Dnešní phishing se vyvinul v komplexní scénář. Útočníci už neposílají jen jeden podvodný e-mail, ale kombinují více kanálů. Čerstvý případ z letošního března ukazuje, jak žena z Ústecka přišla o 24 milionů korun.
Co je to phishing?Jde o rafinovaný způsob psychologické manipulace. Útočník se v e-mailu či zprávě vydává za někoho, komu věříte (banku, úřad nebo i kolegu), a snaží se vás vmanévrovat do situace, kdy mu sami odevzdáte svá hesla, údaje ke kartě nebo citlivá data.
|
Útok nezačal kliknutím na odkaz, ale telefonátem od falešného policisty (vishing). Ten následně s obětí komunikoval přes WhatsApp, kam jí zaslal i falešné dokumenty a výzvu k podání vysvětlení. Celý scénář vyvrcholil několikahodinovým videohovorem, během kterého žena pod tlakem potvrdila 51 odchozích plateb.
„Mnozí si určitě říkají, že je to pořád dokola a vlastně už ani není možné, aby se to mohlo ještě někomu stát. Policejní statistiky však bohužel ukazují opak. Veřejnost je neustále upozorňována na narůstající počet sofistikovaných podvodů, při kterých se pachatelé vydávají za policisty nebo zaměstnance bank. Cílem těchto útoků je získat důvěru, dostat oběť do stresu a časové tísně a poté ji připravit o finanční prostředky,“ podotkl mluvčí ústecké krajské policie Tomáš Frolík.
Podle statistik FBI způsobil tento typ podvodů (BEC) jen za rok 2023 celosvětové škody ve výši 2,9 miliardy dolarů.
Falešná CAPTCHA a ClickFix: Když si malware spustíte sami
Zatímco dříve byly hitem jednoduché podvodné odkazy, dnes dominují sofistikované metody sociálního inženýrství. Příkladem je technika ClickFix – meziroční nárůst detekcí o více než 500 % jasně ukazuje, že útočníci vsadili na psychologii: už vás nelákají jen na falešný web, ale dotlačí vás k tomu, abyste škodlivý kód v systému nevědomky spustili úplně sami.
Jak to funguje? Na kompromitovaném webu se zobrazí falešná CAPTCHA nebo chybová hláška (např. v prohlížeči nebo u MS Teams). Stránka vás instruuje, abyste „pro opravu chyby“ stiskli kombinaci kláves Win+R, vložili připravený text ze schránky a potvrdili. Ve skutečnosti tím však vložíte a spustíte škodlivý příkaz v PowerShellu, který do systému nainstaluje malware.
Tuto techniku dnes masivně využívají i sofistikované hackerské skupiny jako Lazarus nebo MuddyWater. To jen potvrzuje, že ClickFix není amatérským pokusem, ale profesionálním nástrojem, který dokáže obejít i pokročilé bezpečnostní systémy.
Proč už dobrá čeština nic negarantuje? AI si nevybírá, komu pomáhá
Dříve byla hlavním znakem, jak poznat phishingový mail, špatná gramatika. To už v roce 2026 neplatí. Útočníci používají generativní AI k tomu, aby jejich text vypadal naprosto přirozeně, profesionálně a bezchybně.
Dnešní spam v Česku je graficky i jazykově nerozeznatelný od oficiální komunikace Finanční správy nebo banky. Útočníci dokonce dokážou napodobit styl psaní vašeho kolegy, což je podstata interního spear phishingu.
Jak poznat phishing a nenaletět na podvod?
Přestože jsou útoky sofistikovanější, stále existují varovné signály, které vám pomohou odhalit podvod včas:
- Podezřelý (hyper)link: Vždy najeďte myší na odkaz, aniž byste na něj klikli. Pokud adresa v bublině neodpovídá oficiální doméně instituce, je to podvod.
- Adresa odesílatele: Na první pohled může vypadat jako bankovní podpora, ale po rozkliknutí uvidíte nesmyslnou adresu z cizí domény.
- Časový nátlak a strach: Výzvy typu „váš účet bude za hodinu zablokován“ nebo „máte přeplatek na dani, který vyprší“ jsou typickým znakem manipulace.
- Neobvyklé požadavky: Legitimní služba po vás nikdy nebude chtít, abyste otevírali PowerShell, kopírovali příkazy do terminálu nebo zadávali heslo do nečekaného vyskakovacího okna.
Jak poznat phishingový e-mail v praxi?
Pokud vám přijde nečekaný e-mail, zachovejte chladnou hlavu. Hackeři často zneužívají aktuální témata – například vrácení daní, jak varovala i Finanční správa ČR. „Finanční správa nikdy nezasílá výzvy k platbě prostřednictvím e-mailu nebo SMS. Pokud poplatník dostane zprávu s požadavkem na platbu, která není z adresy končící @fs.gov.cz, je velmi pravděpodobné, že se jedná o podvod,“ uvedla generální ředitelka Finanční správy ČR Simona Hornochová.
Prevence: Obezřetnost jako nejlepší obrana
Ačkoliv firmy investují nemalé prostředky do špičkového softwaru, v konečném důsledku často rozhoduje lidský faktor. „Technologie jsou dnes na vysoké úrovni, ale nejefektivnější obranou zůstává informovaný uživatel, který dokáže včas rozpoznat manipulativní techniky,“ vysvětluje Jakub Souček, vedoucí výzkumného týmu v pražské pobočce společnosti ESET.
Nezapomínejte, že v digitálním souboji o vaše data vyhrává především ten, kdo se nenechá vmanipulovat do ukvapené akce.
