„Klikněte zde!“ Dvě slova, která vás mohou připravit o úspory. Jak funguje moderní phishing?

V mobilu pípne zpráva: „Váš bankovní účet byl právě zablokován kvůli podezřelé aktivitě. Klikněte zde pro okamžité odblokování.“ Srdce se vám rozbuší, polije vás horko a prst už míří na displej. Stop! Právě v tuhle vteřinu se vás útočník pokouší „zaseknout“ na háček – jako když rybář láká štiku na umělou třpytku.

Co se v článku dozvíte:

• Podstata podvodu: Jak phishing využívá psychologickou manipulaci.
• Video: Jak se youtuber Kovy nechal hacknout a zkusil napálit své známé na phishingovou zprávu. 
• Moderní podoby útoků: Hromadné e-maily, cílené „harpuny“ (spear phishing), podvodné SMS (smishing) i telefonáty (vishing).
• Triky útočníků: Jak dokážou podvrhnout jméno odesílatele (např. „Kovy“ nebo „MojeBanka“) a vytvořit dokonalé kopie přihlašovacích stránek.
• Varovné signály: Na co se zaměřit při kontrole e-mailu, abyste podvod odhalili během deseti vteřin.
• První pomoc: Konkrétní krizový manuál, co dělat, pokud jste již své údaje útočníkovi omylem odevzdali.
• Prevence: Checklist Chytré desatero, jak se bránit před phishingem.

Návnada, háček a kořist: Jak funguje phishing?

Phishing (z anglického fishing – rybaření) je rafinovaná forma kybernetického útoku, kde nejde o sílu, ale o lest. Útočník si nasadí masku důvěryhodné autority – tváří se jako vaše banka, oblíbený e-shop nebo třeba podpora sociální sítě. Celé je to mistrovská ukázka sociálního inženýrství, tedy psychologické manipulace, která útočí na vaše emoce: strach, zvědavost nebo pocit naléhavosti.

Útočníci se snaží z vás tímto způsobem vymámit hesla, údaje k platební kartě, přístupy do systému, nebo ukrást identitu. Phishingové pasti na vás nejčastěji vyskočí v podobě naléhavého e-mailu nebo SMS zprávy, které vás mají vystrašit a přimět k okamžité reakci.

Podle Zprávy o stavu kybernetické bezpečnosti České republiky od NÚKIB phishing dlouhodobě dominuje statistikám kybernetických incidentů a jeho využívání se proti předchozím rokům stále stupňuje. 

Typy phishingu: Od hromadných rybářských sítí po digitální harpuny

Phishing se neomezuje pouze na e-maily. Útočníci dnes využívají i jiné kanály, aby vás dostali na falešné stránky nebo přiměli k vyzrazení citlivých údajů.

E-mailový phishing: Klasická návnada ve vaší schránce

„Vážený kliente, zaznamenali jsme neobvyklou aktivitu související s vaším bankovním účtem. Z bezpečnostních důvodů mohl být přístup dočasně omezen.“

Tohle je starý, ale stále neuvěřitelně účinný trik. Útočník rozhodí sítě a rozešle tisíce hromadných e-mailů, které se tváří jako oficiální zprávy od banky, kurýrní služby nebo úřadu. Scénář je vždy stejný: e-mail vás pod nátlakem nutí kliknout na přiložený odkaz.

Server Novinky.cz například informoval o zprávách, které se šířily na sklonku roku 2025:  „Prosíme o potvrzení vaší identity prostřednictvím zabezpečeného portálu UniCredit Bank, abyste obnovili plný přístup ke svým službám,“ psali v nich podvodníci, kteří se vydávali za pracovníky známé banky.   

Přiložený odkaz (aktualizaceustu-unicreditproups.eu) však příjemce zprávy nezavedl do banky, ale na její dokonalou falešnou kopii. 

Pozor! Jakmile do formuláře na tomto podvrženém webu vyťukáte své heslo nebo údaje ke kartě, neposíláte je bance, ale přímo do rukou útočníka. 

