s výsledky.

Bezplatná konzultace

Phishing: jak ho poznata nenechat se nachytat