Nevyžádané telefonáty zná asi každý z nás. Někdy se ozvou s nabídkou zboží, ale jindy je to nenápadný telefonát z banky a následně vám v SMS přistane odkaz na „zabezpečení účtu“ nebo v e-mailu čeká urgentní výzva. Tři různé kanály, ale jeden a ten samý útočník. Přesně tak dnes vypadá moderní sociální inženýrství, které je koordinované, rychlé a překvapivě profesionální. Kybernetické útoky známé jako podvody na internetu jsou na každodenním pořádku. Co je phishing, vishing, smishing a jak se bránit?
Sociální inženýrství a podvody na internetu
Sociální inženýrství je psychologická manipulace, která nutí lidi jednat proti svým zájmům. Na rozdíl od technických útoků, které se snaží prolomit zabezpečení systémů, útočníci pomocí sociálního inženýrství cílí přímo na lidskou přirozenost a to důvěřivost, strach, zvědavost nebo touhu pomoci. Dnešní online svět je plný mnohokanálových kybernetických útoků, kde si podvodníci nepotrpí na jeden způsob komunikace.
Kombinují e-maily, telefonní hovory a textové zprávy do koordinovaných kampaní, které dokážou obejít i opatrné lidi.
Podle Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) se s phishingovými e-maily setkalo 90 % Čechů, přičemž phishingové útoky tvoří většinu kybernetických bezpečnostních útoků. Pro firmy je znalost těchto kybernetických útoků dnes stejně důležitá jako požární cvičení. Jeden dobře skrytý podvod na internetu může znamenat ztrátu stovek tisíc korun, kompromitaci citlivých dat nebo dokonce paralýzu celé společnosti.
TIP: Vyškolte svůj tým proti phishingu a zabezpečte svou firmu.
Phishing, vishing, smishing aneb v čem je rozdíl
Kevin Mitnick, jeden z nejznámějších hackerů světa, to vyjádřil naprosto přesně: „Proč se namáhat s hackováním systému, když je mnohem jednodušší přesvědčit uživatele, aby vám prozradil své heslo?“ Právě proto fungují phishing, vishing i smishing tak skvěle. Nevyužívají technické nedostatky vašich systémů, ale psychologické principy, kterým málokdo dokáže odolat pod tlakem.
Aby firmy a lidé byli dobře připraveni proti kybernetickým útokům, je potřeba znát rizika a možnosti, které běžně útočníci využívají. Útoky můžeme rozdělit na phishing, vishing a smishing. Jaký je mezi nimi rozdíl?
Co je phishing
Phishing je podvod přes e-mail. Útočník napodobí důvěryhodnou značku, úřad nebo kolegu a snaží se vás dovést na falešný web či přimět k odeslání údajů. U dobře připravených kampaní může e-mail vypadat zcela obyčejně a právě proto funguje. Zatímco dříve šlo o nešikovné e-maily plné chyb a pofiderních tlačítek, dnešní útočníci využívají profesionální jazyk, psychologickou manipulaci i umělou inteligenci, takže je výsledný e-mail opravdu přesvědčivý.
Spear-phishing a cílený útok
Zatímco běžný phishing rozesílá tisíce obecných zpráv, spear-phishing je mnohem nebezpečnější. Útočník si pečlivě vybírá konkrétní lidi a personalizuje své zprávy na základě informací z veřejných zdrojů, jako jsou LinkedIn, firemní webové stránky, sociální sítě. Pomocí umělé inteligence dokážou útočníci napodobit styl psaní konkrétního nadřízeného na základě jeho veřejně dostupné korespondence. I samotný člověk pak často nepozná, že e-mail nepsal on.
Co je vishing
Vishing je podvodný telefonát. Volající se představí jako bankéř, policista nebo pracovník „bezpečnostního oddělení“ se záměrem získat přístupové údaje, potvrzovací kódy nebo také k převodu peněz na „bezpečný účet“. Nebezpečí vishingu spočívá i v technologii zvané spoofing. Útočníci dokážou napodobit jakékoli telefonní číslo, včetně oficiálních linek bank. Na displeji vám svítí známé číslo vaší banky, ale ve skutečnosti vám volá podvodník.
Komerční banka denně zachytí přibližně půl milionu transakcí a při detekci podezřelé aktivity klienta okamžitě kontaktuje. Problém nastává, když i přes varování banky klient trvá na dokončení transakce, což se podle expertů stává poměrně často.
Co je smishing
Smishing je podvod, který kombinuje techniky phishingu s SMS zprávami. Zpráva působí jako automatická notifikace, třeba od pošty, úřadu nebo banky, a nabízí „rychlé vyřešení“ přes odkaz. Jakmile příjemce na odkaz klikne, otevře se falešná stránka, která ho vybídne k zadání přihlašovacích údajů, čísla platební karty nebo jiných citlivých dat.
