Spear phishing a CEO fraud: Když se cílený útok zaměří přímo na vaši firmu

Útočníci o vás vědí všechno. Znají vaše jméno, pracovní pozici i jaké projekty řešíte. Umí napodobit styl vašeho šéfa, včetně chyb, které dělá. Najednou vám přijde e-mail od šéfa, že naléhavě potřebuje převést peníze na účet nového dodavatele, že je na jednání a zavolá později, a abyste to vyřídili do konce dne. Adresa vypadá správně. Podpis je identický s běžnými e-maily. Pokud peníze převedete bez ověření, stáváte se obětí cíleného kybernetického útoku. Co je spear phishing a jak se chránit?

Shrnutí pro ty, kteří nemají čas číst celý článek

• Spear phishing je cílený útok na konkrétní osoby, kdy pachatelé sbírají informace z LinkedInu, Facebooku, firemních webů a veřejných rejstříků, aby vytvořili podvod šitý přímo vám na míru.
• Finanční dopady jsou obrovské a v Česku průměrná škoda na firmu dosahuje 300 tis. Kč, nejvyšší případ činil 5,4 milionu, celosvětově jde o miliardy dolarů ročně.
• Útočníci používají AI a deepfake a dokážou naklonovat hlas vašeho šéfa z pár minut nahrávky a vytvořit falešné video konference, které jsou téměř k nerozeznání.
• Ochrana spočívá v procesech jako dvoufaktorová autentizace, povinné telefonické ověření plateb nad 50 tis. Kč a pravidelná školení zaměstnanců jsou základ.
• Čas rozhoduje a nahlásíte-li podvod bance do několika hodin, máte až 71% šanci peníze zachránit, po dnech klesá šance téměř na nulu.

Co je spear phishing a proč je tak nebezpečný

Spear phishing je promyšlený a velmi osobní typ podvodu, který útočí tam, kde je to nejzranitelnější, a to na vaši důvěru. Na rozdíl od běžného phishingu nejde o hromadné e-maily, ale o zprávu připravenou přesně pro vás. Útočník si zjistí, kdo jste, s kým pracujete, jaké máte projekty, a pak napodobí někoho, komu běžně věříte jako šéfa nebo kolegu. Zpráva působí úplně normálně, klidně obsahuje detaily z vašeho pracovního života a tváří se naléhavě. 

Právě proto tolik lidí naletí, nevypadá to jako podvod, ale jako běžná prosba od člověka, kterému nechcete komplikovat život. Spear phishing je nebezpečný hlavně tím, že zasáhne přirozenou ochotu pomoci. A právě proto je tak důležité si ověřit, zda je žádost skutečně pravá.

Kdo jsou nejčastější cíle spear phishingu?

Běžný phishing je jako lovit ryby sítí. Zločinci rozešlou 20 000 identických e-mailů a čekají, že někdo naletí. Spear phishing funguje jinak. Jde o přesný zásah oštěpem namířený přímo na vybraného člověka. Kdo bývá nejčastějším cílem?

• Ekonomové a účetní – mají oprávnění provádět platby.
• Personalisté – disponují citlivými údaji zaměstnanců včetně rodných čísel.
• IT administrátoři – kontrolují přístup do systémů.
• Asistentky vedení – znají interní informace a mají často přístup k e-mailům šéfů.
• Střední management – může autorizovat platby a zároveň se na něj tlačí snáze.

Proč právě oni? Mají přístup k penězům nebo citlivým datům. A zároveň se na ně se tlačí snadněji než na nejvyšší vedení. Nový zaměstnanec má mnohem menší odvahu zpochybnit urgentní požadavek od generálního ředitele.

TIP: Vyškolte svůj tým proti phishingu a zabezpečte svou firmu.

Jaký je rozdíl mezi Phishingem, Spear-phishingem a Whalingem

Možná jste už slyšeli pojmy jako phishing, spear phishing a whaling, které jsou tři různé úrovně téhož problému, a to podvodné komunikace, která má z lidí dostat citlivé informace nebo peníze. 

