Podvodné e-maily (phishing): Jak je rozpoznat a na koho se obrátit
Phishingové útoky dnes představují jednu z nejčastějších forem online kriminality. Cílem útočníků je pomocí podvodných e-mailů vylákat citlivé údaje, jako jsou přihlašovací jména, hesla nebo informace o platebních kartách. Phishing je čím dál sofistikovanější a bohužel stále účinnější.
Co je phishing a jak funguje?
Phishing je forma podvodného jednání, kdy útočník napodobuje komunikaci důvěryhodné organizace, aby uživatele přiměl k odhalení důvěrných informací. Nejčastěji se používají e-maily, ale čím dál častěji se phishing přesouvá i na sociální sítě, SMS zprávy a telefonní hovory.
Nejčastější typy phishingových útoků
- E-mailový phishing: Nejběžnější forma. E-mail vypadá jako od vaší banky, poskytovatele e-mailu či online obchodu.
- Vishing: Phishing pomocí telefonu. Podvodník se vydává např. za pracovníka banky.
- Smishing: Phishing přes SMS zprávy.
- Spear phishing: Cílený phishing na konkrétní osoby ve firmě, často vedení.
Znaky podvodného e-mailu: 8 varovných signálů
- Neznámý odesílatel nebo e-mailová adresa neodpovídající doméně společnosti.
- Naléhavý tón: „Váš účet bude zablokován!“
- Gramatické chyby a podivné formulace.
- Požadavek na zadání údajů či kliknutí na odkaz.
- Odkazy vedoucí mimo oficiální doménu.
- Obecné oslovení typu „Vážený zákazníku“.
- Nevyžádané přílohy s podezřelou příponou.
- Příliš výhodné nabídky nebo informace o výhrách.
PŘEČTĚTE SI: Deaktivujeme váš účet na Facebooku! Sociální sítě zavalila lavina podvodných zpráv
Ukázky podvodných e-mailů a jak je analyzovat
Phishingový e-mail může vypadat překvapivě důvěryhodně. Pozor si dejte na: E-mailovou adresu odesílatele (např. info@csob-bank.info místo @csob.cz); Odkaz, který po najetí myší ukazuje jinou URL, než je uvedená; Naléhavý jazyk a výzvy k okamžitému jednání.
Jak bezpečně zkontrolovat odkaz v e-mailu: Praktický příklad s tlačítkem
Phishingové e-maily často obsahují tlačítka s výzvou ke kliknutí – například „Aktualizovat účet“, „Potvrdit transakci“ nebo „Zobrazit fakturu“. Tato tlačítka mohou vést na škodlivé stránky, které vypadají jako oficiální web banky, doručovací služby nebo e-shopu.
Jak bezpečně zjistit, kam odkaz vede, aniž byste riskovali napadení?
Najeďte myší na tlačítko nebo odkaz – ale NEKLIKEJTE!
Poté klikněte pravým tlačítkem myši na tlačítko.
Vložte zkopírovanou adresu do poznámkového bloku nebo do lišty prohlížeče – ale NEstiskněte Enter!
Pečlivě si adresu přečtěte – pokud doména nevypadá důvěryhodně nebo obsahuje překlepy, jedná se pravděpodobně o phishing.
Vyzkoušejte si to sami! Rozpoznejte podvodný odkaz:
Co dělat, když obdržíte podvodný e-mail
Nikdy na něj neodpovídejte, neklikejte na odkazy a nestahujte přílohy. Takový podvodný e-mail označte jako spam a smažte. Pokud si nejste jisti, kontaktujte přímo oficiální podporu dané společnosti.
DŮLEŽITÉ: Pokud jste již klikli na odkaz nebo zadali své údaje, okamžitě změňte heslo a spusťte antivirovou kontrolu. Pokud došlo k úniku bankovních údajů, kontaktujte svou banku bez odkladu.
Kam phishing nahlásit
- Policie ČR
- Vaše banka
- Poskytovatel e-mailu (Gmail, Seznam…)
- Sdružení CZ.NIC (formulář k nahlášení útoku)
- Mezinárodní Anti-Phishing Working Group
Jak ochránit sebe i firmu: Kompletní kontrolní seznam
Phishingové útoky jsou čím dál sofistikovanější a jejich cílem není jen jednotlivec, ale i celé firmy. Zde je přehled nejdůležitějších bezpečnostních kroků, které vás ochrání před podvodnými e-maily a jinými formami phishingu:
Kontrola domény odesílatele |
Zkontrolujte e-mailovou adresu – drobné odchylky (např. @marf-cz.com místo @marf.cz) často prozradí podvodníka. |
Nikdy neposkytujte citlivé údaje e-mailem |
Banky, e-shopy ani jiné instituce nikdy nežádají o přihlašovací údaje e-mailem. Pokud k tomu dojde, je to phishing. |
Ověření žádostí jiným kanálem |
Zavolejte dotyčné osobě nebo firmě. Nikdy neověřujte podivnou žádost kliknutím na odkaz v e-mailu. |
Pravidelná aktualizace softwaru |
Aktuální antivirový program, firewall a operační systém jsou základem ochrany proti phishingu a dalším hrozbám. |
Školení zaměstnanců |
Lidé jsou nejslabším článkem v zabezpečení. Pravidelná školení výrazně snižují riziko chyb. |
Používání dvoufaktorového ověření (2FA) |
Zabezpečte klíčové účty přidáním druhého kroku – např. SMS nebo aplikace. Útočníkovi samotné heslo stačit nebude. |
Používání správce hesel |
Silná a unikátní hesla pro každý účet jsou zásadní. Správce hesel je bezpečně uloží a usnadní jejich správu. |
Zálohování dat |
Pravidelné zálohy ochrání vaše soubory před ransomwarem a jinými ztrátami dat. |
Nasazení antiphishingových filtrů |
Pokročilé e-mailové brány nebo bezpečnostní software mohou identifikovat a zablokovat podvodné zprávy dříve, než se dostanou k uživatelům. |
Pravidelné testování bezpečnostní politiky |
Penetrační testy, krizové simulace a bezpečnostní audity by měly být součástí každého firemního plánu. |
Časté mýty o phishingu
„Mně se to nestane“ – phishing cílí na každého
- Tohle je jeden z nejnebezpečnějších mýtů. Mnoho lidí si myslí, že nejsou „dost zajímaví“ na to, aby se stali cílem podvodu. Opak je ale pravdou. Phishing funguje právě proto, že útočníci rozesílají stovky tisíc e-mailů denně – nehledají konkrétní oběti, ale kohokoli, kdo se „chytí“. A čím méně podezřívavý člověk jste, tím jste zranitelnější.