Smishing je mimořádně nebezpečný, protože lidé mají tendenci reagovat na SMS zprávy rychle a bez ověření. Tyto podvody na internetu často využívají známé značky a aktuální události, například období doručování vánočních zásilek nebo daňové termíny.
TIP: Penetrační test: Co to je a proč ho vaše firma potřebuje
Jaké jsou nejčastější internetové podvody
V Česku jsou nejčastěji zneužívány identity České pošty, bank, dopravních společností a nově také státních úřadů.
Podvody – Česká pošta
Česká pošta je útočníky opakovaně zneužívána. Podvodné SMS informují příjemce, že pokud se chce vyhnout vrácení balíku, musí změnit objednávku do 24 hodin. Jiné podvodné zprávy tvrdí, že zásilka čeká na pokyny a bude doručena, jakmile budou uhrazeny náklady. Česká pošta na svých oficiálních stránkách zveřejňuje vzory podvodných SMS, aby se lidé naučili rozpoznat podvod. Problém je, že podvodníci neustále mění formát zpráv a vytvářejí nové varianty.
Podvody – Bazoš a Sbazar
Sociální inženýrství se objevuje i na různých online bazarech. Oběti jsou především prodávající. Ozve se jim falešný zájemce s tím, že chce provést platbu za zboží platební kartou. Kontakt probíhá přes WhatsApp a kupující odmítá jiný způsob úhrady. Podvodník pošle odkaz na falešné stránky banky prodávajícího, aby z něj vylákal přihlašovací údaje. Výsledek? Prodávající nedostane peníze za zboží a navíc může přijít o peníze ze svého účtu.
Datové schránky jako nová hrozba
Nová vlna smishingu se zaměřuje také na datové schránky. SMS zprávy informovaly příjemce o nových zprávách v datové schránce s odkazy na podvodnou stránku mojedatovaschranka.icu. Pokud lidé klikli na odkaz a zadali přihlašovací údaje, kompromitovali přístup do své datové schránky. Prostřednictvím podobných webů mohou útočníci získat přístup nejen k datové schránce, ale i k bankovnímu účtu, pokud člověk použije bankovní identitu.
ČSSZ a nová komplikace
Situace se zkomplikovala v lednu 2025, když Česká správa sociálního zabezpečení začala legitimně posílat SMS zprávy v rámci služeb eDávky a eNeschopenky. Úřad, který předtím SMS vůbec neposílal, nyní rozesílá notifikace z šestnácti oficiálních čísel. Lidé jsou zmatení a nedokážou rozlišit, která SMS je pravá a která podvodná. Podvodníci této situace samozřejmě využívají a posílají falešné zprávy, které napodobují styl úřední komunikace.
TIP: TOP 10 slabin, které odhalují penetrační testy
Mnohokanálové útoky jako kombinace všech metod
Moderní kybernetičtí útočníci si nepotrpí jen na jeden komunikační kanál. Kombinují phishing, vishing a smishing do koordinovaných kampaní, které jsou extrémně účinné.
Typický scénář mnohokanálového útoku
Jak vypadá typický průběh útoku?
- Email (phishing): Přijde vám e-mail údajně od vaší banky, že byl detekován podezřelý pokus o přihlášení.
- SMS (smishing): Krátce poté dostanete SMS s odkazem pro „okamžité zabezpečení účtu“.
- Telefon (vishing): Následuje hovor od „bezpečnostního oddělení banky“, které vás vyzve k potvrzení transakce nebo zadání ověřovacího kódu.
Každý kanál zvyšuje důvěryhodnost toho předchozího. Email vysvětluje kontext, SMS působí jako automatická notifikace a telefonní hovor dodává na věci lidský rozměr a naléhavost.
TIP: Red Team vs Blue Team vs Purple Team: role v kybernetické bezpečnosti
Proč firmy potřebují phishingové testy
Většina firem dnes investuje do firewallů, antivirů a moderních systémů ochrany, ale často zapomíná na to nejzranitelnější místo – člověka. I ten nejlepší bezpečnostní systém ztrácí smysl, pokud zaměstnanec klikne na falešný odkaz nebo v dobré víře pošle citlivé údaje útočníkovi.
Jak upozorňuje Petr Barák z České bankovní asociace, právě snaha „splnit úkol šéfa za každou cenu“ bývá jednou z nejčastějších příčin úspěšných útoků. Zaměstnanci se často rozhodují pod tlakem, bez ověření, a útočníci na tuto lidskou stránku cíleně spoléhají.