• Běžný phishing je jako rozesílání tisíců stejných návnad: útočník pošle masový e-mail, doufá, že někdo klikne, a nijak se nezabývá tím, kdo jste. 
• Spear phishing je mnohem osobnější – zpráva je napsaná tak, aby působila důvěrně, protože útočník si předem zjistí, jakou máte pozici, s kým pracujete nebo na čem právě děláte. 
• Whaling je tzv. „lov velkých ryb“ – extrémně cílený útok na management a vedení firem, kde se pachatel vydává za někoho vám velmi blízkého, často kolegu či partnera, a žádá citlivá data nebo vysoké převody. Čím výše člověk ve firmě stojí, tím přesnější, věrohodnější a nebezpečnější útok bývá.

TIP: Případová studie Red Team operace aneb jak jsme prolomili zabezpečení technologické firmy za měsíc

Jak se spear phishing dělá a jak funguje v praxi

Útočník o vás zjistí vše, co je dostupné. Systematicky prohledává váš LinkedIn, kde zjišťuje vaši pozici, kolegy i projekty, na kterých pracujete. Prohlédne si také sociální sítě, zda tam zmíníte dovolenou nebo služební cestu šéfa. Prostuduje web firmy, tiskové zprávy a organizační strukturu. V obchodním rejstříku najde jména jednatelů. Všechny tyto informace jsou legální a veřejné. Jenže dohromady vytvoří přesnou mapu vaší firmy.

A pak přijde úder. E-mail vypadá věrohodně (správná doména, autentický podpis včetně loga, správný tón) a zpráva odkazuje na reálné projekty, zmiňuje kolegy křestním jménem a obsahuje interní zkratky.

Podle studie společnosti Barracuda, která analyzovala 50 miliard e-mailů, představovaly spear phishingové útoky pouhých 0,1 % všech e-mailů, ale způsobily 66 % úspěšných bezpečnostních incidentů.

CEO fraud aneb když vám píše šéf, který není šéf

CEO fraud je speciální forma spear phishingu a je jedna z nejzáludnějších forem podvodů, protože útočí na naši největší pracovní autoritu. Útočníci se vydávají za nejvyšší vedení a žádají podřízené o okamžité finanční převody. Spear phishingové e-maily se tváří velmi důvěryhodně, naléhavě s výzvou k okamžité akci jako je převod peněz nebo sdílení citlivých údajů. Zpráva působí tak věrohodně, že ani na první, ani na druhý pohled nevidíte nic podezřelého. A protože nikdo nechce podezřívat svého nadřízeného nebo mu nevyhovět, díky tomu jsou útočníci často úspěšní.

Emoční manipulace jako jádro útoku

Právě tato emoční manipulace je jádrem útoku. Ve skutečnosti ale platí jednoduché pravidlo: čím větší tlak a tajemství, tím vyšší riziko, že nejde o vašeho šéfa, ale o někoho, kdo se za něj jen velmi dobře vydává.

Klíčem k obraně není dokonalé technické vybavení, ale schopnost na chvíli se zastavit, zpochybnit i to, co vypadá legitimně, a ověřit si žádost nezávislým způsobem. Jeden krátký telefonát na známé číslo často rozhoduje mezi bezpečnou firmou a milionovou škodou.

TIP: Co je penetrační test a proč ho vaše firma potřebuje

Spear phishingové útoky rostou

Čísla z Česka jsou alarmující. Podle České bankovní asociace se počet útoků mezi roky 2019 a 2024 zvýšil více než čtyřikrát. Průměrná ztráta dosahuje 300 tisíc korun, ale nejhorší případy jdou do milionů. Když firma nemá zavedené procesy? Účetní je pod tlakem a dostává příkaz od šéfa, cítí urgenci, bojí se chyby. Pod tímto nátlakem platbu provede. Peníze okamžitě mizí na offshore účty.

Europol nedávno dopadl gang, který ukradl evropským firmám desítky milionů eur. V jednom případě pachatelé vylákali z francouzské firmy 38 milionů eur během několika dní.

Jak je na tom spear phishing v Česku

Podle Policie ČR evidovala v posledních čtyřech letech přes 2 tisíce případů phishingu zaměřených na firmy. Průměrná škoda dosahuje 300 tisíc Kč, nejvyšší případ dosáhl škody 5,4 milionu Kč.

