Phishing: jak poznat podvod a co dělat, když kliknete
Dostanete e-mail od banky. Vypadá úplně normálně — logo, správné barvy, vaše jméno v oslovení. „Zaznamenali jsme podezřelou aktivitu na vašem účtu. Klikněte zde pro ověření.”
Kliknete. Zadáte heslo. A právě jste ho dali někomu, komu jste nechtěli.
Phishing je nejstarší trik na internetu — a pořád funguje. Ne proto, že by lidé byli hloupí. Ale proto, že útočníci jsou čím dál lepší.
Co je phishing a proč funguje
Phishing je podvod, kde vás někdo přesvědčí, abyste mu dobrovolně dali to, co chce — hesla, přístupové údaje, peníze. Název pochází z anglického „fishing” — rybaření. Útočník hodí návnadu a čeká, kdo zabere.
Funguje to, protože zneužívá dvě věci: důvěru (e-mail vypadá legitimně) a strach (pokud nebudete jednat okamžitě, přijdete o účet/peníze/data).
Druhy phishingu
Hromadný phishing
Miliony e-mailů rozeslaných naráz. „Vaše zásilka čeká na potvrzení.” „Vaše bankovní konto bylo zablokováno.” Gramatické chyby, generická oslovení, podivné adresy. Úspěšnost kolem 0,1 % — ale z milionu příjemců to je tisíc obětí.
Spear phishing — cílený útok
Tady to začíná být nebezpečné. Útočník ví, kdo jste. Používá vaše jméno, zná vaši pozici, odkazuje na nedávné události. „Ahoj Jirko, posílám prezentaci z včerejší schůzky.” Vypadá to jako zpráva od kolegy. Úspěšnost? Až 70 %.
Whaling — útok na velké ryby
Cílený na ředitele, politiky, novináře. Maximálně personalizovaný. E-mail „od ministra” s žádostí o urgentní schválení.
Smishing — SMS phishing
„Vaše zásilka DHL čeká na potvrzení. Klikněte zde.” SMS se zdá osobnější než e-mail, tak jí víc lidí věří.
Vishing — telefonní phishing
„Dobrý den, volám z vaší banky. Zaznamenali jsme podezřelou aktivitu…” Moderní varianta používá AI klonování hlasu — zavolá vám „šéf” hlasem, který od skutečného nerozeznáte.
Jak poznat falešný e-mail
Odesílatel
- Zkontrolujte celou e-mailovou adresu. Ne jen jméno, ale doménu za zavináčem.
- „podpora@ceskaposta.cz” vs „podpora@ceskaposta-doporuceno.com” — ta druhá je falešná.
- Překlepy v doméně: „amaz0n.com” místo „amazon.com”.
Obsah
- Urgence. „OKAMŽITĚ!” „Poslední varování!” „Zablokování do 24 hodin!” Skutečné firmy takhle nekomunikují.
- Generické oslovení. „Vážený zákazníku” místo vašeho jména.
- Gramatické chyby. Banky mají redaktory.
- Podivné přílohy. ZIP, EXE, makro-enabled XLSX — nikdy neotevírejte.
Odkazy
- Najeďte myší na odkaz bez kliknutí — v dolním rohu prohlížeče uvidíte skutečnou adresu.
- Skutečná doména je ta poslední před lomítkem. V adrese
https://banka.cz.prihlaseni.example/…je skutečná doménaprihlaseni.example, nebanka.cz.
Co dělat, když jste klikli
Nepanikařte. Ale jednejte rychle.
1. Odpojte internet. WiFi pryč, kabel ven. Zastavíte komunikaci se serverem útočníka.
2. Nezadali jste heslo? Zavřete stránku. Spusťte antivir. Pravděpodobně jste OK.
3. Zadali jste heslo?
- Změňte ho okamžitě — na tom účtu i všude, kde máte stejné heslo.
- Zapněte dvoufaktorovou autentizaci (2FA).
- Zkontrolujte, jestli útočník nepřidal vlastní zařízení nebo přesměrování.
4. Stáhli jste přílohu? Předpokládejte infekci. Antivir, celý sken. V extrémním případě reinstalace systému.
5. Nahlaste to.
- Platformě (Gmail, banka)
- CERT.CZ (csirt.cz) — český tým pro kybernetickou bezpečnost
- Policii — pokud došlo ke krádeži peněz nebo dat
Právní rámec
Phishing spadá pod několik paragrafů trestního zákoníku (zák. č. 40/2009 Sb.):
| Trestný čin | Paragraf | Trest |
|---|---|---|
| Podvod | § 209 TZ | Až 2 roky (základ), až 10 let (škoda velkého rozsahu) |
| Neoprávněný přístup k počítačovému systému | § 230 TZ | Až 2 roky (základ), až 8 let (škoda velkého rozsahu) |
| Poškození cizích práv | § 181 TZ | Až 2 roky, přes internet až 3 roky |
U organizovaných skupin se sazby výrazně zvyšují. A pokud jde o phishing cílený na více osob současně, kvalifikace jde nahoru.
Jak se chránit
Základní pravidla (pro každého)
Nikdy neklikejte na odkazy v e-mailech. Otevřete prohlížeč a adresu napište ručně. Nebo odkaz zkontrolujte najetím myší.
Ověřte odesílatele jinudy. Zavolejte kolegovi, bance, šéfovi — ale ne na číslo z podezřelého e-mailu. Najděte číslo sami.
Používejte 2FA na všech důležitých účtech. Autentikační aplikace (Google Authenticator, Authy) je bezpečnější než SMS.
Jedinečné heslo pro každý účet. Správce hesel (Bitwarden, KeePassXC) — nikdy stejné heslo dvakrát.
Buďte skeptičtí k urgentnosti. Banka vám nepošle „POSLEDNÍ VAROVÁNÍ” e-mailem. Firmy volají. A i když volají — ověřte.
Pro novináře a veřejně činné osoby
Jste vyšší riziko. Spear phishing cílí na vás, protože vaše kontakty, zdroje a rozdělaná práce mají hodnotu.
- Oddělené zařízení pro citlivou komunikaci (viz i bezpečnost mobilu)
- Pravidelné školení celé redakce
- Audit přihlášených zařízení a oprávnění aplikací
Shrnutí
| Pravidlo | Proč |
|---|---|
| Neklikejte na odkazy v e-mailech | Adresu napište ručně |
| Ověřte odesílatele jinudy | Zavolejte, neodpovídejte |
| 2FA na všech účtech | I s ukradeným heslem se útočník nedostane dál |
| Jedinečná hesla | Kompromitace jednoho účtu nesmí ohrozit ostatní |
| Skepticismus k urgentnosti | Strach je hlavní zbraň phishingu |
Phishing se zlepšuje — AI generuje lepší texty, hlasové klony znějí reálně, e-maily vypadají profesionálně. Ale základní obrana je pořád stejná: zastavte se, ověřte, neklikejte naslepo.
Naše práce stojí čas, peníze a nervy. Pomoz nám pokračovat.