Co jsou phishingové testy
Phishingové testy představují bezpečnou simulaci skutečných útoků, kterou organizace provádějí na vlastní zaměstnance. Jejich cílem není nachytat své zaměstnance, ale zjistit, jak dobře jsou zaměstnanci připraveni odolat skutečnému útoku. Firma například rozešle testovací e-mail, který imituje reálný phishingový pokus, a sleduje, kolik zaměstnanců klikne na odkaz, vyplní přihlašovací údaje nebo odhalí útok. Díky tomu lze přesně vyhodnotit úroveň bezpečnostního povědomí v týmu.
Výsledky bývají často překvapivé: i ve firmách s propracovanou bezpečnostní politikou se ukazuje, že 30–40 % zaměstnanců by se nechalo nachytat. Tyto testy tak dávají vedení reálný obraz o tom, jak by firma obstála při skutečném útoku.
Proč jsou testy důležité
Teorie nestačí. Mnoho zaměstnanců sice ví, že by neměli klikat na podezřelé odkazy, ale v praxi reagují impulzivně, například při velkém pracovním vytížení. Phishingové testy jim umožňují zažít útok „nanečisto“, pochopit, jak vypadají podvodné e-maily, a zjistit, co by se stalo, kdyby reagovali neuváženě. Tato zkušenost bývá účinnější než jakékoliv školení. D
louhodobé statistiky ukazují, že firmy, které phishingové testy provádějí pravidelně, dokážou snížit úspěšnost reálných útoků až o 70 %. Zaměstnanci se učí rozpoznávat varovné signály, zpochybňovat neobvyklé požadavky a ověřovat pravost komunikace dříve, než kliknou.
Školení musí být kontinuální
Jednorázový test a následné školení nejsou řešením. Útočníci své metody neustále mění a zlepšují, a proto je potřeba udržovat bezpečnostní povědomí zaměstnanců neustále aktuální. Co je tedy nejlepší ochrana před kybernetickými útoky?
Ideální je, když firma provádí testy minimálně jednou za čtvrtletí a po každém testu poskytne okamžitou zpětnou vazbu – vysvětlení, jak test probíhal, co bylo varovným signálem a jak se podobné situaci příště vyhnout. Velmi efektivní jsou tzv. mikroškolení, což jsou krátké a cílené lekce, které následují bezprostředně po chybě.
Zaměstnanec, který klikne na testovací odkaz, dostane místo výtky krátké video nebo interaktivní vysvětlení, kde se dozví, co přehlédl a jak to příště poznat. Takové vzdělávání je rychlé, nenásilné a přináší měřitelné výsledky.
TIP: Hledáte bezpečnostní školení pro svou firmu? Začleňte bezpečnost do svého týmu s naším školením.
Praktický návod pro firmy, jak se bránit kybernetickým útokům
Abyste věděli, jak se dá bránit kybernetickým útokům, máme pro vás několik tipů na opatření.
Technická opatření
E-mailové filtry a anti-phishing nástroje dokážou zachytit většinu hromadných phishingových kampaní. Moderní řešení využívají umělou inteligenci k detekci podezřelých vzorů v komunikaci.
- Vícefaktorová autentikace (2FA) je základní ochrana. I když útočník získá heslo, bez druhého faktoru (SMS kód, autentikační aplikace) se k účtu nedostane.
- E-mailová autentikace (SPF, DKIM, DMARC) pomáhá zabránit tomu, aby se útočníci vydávali za vaši firmu. Tyto protokoly ověřují, že email skutečně pochází z vaší domény.
Organizační opatření
Zavedení jasných interních pravidel pro zpracování citlivých operací. Například žádná platba nad určitou částku by neměla být schválena pouze na základě e-mailu nebo telefonátu. Doporučuje se vícefázové ověřování, tedy potvrzení platby alespoň dvěma zaměstnanci přes různé komunikační kanály.
- Ověřování změn bankovních údajů: Pokud vám dodavatel pošle email se změnou čísla účtu, vždy to ověřte telefonicky, ale ne na číslo uvedené v emailu, nýbrž na číslo, které máte v předchozí dokumentaci.
- Vzdělávání zaměstnanců: Pravidelná školení o kybernetické bezpečnosti by měla být povinná pro všechny zaměstnance, nikoliv jen pro IT oddělení.
Varovné signály, které by měl rozpoznat každý zaměstnanec
Na co by si měl dát pozor každý zaměstnanec? Toto jsou nejčastější varovné signály, že se jedná o kybernetický útok:
- Časový tlak: „Musíte jednat okamžitě“ je klasická taktika sociálního inženýrství.
- Neobvyklé požadavky: Váš šéf běžně nekomunikuje přes WhatsApp? Proč by to dělal teď?
- Chyby v komunikaci: Objevují se překlepy v doménových adresách.
- Žádosti o citlivé údaje: Legitimní instituce nikdy nepožadují hesla nebo PIN kódy.
- Podezřelá příloha nebo odkaz: Pokud jste email nečekali, neklikejte na něj a neotevírejte přílohy.
