Phishing: definice, průběh útoku a jak se bránit

Phishing: zjistěte, jak funguje útok, jak rozpoznat podvodné e-maily a weby a praktické tipy, jak ochránit účty a zabránit krádeži identity.

Autor: Leandro Alegsa

Phishing je způsob, jakým zločinci získávají citlivé informace (například uživatelská jména nebo hesla). Jedná se o metodu sociálního inženýrství. Velmi často se phishing provádí elektronickou poštou. Tato pošta se tváří, že pochází z banky nebo od jiného poskytovatele služeb. Obvykle se v něm píše, že kvůli nějaké změně v systému musí uživatelé znovu zadat svá uživatelská jména/hesla a potvrdit je. E-maily obvykle obsahují odkaz na stránku, která vypadá téměř jako stránka skutečné banky.

Phishing umožňuje zločincům získat přístup k bankovním účtům nebo jiným účtům, jako jsou účty pro nakupování, aukce nebo hry. Může být také použit ke krádeži identity.

V lednu 2005 vzrostl počet phishingových zpráv o 42 %: v prosinci 2004 bylo odesláno 8 829 phishingových e-mailů, ale do konce ledna 2005 to bylo již 12 845.

Počet webových stránek s phishingem vzrostl ve stejném období z 1 740 na 2 560.

Jak phishing obvykle probíhá

  • Útočník pošle hromadný nebo cílený e‑mail/SMS/zasílá hlasovou zprávu, která předstírá důvěryhodný zdroj (banka, poskytovatel e‑mailu, sociální síť atd.).
  • V zprávě je často naléhavý důvod (blokovaný účet, bezpečnostní kontrola, vrácení peněz), aby uživatel jednal impulzivně.
  • Odkaz ve zprávě vede na falešnou webovou stránku, která vypadá jako originál. Tam uživatel zadá své přihlašovací údaje.
  • Útočník uloží zadané údaje a použije je k přístupu do účtu, vybrání peněz, nákupům nebo dalším útokům (např. šíření malwaru).

Druhy phishingu

  • Spear phishing – cílený útok na konkrétní osobu nebo organizaci s personalizovanou zprávou.
  • Whaling – typ spear phishingu zaměřený na vrcholové manažery nebo jiné významné osoby.
  • Smishing – phishing pomocí SMS zpráv.
  • Vishing – phishing přes hlasové hovory (telefonické podvody).
  • Pharming – přesměrování uživatele na falešnou webovou stránku i když zadá správnou adresu (např. kompromitací DNS nebo hostitelského souboru).
  • Malware‑phishing – e‑maily s přílohami, které obsahují škodlivý software (keyloggery, trojské koně apod.).

Jak phishing rozpoznat

  • Zkontrolujte odesílatele: adresa e‑mailu může vypadat důvěryhodně, ale drobná odchylka v doméně je podezřelá.
  • Buďte opatrní u urgentních požadavků na okamžité jednaní (blokace účtu, okamžitá platba apod.).
  • Nezadávejte přihlašovací údaje po kliknutí na odkaz v e‑mailu — raději se přihlaste přes oficiální web nebo aplikaci.
  • Kontrolujte URL: falešná stránka může mít podobné písmo nebo subdoménu. Přítomnost zámku (HTTPS) není sama o sobě zárukou bezpečnosti.
  • Gramatika a stylistika: časté chyby, špatné formulace nebo generické oslovení „Vážený zákazníku“ mohou signalizovat útok.
  • Neotvírejte neznámé přílohy a neodpovídejte na podezřelé zprávy.

Jak se bránit (pro uživatele)

  • Používejte jedinečná a silná hesla pro každý účet a správce hesel (password manager) pro jejich bezpečné ukládání.
  • Zapněte dvoufaktorové ověření (2FA). Ještě lepší jsou phishing‑rezistentní metody (bezpečnostní klíče, FIDO2) místo SMS 2FA.
  • Nikdy neklikejte na odkazy z nevyžádaných nebo podezřelých zpráv. Pokud máte pochybnosti, otevřete oficiální web ručně nebo použijte aplikaci.
  • Aktualizujte operační systém, prohlížeč a další software; používejte antivirový program a pravidelné skenování.
  • Používejte bezpečná připojení (vyhýbejte se veřejným Wi‑Fi pro citlivé operace bez VPN).
  • Nastavte si upozornění banky na pohyby na účtu a pravidelně kontrolujte výpisy.