Případ ze Znojma: Útočníci se vydávali za konkrétního policistu a použili jeho jméno z internetu. Volali lidem, že řeší zneužití identity a chtěli přístup do bankovnictví. Ti, kdo si ověřili informace přímo na policii, podvod odhalili.

Podle NÚKIB se sofistikovanost útočníků zvyšuje a je stále těžší rozpoznat falešné e-maily. Škody se globálně pohybují v desítkách až stovkách miliard korun ročně.

TIP: Jak vám Red Teaming pomůže odhalit slabiny?

Whaling a cílení na CEO

Whaling cílí výhradně na nejvyšší vedení jako CEO, členy představenstva, celebrity, politiky. Útočníci se maskují jako právní zástupci, auditoři nebo vládní úředníci. Úspěšné útoky mohou stát firmy až 100 milionů dolarů. Jde o špičku kyberkriminality, kde pachatelé investují obrovské prostředky do přípravy každého útoku.

Jak útočníci sbírají informace

Útočníci spear phishingu mohou využívat mnoho kanálů, odkud se o vás dozví vše, co je veřejně dostupné na internetu. Jaké informace nejčastěji využívají a kde je hledají?

LinkedIn

LinkedIn je kompletní encyklopedie vaší profesní existence. Útočníci najdou vaši pozici, celou pracovní historii, dovednosti, vzdělání. Vidí, s kým jste propojeni, najdou si vaše kolegy, šéfy, obchodní partnery. Útočník si vytvoří falešný profil, vydává se za recruitera a pošle vám žádost o propojení. Jakmile přijmete, získá přístup k mnohem víc informacím. Může sledovat vaše aktivity, komentáře, a to mu prozradí, čím se zabýváte.

V roce 2022 byl LinkedIn nejnapodobovanější značkou ve phishingu a 52 % útočníků se vydávalo za tuto platformu.

Sociální sítě jsou víc než fotky

Když přidáte fotku z dovolené, útočník hned ví, že dva týdny nebudete k dispozici na ověření podezřelého požadavku. Jiná fotka z firemní akce prozradí, kdo kde pracuje. Pachatelé pátrají po každé drobnosti. Z desítek střípků si sestaví kompletní mozaiku. 

Veřejné rejstříky jsou legálně dostupná mapa

V Česku je řada informací o firmách veřejně dostupná. V obchodním rejstříku najdete jména jednatelů, prokuristů, základní údaje o struktuře. Firmy to sdílejí záměrně a legálně. Jenže útočníkům to poskytuje perfektní půdu.

TIP: TOP 10 slabin, které odhalují penetrační testy

Jak útočníci využívají moderní technologie

Možná vás překvapí, že v dnešní době, kdy je dostupné AI, si můžete nechat naklonovat klidně svůj hlas. O to těžší je pak rozpoznat, zda se jedná o podvod. Jaké technologie útočníci využívají?

Klonování hlasu

V roce 2020 zločinci naklonovali hlas ředitele pomocí AI a zavolali do banky. Manažer schválil převod 35 milionů dolarů.

Jak to funguje? Útočníci potřebují pár minut nahrávky vašeho hlasu z veřejných videí, konferencí, podcastů či webinářů. Moderní AI dokáže hlas replikovat včetně přízvuku, tempa řeči a emocí.

Podle IBM X-Force dokáže AI vytvořit phishingový e-mail za 5 minut, zatímco ruční příprava trvá 16 hodin.

Falešné videohovory

V roce 2023 se útočníci v agentuře WPP vydávali za ředitele na videohovoru. Použili naklonovaný hlas a deepfake video. Naštěstí manažer zpozorněl kvůli drobným nesrovnalostem.

Deepfake videa využívají strojové učení. Útočník potřebuje dostatek materiálu z veřejných vystoupení. Pak vytvoří video, kde váš nadřízený či kolega říká cokoliv.

TIP: Sociální inženýrství – největší hrozba je lidský faktor

Jak poznat spear phishingový útok a jaké jsou varovné signály

Přesto existuje mnoho ukazatelů a varovných signálů, že se jedná o podvod. Jak spear phishing poznat?