„HTTPS = bezpečné“ – i podvodné stránky mají HTTPS
- Dříve platilo, že šifrované weby s HTTPS byly známkou důvěryhodnosti. Dnes už to ale neplatí bez výjimky. Útočníci si mohou zcela běžně pořídit SSL certifikát zdarma a vytvořit tak falešnou stránku, která se tváří jako legitimní. Adresa s „https://“ tedy sama o sobě není zárukou bezpečnosti – vždy si ověřte i celou URL adresu, doménu a další detaily.
„E-mail je od známé firmy“ – ale možná není od ní
- Phishingové e-maily často napodobují známé společnosti jako jsou banky, e-shopy, doručovací služby nebo poskytovatelé softwaru. Vypadají přesvědčivě – používají logo, barvy a dokonce i jazyk konkrétní značky. Skutečný rozdíl ale poznáte na detailu – třeba v e-mailové adrese odesílatele, která se od oficiální liší o pár znaků (např. info@čsob-bank.cz místo info@csob.cz). Nevěřte vzhledu, ověřujte pravost.
Budoucnost phishingu: Na co se připravit
Phishing už dávno není jen o špatně přeložených e-mailech z neznámé adresy. Útočníci se neustále zdokonalují a využívají nejmodernější technologie. Co tedy přináší budoucnost v oblasti phishingu – a proč byste měli být ve střehu víc než kdy jindy?
Umělá inteligence (AI) v rukou podvodníků
Moderní phishingové kampaně využívají AI k psaní dokonale gramatických a stylisticky přirozených e-mailů. Útočníci již nejsou odkázáni na překladače – texty generované pomocí nástrojů umělé inteligence působí důvěryhodně a odpovídají stylu cílového jazyka i firmy. AI také pomáhá při hledání slabin v systému nebo při vytváření falešných webových stránek.
Chcete vědět více o AI? PŘEČTĚTE SI: Umělá inteligence: Dobrý sluha, ale špatný pán
Deepfake hlasy a videa
Technologie deepfake umožňuje napodobit lidský hlas nebo dokonce i vzhled. Vishingové útoky (phishing přes telefon) tak mohou využívat falešné hlasové zprávy, které se tváří jako volání od vašeho nadřízeného, banky či policie. V některých případech se už objevily i deepfake videa – například falešný videohovor se „známou osobou“, která žádá o pomoc.
* Obrázek je vygenerován umělou inteligencí
Přečtěte si více o falešném Bradu Pittovi: Naletěla falešnému Bradovi Pittovi, na léčbu jeho „rakoviny“ poslala miliony
Extrémní personalizace útoků
Útočníci dnes využívají data ze sociálních sítí, veřejných rejstříků a prolomených účtů. Výsledkem je tzv. spear phishing – extrémně cílený útok na konkrétní osobu. Takové e-maily mohou působit, jako by je psal kolega, klient nebo obchodní partner. V budoucnu bude personalizace ještě dokonalejší, protože technologie umožňují snadno spojovat různé digitální stopy.
Nečekejte, až se stanete obětí
Phishing je tichý predátor, který útočí nepozorovaně – skrývá se za důvěryhodnou značkou, známou tváří nebo neškodnou zprávou. Právě v tom spočívá jeho síla – a naše zranitelnost. Většina obětí si uvědomí, že něco není v pořádku, až když už je pozdě: účet je prolomený, peníze pryč, reputace ohrožená.
Nepodceňujte signály. Nečekejte na první útok. Jednejte preventivně.
-
Vzdělávejte sebe i své kolegy – i základní školení kybernetické bezpečnosti může zabránit obrovským ztrátám.
-
Implementujte bezpečnostní nástroje – antiviry, e-mailové filtry, dvoufaktorové ověřování.
-
Nastavte interní procesy pro ověřování důležitých žádostí a plateb.
-
Sledujte trendy a techniky, které kyberzločinci používají – protože se vyvíjejí stejně rychle jako technologie, které chrání vaše data.
Každý den, kdy podceňujete riziko, hrajete s útočníky ruskou ruletu. Není otázkou, jestli, ale kdy někdo zaklepe na vaše digitální dveře.