Co dělat při podezření na útok
Pokud máte podezření, že jste se stali terčem podvodu nebo že někdo zkouší získat vaše údaje, je důležité zachovat klid a postupovat systematicky.
- Nezavěšujte okamžitě, ale nedávejte žádné údaje.
- Požádejte o jméno, oddělení a možnost zavolat zpět.
- Kontaktujte instituci na oficiálním čísle (ne na čísle, které vám volající sdělí).
- Nahlaste incident IT oddělení nebo bezpečnostnímu týmu.
- Pokud jste údaje již sdělili, okamžitě změňte hesla a informujte banku.
TIP: Red Teaming – evoluce penetračních testů
Bezpečnost začíná ostražitostí
Phishing, vishing a smishing nejsou problémy, které se dají vyřešit pouze technickými prostředky. Nejlepší antivirový program neochrání firmu před zaměstnancem, který pod tlakem prozradí své heslo. Proto jsou klíčem v ochraně technická opatření (filtry, autentikace, šifrování), organizační pravidla (vícefázové ověřování, jasné postupy) a vzdělávání (pravidelná školení, phishingové testy). Útočníci spoléhají na to, že budete spěchat, budete unavení nebo prostě budete chtít být nápomocní.
Často kladené dotazy (FAQ)
Jak poznám, že mi volá skutečná banka a ne podvodník?
Skutečná banka nikdy po telefonu nepožaduje kompletní údaje z platební karty, PIN kód, CVC/CVV kód nebo přihlašovací údaje do internetového bankovnictví. Pokud máte sebemenší pochybnost, zavěste a zavolejte na oficiální linku banky, kterou najdete na bankovní kartě nebo na webu banky. Nevěřte číslu, které se zobrazí na displeji, protože útočníci ho dokážou padělat.
Co mám dělat, když jsem klikl na phishingový odkaz?
Okamžitě odpojte zařízení od internetu. Pokud jste zadali přihlašovací údaje, změňte hesla ze zabezpečeného zařízení. Kontaktujte svou banku, pokud jste vyplnili bankovní údaje. Proveďte antivirovou kontrolu počítače. Nahlaste incident IT oddělení nebo bezpečnostnímu týmu ve firmě. Sledujte své účty a výpisy z karty v následujících dnech.
Jaký je typický znak phishingu?
Phishing se obvykle pozná podle prvku naléhavosti nebo snahy vzbudit emoce, například tvrzením, že váš účet byl zablokován nebo že hrozí ztráta peněz. Zpráva často obsahuje odkaz na falešnou webovou stránku, která se nápadně podobá originálu, a vybízí k přihlášení nebo zadání osobních údajů.
Jak se zbavit phishingu?
Pokud jste se stali obětí, ihned si poznamenejte všechny informace, které jste mohli sdílet, a okamžitě změňte hesla u napadených i souvisejících účtů. Nahlaste incident IT oddělení nebo své bance a proveďte bezpečnostní kontrolu zařízení. Vyhněte se používání kompromitovaných přihlašovacích údajů i na jiných službách.
Jak poznat podvodné stránky a e-shopy?
Před zadáním jakýchkoli údajů vždy zkontrolujte adresu webu, která musí začínat „https“ a obsahovat správný název domény. Varovným signálem jsou neúplné kontaktní údaje, neexistující obchodní podmínky, špatný překlad textů či podezřele nízké ceny. Ověřte si, zda e-shop skutečně existuje, například podle recenzí nebo registrace firmy.
Jak poznat podvodné telefonáty (vishing)?
Podezřelý je každý nečekaný hovor, zejména pokud volající vytváří časový tlak, žádá osobní údaje nebo vás navádí k instalaci aplikace. Útočníci často používají spoofing, takže se na displeji zobrazí důvěryhodné číslo třeba od banky. Nikdy neposkytujte citlivé údaje po telefonu a v případě pochybností zavěste a sami zavolejte na oficiální linku.
Jak vypadá podvodná SMS?
Podvodné SMS (smishing) se tváří jako zprávy od doručovacích služeb, bank nebo státních institucí. Obvykle obsahují výzvu k platbě, potvrzení nebo kliknutí na odkaz, který vede na falešnou stránku. Cílem je získat přihlašovací nebo platební údaje. Skutečné instituce po vás nic takového přes SMS nikdy nepožadují.
Co je to spoofing?
Spoofing je technika, při níž útočník falšuje identitu odesílatele a může se tvářit jako banka, policie nebo známý kolega. Dochází k tomu u telefonátů, e-mailů, SMS, ale i při síťové komunikaci. Například na displeji se objeví číslo banky, ale ve skutečnosti volá podvodník. Smyslem je získat důvěru oběti a vylákat od ní informace nebo peníze.