• Umělá urgence: Transakce musí proběhnout do konce dne, nemůžete nikomu nic říct a váš nadřízený nemůže být vyrušován. Jakýkoliv požadavek tlačící vás okamžitě jednat by měl rozsvítit červenou.
• Požadavky na mlčenlivost: Když vás žádají, abyste neinformovali kolegy nebo nadřízené, je na tom něco podezřelého, proto si to vždy ověřte. Legitimní procesy transparentnost podporují.
• Změna komunikačního kanálu: Nadřízený, který vždy volá, najednou píše jen e-maily a vymlouvá se na porouchaný telefon. Útočníci preferují písemnou komunikaci.
• Nesrovnalosti v e-mailové adrese: E-mailová adresa jan.novak@firrma.cz místo jan.novak@firma.cz je velmi podobná a snadno se rozdíl přehlédne, proto buďte na pozoru. 
• Silné emoce: Strach, vina nebo chamtivost, které cítíte ze zprávy, nejsou v pořádku.
• Neobvyklé požadavky: Pokud šéf normálně nikdy nežádá o převody e-mailem, proč by to dělal teď? Pokud je něco jinak než obvykle, raději si to vždy ověřte.

Jak se bránit spear phishingovým útokům

Ochrana nemůže spočívat jen na jednom opatření. Potřebujete kombinaci technologií, procesů a vzdělaných lidí.

Technická opatření

Co můžete pro svou firmu udělat jako nejdříve, tak jsou to různá technická opatření, díky kterým můžete útokům předejít.

• Dvoufaktorová autentizace (2FA): Povinnost pro všechny firemní účty. I když útočník získá heslo, bez druhého faktoru se nedostane dál.
• E-mailové protokoly SPF, DKIM a DMARC: Pomáhají zabránit padělání e-mailů z vaší domény.
• Varování před externími e-maily: Je možné nastavit automatický banner „⚠️ Tento e-mail přišel z externí adresy – buďte opatrní.“ Když to vidíte u e-mailu od šéfa, okamžitě zpozorníte.
• Pokročilé spam filtry: Tyto filtry využívající AI dokážou odklonit řadu phishingových e-mailů.

Procesní ochrana

Pro jakékoliv firemní procesy, při kterých se sdílí data či posílají peníze, je vhodné mít ochranu.

• Povinné ověření plateb nad 50 tisíc: Každá platba musí být ověřena telefonicky na předem známé číslo. Ne na číslo z e-mailu!
• Princip čtyř očí: Žádnou významnou transakci neschvaluje jedna osoba sama. Musí projít dvěma lidmi na různých pozicích.
• Změna bankovních údajů vyžaduje ověření: Když dodavatel změní účet, zavolejte na známé číslo a ověřte to.

Lidský faktor jako nejdůležitější obrana

U spear phishingu jsou nejslabším článkem právě lidé, kteří chtějí dobře splnit svůj úkol, pomoci kolegům nebo vyhovět zadání od nadřízeného. Proto je opravdu důležité s možnými útoky spear phishingu obeznámit zaměstnance.

• Pravidelná praktická školení: Žádné nudné prezentace, ale reálné simulace a uvedení aktuálních případů. Zaměstnanci potřebují vidět konkrétní příklady.
• Simulované phishingové útoky: Jednou za čtvrtletí odešlete kontrolní e-mail. Kdo naletí, dostane doškolení. Cílem je vzdělávat.
• Kultura, kde je legitimní ptát se: Zaměstnanci musí vědět, že když dostanou podezřelý příkaz i od šéfa, je v pořádku zpomalit a ověřit. Nikdy nesmí být trestáni za opatrnost.
• NÚKIB doporučuje: Omezit sdílení informací o práci na sociálních sítích, nepovolovat makra v programech, v případě nejistoty okamžitě kontaktovat IT.

TIP: Hledáte bezpečnostní školení pro svou firmu? Začleňte bezpečnost do svého týmu s naším školením.

Co dělat jako jednotlivec

I jako jednotlivci nebo malí podnikatelé můžete být obezřetní a chránit se.