Většinu těchto pastí dnes naštěstí odfiltruje váš e-mail jako spam. Digitální rybáři jsou ale čím dál vynalézavější a občas se jim podaří proklouznout až do vaší doručené pošty. Stačí pak jedna vteřina nepozornosti a neštěstí je na světě.

Smishing: Hele, napsal mi Kovy! Nebo je to hacker?

Na mobilu svítí nová příchozí zpráva, na displeji v poli odesílatele není žádné cizí číslo, ale známé jméno: Kovy. Právě v tuhle chvíli útočník vyhrává první kolo – získal pozornost a vypnul obranné mechanismy příjemce. Kovyho přátelé, pro které je zpráva určena, nemají žádné podezření, a tak ji otevřou. Nenapadne je, že ve skutečnosti ji neposílá slavný youtuber, ale hacker. A právě se stali obětí podvodu.

Této metodě se říká smishing – tedy phishing prováděný přes SMS. V kampani Bezpečnost má zelenou od Kooperativy, na které populární youtuber spolupracoval s bezpečnostními experty, se ukázalo, jak snadné je zneužít cizí identitu. Technice, kdy se „kyberšmejdi“ vydávají za někoho jiného (tedy falšují identitu) se zase říká spoofing. 

Jak to vypadá v praxi? Útočník vám pošle zprávu, která vypadá jako exkluzivní pozvánka, výzva od banky nebo třeba QR kód k „výhře“. Typicky obsahuje odkaz vedoucí na podvodnou stránku.

„Útočník si nemusí nastavit jen vybrané číslo, ale může si nastavit místo zobrazení čísla i nějaký řetězec znaků, například ‚MojeBanka‘ – nebo třeba ‚Kovy‘,“ upozorňuje David Pecl ze Security Avengers. 

Váš telefon pak takovou zprávu automaticky zařadí do vlákna k legitimním zprávám, které vám od dané služby (nebo osoby) přišly dříve. Pokud na přiložený odkaz kliknete nebo naskenujete poslaný QR kód, ocitnete se na falešné stránce, která z vás během vteřiny vymámí přihlašovací údaje.

Spear phishing: Cílený útok na velké ryby 

Na rozdíl od hromadného phishingu je spear phishing cíleně zaměřený na konkrétní osobu nebo organizaci – už žádné rozhazování rybářských sítí a chytání náhodných rybiček, ale cílená digitální harpuna, která přesně ví, kam míří. Útočník si nejprve důkladně nastuduje svůj cíl – zjistí jméno, pracovní pozici, kolegy, projekty – a na základě těchto informací připraví na míru šitý e-mail, který vypadá maximálně důvěryhodně.

(zdroj: NÚKIB, dokument Spear-phishing a jak se před ním chránit)

Speciální podkategorií je tzv. whaling (z anglického „whale“ – velryba), který neútočí na drobné rybky. Cílí na ty největší úlovky v oceánu byznysu: nejvyšší vedení firem jako jsou ředitelé, finanční manažeři a další důležité osoby s přístupem k financím či citlivým datům.

Vishing: Telefonní phishing neboli hlas podvodníka v mobilu

Vishing (voice phishing) je podvodný telefonát, při kterém se útočník vydává za bankéře, policistu nebo jiného zástupce autority. Používá časový tlak a vyvolává strach, aby vás přiměl ke sdělení SMS kódu, instalaci „zabezpečovací“ aplikace nebo k převodu peněz.

Dobrá zpráva je, že od roku 2025 mobilní operátoři v České republice (a EU) blokují podvržení telefonního čísla volajícího. U SMS zpráv ale falšování čísla odesílatele stále možné je.

Jak poznat phishingový útok

„Obecně lze podvody poznat podle toho, že útočník vytvoří tlak na čas a nedá vám šanci to s někým zkonzultovat. To jsou vždy spolehlivé signály, že se jedná o podvod,“ upozorňuje David Pecl ze Security Avengers. Podívejte se, na co dávat pozor.

