Podvodné e-maily (phishing): Jak je rozpoznat a na koho se obrátit

Sekce: Tipy & návody

Phishingové útoky dnes představují jednu z nejčastějších forem online kriminality. Cílem útočníků je pomocí podvodných e-mailů vylákat citlivé údaje, jako jsou přihlašovací jména, hesla nebo informace o platebních kartách. Phishing je čím dál sofistikovanější a bohužel stále účinnější.

Co je phishing a jak funguje?

Phishing je forma podvodného jednání, kdy útočník napodobuje komunikaci důvěryhodné organizace, aby uživatele přiměl k odhalení důvěrných informací. Nejčastěji se používají e-maily, ale čím dál častěji se phishing přesouvá i na sociální sítě, SMS zprávy a telefonní hovory.

Nejčastější typy phishingových útoků

• E-mailový phishing: Nejběžnější forma. E-mail vypadá jako od vaší banky, poskytovatele e-mailu či online obchodu.
• Vishing: Phishing pomocí telefonu. Podvodník se vydává např. za pracovníka banky.
• Smishing: Phishing přes SMS zprávy.
• Spear phishing: Cílený phishing na konkrétní osoby ve firmě, často vedení.

Znaky podvodného e-mailu: 8 varovných signálů

1. Neznámý odesílatel nebo e-mailová adresa neodpovídající doméně společnosti.
2. Naléhavý tón: „Váš účet bude zablokován!“
3. Gramatické chyby a podivné formulace.
4. Požadavek na zadání údajů či kliknutí na odkaz.
5. Odkazy vedoucí mimo oficiální doménu.
6. Obecné oslovení typu „Vážený zákazníku“.
7. Nevyžádané přílohy s podezřelou příponou.
8. Příliš výhodné nabídky nebo informace o výhrách.

PŘEČTĚTE SI: Deaktivujeme váš účet na Facebooku! Sociální sítě zavalila lavina podvodných zpráv

Ukázky podvodných e-mailů a jak je analyzovat

Phishingový e-mail může vypadat překvapivě důvěryhodně. Pozor si dejte na: E-mailovou adresu odesílatele (např. info@csob-bank.info místo @csob.cz); Odkaz, který po najetí myší ukazuje jinou URL, než je uvedená; Naléhavý jazyk a výzvy k okamžitému jednání.

Zobrazit/Skrýt více

Jak bezpečně zkontrolovat odkaz v e-mailu: Praktický příklad s tlačítkem

Phishingové e-maily často obsahují tlačítka s výzvou ke kliknutí – například „Aktualizovat účet“, „Potvrdit transakci“ nebo „Zobrazit fakturu“. Tato tlačítka mohou vést na škodlivé stránky, které vypadají jako oficiální web banky, doručovací služby nebo e-shopu.

Jak bezpečně zjistit, kam odkaz vede, aniž byste riskovali napadení?

 Najeďte myší na tlačítko nebo odkaz – ale NEKLIKEJTE!

 Poté klikněte pravým tlačítkem myši na tlačítko.

Vložte zkopírovanou adresu do poznámkového bloku nebo do lišty prohlížeče – ale NEstiskněte Enter!

Pečlivě si adresu přečtěte – pokud doména nevypadá důvěryhodně nebo obsahuje překlepy, jedná se pravděpodobně o phishing.

Zobrazit/Skrýt více

Vyzkoušejte si to sami! Rozpoznejte podvodný odkaz:

Potvrďte svůj účet

Co dělat, když obdržíte podvodný e-mail

Nikdy na něj neodpovídejte, neklikejte na odkazy a nestahujte přílohy. Takový podvodný e-mail označte jako spam a smažte. Pokud si nejste jisti, kontaktujte přímo oficiální podporu dané společnosti.

DŮLEŽITÉ: Pokud jste již klikli na odkaz nebo zadali své údaje, okamžitě změňte heslo a spusťte antivirovou kontrolu. Pokud došlo k úniku bankovních údajů, kontaktujte svou banku bez odkladu.

