Phishing je způsob, jakým zločinci získávají citlivé informace (například uživatelská jména nebo hesla). Jedná se o metodu sociálního inženýrství. Velmi často se phishing provádí elektronickou poštou. Tato pošta se tváří, že pochází z banky nebo od jiného poskytovatele služeb. Obvykle se v něm píše, že kvůli nějaké změně v systému musí uživatelé znovu zadat svá uživatelská jména/hesla a potvrdit je. E-maily obvykle obsahují odkaz na stránku, která vypadá téměř jako stránka skutečné banky.

Phishing umožňuje zločincům získat přístup k bankovním účtům nebo jiným účtům, jako jsou účty pro nakupování, aukce nebo hry. Může být také použit ke krádeži identity.

V lednu 2005 vzrostl počet phishingových zpráv o 42 %: v prosinci 2004 bylo odesláno 8 829 phishingových e-mailů, ale do konce ledna 2005 to bylo již 12 845.

Počet webových stránek s phishingem vzrostl ve stejném období z 1 740 na 2 560.

Jak phishing obvykle probíhá

  • Útočník pošle hromadný nebo cílený e‑mail/SMS/zasílá hlasovou zprávu, která předstírá důvěryhodný zdroj (banka, poskytovatel e‑mailu, sociální síť atd.).
  • V zprávě je často naléhavý důvod (blokovaný účet, bezpečnostní kontrola, vrácení peněz), aby uživatel jednal impulzivně.
  • Odkaz ve zprávě vede na falešnou webovou stránku, která vypadá jako originál. Tam uživatel zadá své přihlašovací údaje.
  • Útočník uloží zadané údaje a použije je k přístupu do účtu, vybrání peněz, nákupům nebo dalším útokům (např. šíření malwaru).

Druhy phishingu

  • Spear phishing – cílený útok na konkrétní osobu nebo organizaci s personalizovanou zprávou.
  • Whaling – typ spear phishingu zaměřený na vrcholové manažery nebo jiné významné osoby.
  • Smishing – phishing pomocí SMS zpráv.
  • Vishing – phishing přes hlasové hovory (telefonické podvody).
  • Pharming – přesměrování uživatele na falešnou webovou stránku i když zadá správnou adresu (např. kompromitací DNS nebo hostitelského souboru).
  • Malware‑phishing – e‑maily s přílohami, které obsahují škodlivý software (keyloggery, trojské koně apod.).

Jak phishing rozpoznat

  • Zkontrolujte odesílatele: adresa e‑mailu může vypadat důvěryhodně, ale drobná odchylka v doméně je podezřelá.
  • Buďte opatrní u urgentních požadavků na okamžité jednaní (blokace účtu, okamžitá platba apod.).
  • Nezadávejte přihlašovací údaje po kliknutí na odkaz v e‑mailu — raději se přihlaste přes oficiální web nebo aplikaci.
  • Kontrolujte URL: falešná stránka může mít podobné písmo nebo subdoménu. Přítomnost zámku (HTTPS) není sama o sobě zárukou bezpečnosti.
  • Gramatika a stylistika: časté chyby, špatné formulace nebo generické oslovení „Vážený zákazníku“ mohou signalizovat útok.
  • Neotvírejte neznámé přílohy a neodpovídejte na podezřelé zprávy.

Jak se bránit (pro uživatele)

  • Používejte jedinečná a silná hesla pro každý účet a správce hesel (password manager) pro jejich bezpečné ukládání.
  • Zapněte dvoufaktorové ověření (2FA). Ještě lepší jsou phishing‑rezistentní metody (bezpečnostní klíče, FIDO2) místo SMS 2FA.
  • Nikdy neklikejte na odkazy z nevyžádaných nebo podezřelých zpráv. Pokud máte pochybnosti, otevřete oficiální web ručně nebo použijte aplikaci.
  • Aktualizujte operační systém, prohlížeč a další software; používejte antivirový program a pravidelné skenování.
  • Používejte bezpečná připojení (vyhýbejte se veřejným Wi‑Fi pro citlivé operace bez VPN).
  • Nastavte si upozornění banky na pohyby na účtu a pravidelně kontrolujte výpisy.

Jak se bránit (pro organizace)

  • Vzdělávejte zaměstnance: pravidelné školení a simulované phishingové kampaně zvyšují povědomí.
  • Zaveďte technická opatření: SPF, DKIM a DMARC pro e‑mailovou autentizaci, filtrování spamu, blokování škodlivých příloh a URL filtraci.
  • Implementujte zásady minimálních oprávnění a segmentaci sítí; používejte vícestupňové ověřování a bezpečnostní klíče.
  • Mějte připravený incident response plán a zálohy kritických dat.

Co dělat, když se stanete obětí

  • Okamžitě změňte hesla postižených účtů a hesla, která jsou stejná i na jiných službách.
  • Zapněte 2FA tam, kde to je možné.
  • Kontaktujte banku nebo poskytovatele služby a oznamte podezřelou aktivitu; zablokujte karty, pokud jsou ohroženy.
  • Proveďte kontrolu zařízení na malware a spusťte úplný antivirový sken.
  • Sledujte účetní výpisy a kreditní zprávy; v případě potřeby zvažte zmrazení úvěru (credit freeze).
  • Nahlaste incident: policii, národnímu CERT nebo poskytovateli (většina bank a služeb má speciální e‑mail pro hlášení phishingu).

Kam phishing hlásit

  • Bankám a poskytovatelům služby (jejich oddělení pro podvody).
  • Národnímu CSIRT/CERT nebo obdobnému centru kyberbezpečnosti.
  • Mezinárodním iniciativám a organizacím zabývajícím se bojem proti phishingu (např. APWG) a poskytovatelům e‑mailových služeb nebo prohlížečům.

Phishing je jedním z nejčastějších a zároveň nejúčinnějších typů kybernetických útoků, protože cílí na lidskou důvěřivost. Kombinací technických opatření, opatrného chování a pravidelného vzdělávání lze riziko výrazně snížit.