Phishing – co to je, jak ho rozpoznat a jak se bránit

Co je phishing

Phishing (čteme „fišing“, anglicky doslova „rybaření“) je typ kybernetického podvodu, při kterém útočník napodobuje důvěryhodnou organizaci a snaží se z oběti vylákat:

• Přihlašovací údaje (email a heslo, bankovní login)
• Číslo platební karty + CVV + datum expirace
• Osobní údaje (rodné číslo, číslo OP, datum narození, adresa)
• Přímý převod peněz (na „bezpečný účet“, jako „doplatek poplatku“)
• Spuštění škodlivého softwaru (klikem na odkaz nebo otevřením přílohy)

Útočník typicky napodobuje vizuální identitu cíle (loga, fonty, formulace), využívá tlak na naléhavost („účet vám bude zablokován“, „dnes vyprší platnost“) a apeluje na emoce – strach, chamtivost, zvědavost. Phishing existuje od 90. let, ale s nástupem AI nástrojů (které generují přesvědčivé texty bez chyb) se v posledních 2 letech rapidně zhoršil.

Roční škody způsobené phishingem se v ČR pohybují v řádu stovek milionů korun. Globálně podle FBI IC3 zprávy se jedná o jednotky až desítky miliard dolarů ročně.

Typy phishingových útoků

Jak rozpoznat phishing email

Sedm klíčových signálů, které by vám měly rozsvítit červenou kontrolku:

Nejčastější scénáře v ČR

V Česku se opakovaně objevují tyto phishingové vlny:

Co dělat, když jsem klikl

Postup závisí na tom, co jste udělali. Nepanikařte, ale jednejte rychle:

A) Jen jsem klikl na odkaz, nic jsem nezadal

• Zavřete kartu/okno bez zadávání čehokoli
• Aktualizujte antivir a proveďte plný sken (Windows Defender, ESET, Avast)
• Zkontrolujte přihlášení podezřelých zařízení v emailu, bance, sociálních sítích
• Pokud jste byli na podvodné stránce, můžete ji nahlásit na NÚKIB

B) Zadal jsem přihlašovací údaje (heslo)

• Okamžitě změňte heslo k danému účtu
• Změňte heslo i u všech ostatních účtů, kde používáte stejné nebo podobné heslo
• Zapněte dvoufaktorové ověření (autentizační aplikace, ne SMS)
• Zkontrolujte aktivitu na účtu – přihlášení, změny, transakce
• Pokud jde o email, zkontrolujte, zda nejsou nastavená přesměrování zpráv (filtry)

C) Zadal jsem číslo karty

• Okamžitě zablokujte kartu (přes mobilní aplikaci nebo telefonem do banky)
• Vyžádejte si vystavení nové karty
• Sledujte transakce – pokud něco neoprávněného, reklamace v bance
• Změňte heslo k internetovému bankovnictví

D) Převedl jsem peníze

Jak se chránit – základní pravidla

• Dvoufaktorové ověření (2FA) všude, kde to jde – primárně přes autentizační aplikaci, ne SMS
• Správce hesel (1Password, Bitwarden, KeePass) – generuje a ukládá unikátní hesla pro každý účet. Bonus: nevyplní heslo na podvodné doméně.
• Aktualizace – operační systém, prohlížeč, antivir, aplikace
• Antivirus – Windows Defender stačí pro většinu uživatelů, doplnit oznámení o phishingu
• Záloha dat – v případě ransomware útoku jediná spolehlivá obrana (3-2-1 pravidlo: 3 kopie, 2 různá média, 1 mimo lokalitu)
• Zdravá nedůvěra – nikdy nepředpokládejte, že email od „banky“ je skutečně od banky. Ověřte přes oficiální kanál.
• Neotvírejte neočekávané přílohy – ani od známých (jejich účet mohl být napaden)
• Pravidelná edukace – sebe, rodiny, kolegů. Phishing se vyvíjí, znalost je obrana.

Ochrana seniorů

Senioři jsou pro útočníky prioritní cíl – často mají úspory, méně zkušeností s digitálními technologiemi a vyšší míru důvěry. Z mé praxe u Policie ČR vím, že naprostá většina podvodů na seniorech nesměřuje k „zarabování na drobnostech“, ale k vyprázdnění celého kontaktního účtu nebo úspor.

Pravidla pro seniora

• Banka NIKDY netelefonuje a nežádá o heslo nebo o převod na „bezpečný účet“. Pokud někdo volá, je to podvod.
• Policie nikdy nežádá o převod peněz. Žádný operativec, žádný „technik České národní banky“.
• Vnoučata nevolají s prosbou o peníze. Pokud volají, požádejte o jméno a zavolejte zpět na známé číslo.
• Nikdy nenechte cizí osoby do bytu. Ani „úředníky“ (vodárny, plynárny). Vše ověřte telefonicky přes oficiální linku.
• Nikdy nepouštějte cizí osoby k počítači ani vzdáleně (TeamViewer, AnyDesk).
• Při pochybnostech VŽDY zavolejte rodině. Důvěryhodný kontakt v adresáři jako „SOS“.

Pravidla pro rodinu

• Pravidelně si se seniorem povídejte o aktuálních podvodech (jednou měsíčně)
• Nastavte denní limit pro online platby (často může jen banka po žádosti)
• Pomozte zapnout dvoufaktorové ověření
• Buďte „pohotovostní kontakt“ – senior musí vědět, že vás může v krizi zavolat bez výčitek
• Pokud má senior demenci nebo počínající kognitivní obtíže, zvažte společný účet nebo svěřenskou správu

Realizuji preventivní přednášky o podvodech pro domovy seniorů a kluby důchodců po celé ČR. Konkrétní případy z mé praxe, srozumitelný jazyk, prostor pro dotazy. Často přednáším i pro personál sociálních služeb.

Phishing ve firmě

Firmy jsou cílem především spear phishingu a CEO fraud útoků. Typické scénáře:

• „Email od jednatele“ účetní oddělení – „Převeďte 200 tis. na účet, je to pro nového dodavatele, urgentní“
• „Faktura“ od existujícího dodavatele s pozměněným číslem účtu (man-in-the-middle)
• „IT support“ – žádost o heslo nebo instalaci „aktualizace“ (vzdálený přístup, ransomware)
• Hromadné phishing kampaně cílené na zaměstnance konkrétního oboru (banky, advokáti, lékaři)

Účinná firemní obrana stojí na třech pilířích:

1. Technologie – email gateway s anti-phishing filtry, MFA na všech účtech, EDR/XDR endpoint ochrana
2. Procesy – „dvouokruhové“ schvalování plateb nad limit, ověření změny účtu telefonicky (ne emailem), incident response plan
3. Lidé – pravidelná školení (alespoň 2× ročně), simulované phishing kampaně k testování bdělosti, jasná pravidla pro nahlašování podezřelých zpráv

Trestněprávní rovina

Phishing není v českém trestním zákoníku samostatný trestný čin, ale jeho projevy naplňují skutkovou podstatu několika trestných činů:

Trestní oznámení podejte na nejbližší oddělení Policie ČR, v případě komplexních kybernetických případů na specializované pracoviště NCOZ (Národní centrála proti organizovanému zločinu). Příprava: shromáždit všechny důkazy (zprávy, screenshoty, čísla účtů, časovou osu, výpisy z bank).

Časté dotazy