• Používejte VPN pro šifrování online aktivity, zejména na veřejných WiFi.
• Kontrolujte podezřelé e-maily, zejména ty požadující změny hesel nebo obsahující odkazy.
• Ověřujte zdroj e-mailů, kontrolujte celou adresu, ne jen zobrazované jméno.
• Neklikejte na odkazy a raději jděte na web firmy samostatně.
• Aktualizujte software a pravidelně instalujte bezpečnostní záplaty.
• Omezte sdílení na sociálních sítích, zkontrolujte profily, smažte citlivé informace a nastavte maximální soukromí.
• Používejte správce hesel, vytvářejte dlouhá, unikátní hesla pro každý účet.
• Aktivujte vícefaktorovou autentizaci všude, kde je to možné.
• Při pochybnostech kontaktujte odesílatele nezávislým kanálem a ověřte legitimitu.

TIP: Phishing, vishing, smishing a moderní podvody v kyberprostoru

5 kroků, co dělat, když naletíte

Pokud k útoku dojde a vy útočníkům vyhovíte, rozhodující je rychlost, jak budete reagovat.

1. Okamžitě volejte bance: Čím rychleji, tím větší šance transakci zablokovat. Podle FBI je úspěšnost záchrany až 71 % při nahlášení do několika hodin. Po dnech klesá téměř na nulu.
2. Hlášení policii: Vše nahlaste na oddělení kyberkriminality. Využijte online formulář na webu Policie ČR.
3. Zdokumentujte vše: Projděte si a uložte e-maily včetně hlaviček, zaznamenejte telefonní čísla, udělejte screenshoty.
4. Informujte zaměstnance a partnery: Útočníci mohli získat přístup k dalším datům.
5. Změňte všechna hesla okamžitě.

Jaké hrozby spear phishingu nás čekají v budoucnosti

Útoky se vyvíjejí směrem, který nikoho neuklidňuje. Deepfake technologie se stávají dostupnější a levnější. Není potřeba speciální hardware a existují komerční služby za pár stovek korun. Útočníci využívají AI a ChatGPT k vytváření přesvědčivých e-mailů ve všech jazycích. AI analyzuje váš komunikační styl a napíše zprávu, která zní, jako byste ji psali vy.

Podle statistik již 65 % kybernetických skupin používá spear phishing jako primární způsob útoku. Toto číslo poroste. Spear phishing už není izolovaný e-mail, ale je součástí složitějších kampaní kombinujících sociální inženýrství, technické exploity a dokonce fyzické útoky.

TIP: Phishingové simulace: otestujte své zaměstnance bezpečně

Často kladené dotazy (FAQ)

Jaký je rozdíl mezi phishingem a spear phishingem?

Běžný phishing jsou hromadné útoky, kdy pachatelé rozešlou tisíce stejných e-mailů. Spear phishing je cílený útok na konkrétní osobu, kdy útočník sbírá informace a vytváří přizpůsobený podvod. Zatímco běžný phishing má úspěšnost kolem 3 %, u spear phishingu dosahuje často přes 50 %. 

Kolik stojí firemní útoky typu CEO fraud?

Podle FBI dosáhly škody v roce 2023 přes 2,9 miliardy dolarů v USA. V Česku průměrná škoda činí 300 tisíc korun, nejvyšší případ 5,4 milionu. Nejhorší globální útoky mohou stát firmy až 100 milionů dolarů.

Může útočník naklonovat hlas šéfa?

Ano, protože moderní AI dokáže naklonovat hlas z několika minut nahrávky. Útočníci použijí veřejná videa z konferencí nebo podcastů. V roce 2020 takto ukradli 35 milionů dolarů. Technologie je stále dostupnější a levnější. Podle IBM X-Force dokáže AI vytvořit phishingový e-mail za 5 minut, což je 192krát rychleji než ruční příprava.

Jak poznám, že e-mail je od šéfa?

Zkontrolujte e-mailovou adresu velmi pečlivě, protože útočníci používají podobné domény s drobnými překlepy. Všímejte si neobvyklých požadavků, zejména urgentních a vyžadujících mlčenlivost. Když přijde podezřelý e-mail, ověřte ho jiným kanálem – zavolejte na známé číslo. Nikdy nepoužívejte kontakty z podezřelého e-mailu.