Varovné znaky v e-mailech

Expert David Pecl identifikuje 3 nejspolehlivější signály, podle kterých phishing poznáte během 10 vteřin:

🌐 Podezřelá doména odesílatele – často to není ta, kterou znáte. Například „csob.cz“ vs „csob-investice.online“. Vždy si zkontrolujte, co je za zavináčem.

👆 Vynucení akce s odkazem na web – zprávy typu „potvrďte své heslo“, „ověřte svůj účet“ nebo „aktualizujte platební údaje“. Žádná seriózní instituce po vás nebude po e-mailu požadovat zadání hesel či PIN kódů.

🕛 Vytvoření časové tísně – ultimáta typu „jinak bude váš účet smazán do 24 hodin“ nebo „máte poslední šanci“. Cílem je, abyste neměli čas situaci s někým zkonzultovat.

Dalšími varovnými znaky mohou být: neosobní oslovení („Vážený zákazníku“ místo jména), pravopisné chyby a neobvyklé formulace, podezřelá příloha, nebo nesoulad mezi zobrazeným textem odkazu a skutečnou URL adresou.

Podezřelé odkazy a přílohy

Než na odkaz v e-mailu kliknete, najeďte na něj myší (bez kliknutí) – v dolní části prohlížeče nebo e-mailového klienta se zobrazí skutečná URL adresa. Pokud se liší od očekávané domény, neklikejte.

Zkontrolujte, zda webová stránka používá zabezpečené připojení HTTPS a má platný SSL certifikát – ikona zámku v adresním řádku. Ale pozor – ani HTTPS není stoprocentní zárukou legitimnosti, protože i podvodníci mohou získat certifikát pro svou falešnou doménu.

⚠️ Nebezpečné přílohy: Phishingové e-maily mohou obsahovat přílohy se škodlivým kódem. Otevřením takové přílohy si můžete do zařízení stáhnout malware, například trojského koně, který útočníkovi otevře zadní vrátka k vašemu počítači. Podezřelé přílohy nikdy neotevírejte – zvláště soubory s příponami .exe, .zip, .scr… „Dávejte ale pozor – útočník často používá dvě přípony, tedy například faktura.pdf.exe, ale v mail klientu se zobrazí pouze faktura.pdf, protože „.exe“ přípona je známá a systém ji nezobrazí. Uživatel si pak myslí, že se jedná o PDF, ale je to třeba EXE soubor,” upozorňuje David Pecl.

Podívejte se, jak vám může „zavařit“ škodlivý software nebo ransomware. Přečtěte si tyto články: 

Krizový manuál: Co dělat krok za krokem, když naletíte phishingu

Pokud máte podezření, že jste se stali obětí phishingu, nepanikařte, ale jednejte rychle. Každá minuta prodlevy dává útočníkům náskok.

1. Okamžitě změňte hesla ke všem důležitým účtům – zejména k e-mailu, bankovnictví a sociálním sítím. Pokud používáte stejné heslo na více místech, změňte ho všude.
2. Kontaktujte svou banku, pokud jste zadali platební údaje. Banka může zablokovat kartu, zmrazit podezřelou platbu a zabránit dalším škodám.
3. Spusťte antivirový sken celého zařízení. Phishingový odkaz mohl do vašeho počítače nebo telefonu stáhnout škodlivý software.
4. Zkontrolujte připojená zařízení – pokud najdete neznámé zařízení, okamžitě ho odpojte.
5. Zapněte dvoufaktorové ověření (2FA) na všech účtech, kde to ještě nemáte. I pokud útočník získá vaše heslo, bez druhého faktoru se k účtu nedostane.
6. Závažný incident nahlaste – Policii ČR (linka 158 nebo online na www.policie.cz) a NÚKIB (Národní úřad pro kybernetickou a informační bezpečnost – nukib.gov.cz). Připravte si kompletní dokumentaci: screenshoty, e-maily, záznamy komunikace.

Checklist: Chytré desatero, jak se bránit před phishingem