Jak se bránit (pro organizace)

  • Vzdělávejte zaměstnance: pravidelné školení a simulované phishingové kampaně zvyšují povědomí.
  • Zaveďte technická opatření: SPF, DKIM a DMARC pro e‑mailovou autentizaci, filtrování spamu, blokování škodlivých příloh a URL filtraci.
  • Implementujte zásady minimálních oprávnění a segmentaci sítí; používejte vícestupňové ověřování a bezpečnostní klíče.
  • Mějte připravený incident response plán a zálohy kritických dat.

Co dělat, když se stanete obětí

  • Okamžitě změňte hesla postižených účtů a hesla, která jsou stejná i na jiných službách.
  • Zapněte 2FA tam, kde to je možné.
  • Kontaktujte banku nebo poskytovatele služby a oznamte podezřelou aktivitu; zablokujte karty, pokud jsou ohroženy.
  • Proveďte kontrolu zařízení na malware a spusťte úplný antivirový sken.
  • Sledujte účetní výpisy a kreditní zprávy; v případě potřeby zvažte zmrazení úvěru (credit freeze).
  • Nahlaste incident: policii, národnímu CERT nebo poskytovateli (většina bank a služeb má speciální e‑mail pro hlášení phishingu).

Kam phishing hlásit

  • Bankám a poskytovatelům služby (jejich oddělení pro podvody).
  • Národnímu CSIRT/CERT nebo obdobnému centru kyberbezpečnosti.
  • Mezinárodním iniciativám a organizacím zabývajícím se bojem proti phishingu (např. APWG) a poskytovatelům e‑mailových služeb nebo prohlížečům.

Phishing je jedním z nejčastějších a zároveň nejúčinnějších typů kybernetických útoků, protože cílí na lidskou důvěřivost. Kombinací technických opatření, opatrného chování a pravidelného vzdělávání lze riziko výrazně snížit.

Příklad phishingového e-mailu, který se tváří jako oficiální e-mail od (fiktivní) banky. Odesílatel se snaží příjemce oklamat a přimět ho k prozrazení bezpečných informací tím, že je "potvrdí" na webových stránkách phishera.Zoom
Příklad phishingového e-mailu, který se tváří jako oficiální e-mail od (fiktivní) banky. Odesílatel se snaží příjemce oklamat a přimět ho k prozrazení bezpečných informací tím, že je "potvrdí" na webových stránkách phishera.

Vyhýbání se filtru

Někteří lidé, kteří to dělají, začali používat obrázky textu, aby je antiphishingové filtry hůře viděly. To někdy funguje, protože filtry hledají slova často používaná ve phishingových e-mailech/zprávách. Lidé však vynalezli lepší filtry, které přesto dokážou text přečíst pomocí OCR (optické rozpoznávání znaků).

Některé antiphishingové filtry dokážou přečíst i kurzivou psaný, ručně psaný, obrácený, deformovaný (například zvlněný nebo roztažený) text a také písmo na barevném pozadí.

Otázky a odpovědi

Otázka: Co je to phishing?


Odpověď: Phishing je způsob, jakým zločinci získávají citlivé informace, například uživatelská jména a hesla, pomocí taktiky sociálního inženýrství.

Otázka: Jak se phishing obvykle provádí?


A: Phishing se obvykle provádí prostřednictvím elektronické pošty. E-mail se tváří jako od legitimního poskytovatele služeb a žádá uživatele, aby znovu zadali svá uživatelská jména a hesla a potvrdili je.

Otázka: Co se stane, když zločinci úspěšně vylákají citlivé informace?


Odpověď: Pokud zločinci úspěšně vylákají citlivé informace, mohou získat přístup k bankovním účtům nebo jiným účtům, jako jsou nákupní, aukční nebo herní účty, což může v konečném důsledku vést ke krádeži identity.

Otázka: Změnil se phishing za dobu existence internetu?


Odpověď: Phishing se za dobu existence internetu změnil překvapivě málo, i když některé taktiky phishingu jsou mnohem sofistikovanější.

Otázka: Jak zločinci používají e-mail k phishingu?


Odpověď: Zločinci používají podvržené e-mailové adresy k vytváření e-mailů, které mají vypadat jako e-maily odeslané skutečnou společností.

Otázka: Lze phishing provádět i prostřednictvím jiných forem komunikace?


Odpověď: Ano, phishing lze provádět také prostřednictvím textových zpráv, aplikací pro rychlé zasílání zpráv, jako je Facebook Messenger nebo WhatsApp, a dokonce i prostřednictvím klasické pošty.

Otázka: Jak můžete rozpoznat potenciální phishingový odkaz prostřednictvím textu?


Odpověď: Pokud obdržíte textovou zprávu z neznámého čísla, která vás z jakéhokoli důvodu vyzývá k návštěvě určité webové stránky, může se jednat o phishingový odkaz.


Vyhledávání
AlegsaOnline.com - 2020 / 2025 - License CC3