Kam phishing nahlásit

• Policie ČR
• Vaše banka
• Poskytovatel e-mailu (Gmail, Seznam…)
• Sdružení CZ.NIC (formulář k nahlášení útoku)
• Mezinárodní Anti-Phishing Working Group

Jak ochránit sebe i firmu: Kompletní kontrolní seznam

Phishingové útoky jsou čím dál sofistikovanější a jejich cílem není jen jednotlivec, ale i celé firmy. Zde je přehled nejdůležitějších bezpečnostních kroků, které vás ochrání před podvodnými e-maily a jinými formami phishingu:

CHCI POMOC OD MARFU

Časté mýty o phishingu

„Mně se to nestane“ – phishing cílí na každého

• Tohle je jeden z nejnebezpečnějších mýtů. Mnoho lidí si myslí, že nejsou „dost zajímaví“ na to, aby se stali cílem podvodu. Opak je ale pravdou. Phishing funguje právě proto, že útočníci rozesílají stovky tisíc e-mailů denně – nehledají konkrétní oběti, ale kohokoli, kdo se „chytí“. A čím méně podezřívavý člověk jste, tím jste zranitelnější.

„HTTPS = bezpečné“ – i podvodné stránky mají HTTPS

• Dříve platilo, že šifrované weby s HTTPS byly známkou důvěryhodnosti. Dnes už to ale neplatí bez výjimky. Útočníci si mohou zcela běžně pořídit SSL certifikát zdarma a vytvořit tak falešnou stránku, která se tváří jako legitimní. Adresa s „https://“ tedy sama o sobě není zárukou bezpečnosti – vždy si ověřte i celou URL adresu, doménu a další detaily.

„E-mail je od známé firmy“ – ale možná není od ní

• Phishingové e-maily často napodobují známé společnosti jako jsou banky, e-shopy, doručovací služby nebo poskytovatelé softwaru. Vypadají přesvědčivě – používají logo, barvy a dokonce i jazyk konkrétní značky. Skutečný rozdíl ale poznáte na detailu – třeba v e-mailové adrese odesílatele, která se od oficiální liší o pár znaků (např. info@čsob-bank.cz místo info@csob.cz). Nevěřte vzhledu, ověřujte pravost.

Budoucnost phishingu: Na co se připravit

Phishing už dávno není jen o špatně přeložených e-mailech z neznámé adresy. Útočníci se neustále zdokonalují a využívají nejmodernější technologie. Co tedy přináší budoucnost v oblasti phishingu – a proč byste měli být ve střehu víc než kdy jindy?

Umělá inteligence (AI) v rukou podvodníků

Moderní phishingové kampaně využívají AI k psaní dokonale gramatických a stylisticky přirozených e-mailů. Útočníci již nejsou odkázáni na překladače – texty generované pomocí nástrojů umělé inteligence působí důvěryhodně a odpovídají stylu cílového jazyka i firmy. AI také pomáhá při hledání slabin v systému nebo při vytváření falešných webových stránek.

Chcete vědět více o AI? PŘEČTĚTE SI: Umělá inteligence: Dobrý sluha, ale špatný pán

Deepfake hlasy a videa

Zobrazit/Skrýt více

* Obrázek je vygenerován umělou inteligencí

Přečtěte si více o falešném Bradu Pittovi: Naletěla falešnému Bradovi Pittovi, na léčbu jeho „rakoviny“ poslala miliony 

Extrémní personalizace útoků

Útočníci dnes využívají data ze sociálních sítí, veřejných rejstříků a prolomených účtů. Výsledkem je tzv. spear phishing – extrémně cílený útok na konkrétní osobu. Takové e-maily mohou působit, jako by je psal kolega, klient nebo obchodní partner. V budoucnu bude personalizace ještě dokonalejší, protože technologie umožňují snadno spojovat různé digitální stopy.

Nečekejte, až se stanete obětí

Phishing je tichý predátor, který útočí nepozorovaně – skrývá se za důvěryhodnou značkou, známou tváří nebo neškodnou zprávou. Právě v tom spočívá jeho síla – a naše zranitelnost. Většina obětí si uvědomí, že něco není v pořádku, až když už je pozdě: účet je prolomený, peníze pryč, reputace ohrožená.

Nepodceňujte signály. Nečekejte na první útok. Jednejte preventivně.

• Vzdělávejte sebe i své kolegy – i základní školení kybernetické bezpečnosti může zabránit obrovským ztrátám.

• Implementujte bezpečnostní nástroje – antiviry, e-mailové filtry, dvoufaktorové ověřování.

• Nastavte interní procesy pro ověřování důležitých žádostí a plateb.

• Sledujte trendy a techniky, které kyberzločinci používají – protože se vyvíjejí stejně rychle jako technologie, které chrání vaše data.

Každý den, kdy podceňujete riziko, hrajete s útočníky ruskou ruletu. Není otázkou, jestli, ale kdy někdo zaklepe na vaše digitální dveře.

CHCI SPOLUPRACOVAT S MARFEM