Přeskočit na obsah
OwlGuardScore

Phishing — falešné zprávy a stránky

Falešná stránka nebo zpráva, která tě má přimět vyplnit citlivé údaje.

Co to je

Útočník napodobí důvěryhodnou službu (banka, e-mail, dodavatel) a pošle ti odkaz na podvrženou stránku, kde se snaží získat tvoje heslo nebo údaje o platební kartě. Často hraje na časový tlak („účet bude zablokován") nebo strach.

Proč to záleží

Phishing je dnes nejčastější vstupní bod pro krádež identity i firemní úniky. Klíčová obrana: ověř URL adresu, používej password manager (nevyplní ti heslo na falešné doméně), zapni 2FA.

Jak útok funguje

Typický scénář vypadá takhle:

  1. Spouštěč — dostaneš e-mail, SMS nebo zprávu na sociální síti. Vypadá jako od banky, ČP, kurýrní služby, kolegy nebo IT supportu. Téma vždy vytváří tlak na rychlou reakci: "podezřelá platba", "zásilka čeká na doplatek 49 Kč", "tvůj účet bude zablokován".
  2. Odkaz — text obsahuje tlačítko nebo URL. Doména je vizuálně podobná originálu (postacz.com místo postaonline.cz, ceska-sporitelna-zabezpeceni.com místo csas.cz, anebo využití subdomény: csas.cz.login-zabezpeceni.tk).
  3. Landing page — stránka, na kterou klikneš, je 1:1 kopie originální přihlašovací stránky. Vyplníš e-mail a heslo. V tu chvíli útočník data má.
  4. Eskalace — útočník se okamžitě přihlásí na pravou stránku, často rozhraní obejde dvoufaktor přes proxy (zachytí i 6-místný kód, který právě vepíšeš). Pak přesune peníze, rozešle phishing dál z tvého účtu nebo si změní heslo a vyhne se obnově.

Varianty:

  • Smishing — phishing přes SMS ("Česká pošta: zaplaťte 49 Kč doplatku za doručení"). V ČR aktuálně dominantní vektor.
  • Vishing — telefonát "z banky", který tě nasměruje na URL. Útočník zní profesionálně, zná tvé jméno a část čísla účtu (z předchozího úniku).
  • Spear phishing — cílený útok, kde útočník zná tvou pozici ve firmě, kolegy, projekt. Mail vypadá jako interní komunikace ("schválit fakturu do 17:00").
  • BEC (Business Email Compromise) — útočník se vydává za CEO nebo CFO a žádá rychlou platbu na nový účet. Cílí typicky na účetní a finanční oddělení.

Jak se chránit

Před kliknutím — všechno, co tě navádí k akci, ber jako podezřelé:

  • Najeď myší na odkaz (na mobilu podrž prst) a zkontroluj skutečnou doménu, ne text odkazu. Banka tě nikdy nepošle na ceska-sporitelna-login.com, jen na csas.cz a její oficiální subdomény.
  • Nikdy se nepřihlašuj z odkazu v mailu — otevři si banku/službu z vlastní záložky nebo přes ručně napsanou URL. Když to opravdu má být ono, najdeš to v hlavním rozhraní.
  • Zpráva zní naléhavě? Naléhavost je nejčastější trik. Zavolej na ověřené číslo (z karty, z webu — ne z té zprávy) a zeptej se.

Při přihlašování — používej nástroje, které phishing zachytí samy:

  • Password manager (viz password-manager) ti heslo na falešné doméně nedoplní. To je tvůj nejsilnější signál — když ti 1Password / Bitwarden / Apple Passwords nevyplní heslo automaticky, hovor končí. Něco je špatně.
  • Passkey (viz passkey) je phishing-resistant z principu — funguje jen na originální doméně. Tam, kde to služba nabízí, je passkey lepší než heslo + 2FA.
  • 2FA (viz 2fa) ti dá druhou pojistku. Pro citlivé účty preferuj aplikační kód nebo hardware klíč, ne SMS (viz sim-swapping).

Po kliknutí (když už se to stalo):

  1. Zavři kartu, neopravuj — okamžitě změň heslo té služby. Z jiného zařízení, pokud možno.
  2. Zapni 2FA, pokud nebylo.
  3. Zkontroluj poslední aktivitu — neoprávněné přihlášení, nové zařízení, přesměrování e-mailu.
  4. Jestli šlo o banku — zavolej na linku banky a nech zablokovat účet. Banky mají speciální linku 24/7.
  5. Nahlas to — ve firmě IT/security, jinak NÚKIB nebo Policii ČR (kybernetický odbor).

Časté mýty

  • Mýtus"Phishing pozná každý — vidím to na první pohled."

    RealitaModerní phishing je vizuálně k nerozeznání od originálu. Útočníci kopírují přesné HTML, fonty, loga, dokonce zachytávají reálné maily a podstrkují k nim odkazy. "Já to nezamhouřím" je nejnebezpečnější přesvědčení — i odborníci na bezpečnost občas kliknou. Hlavní obrana není "rozpoznám podvod", ale technický backstop: password manager + 2FA + zdravá nedůvěra k naléhavým zprávám.

  • Mýtus"Mám antivirus, ten mě ochrání."

    RealitaAntivirus brání před spustitelným malwarem (přílohy, .exe, makra). Klasický phishing **neobsahuje malware** — jen tě nasměruje na podvrženou stránku, kde dobrovolně vyplníš heslo. Antivirus o tom neví. Browser warning (Google Safe Browsing) zachytí část phishingu, ale ne čerstvý — útočníci registrují nové domény denně.

  • Mýtus"Stačí mi neotvírat přílohy."

    RealitaKlasický phishing přílohy nepotřebuje — stačí mu jeden odkaz. Útok se odehrává v prohlížeči na podvržené stránce, kterou si otevřeš sám. Pravidlo "neotvírej neznámé přílohy" je správné (chrání před malwarem), ale phishing zachytí samostatně.

Quick checklist

Před kliknutím na jakýkoli odkaz:

  • Najel jsem myší / podržel jsem prst, vidím skutečnou doménu?
  • Doména je přesně ta, kterou znám (csas.cz, ne csas.cz.login.com)?
  • Zní zpráva podezřele naléhavě? Když ano, ověřit kanálem mimo tu zprávu.

Při přihlašování:

  • Můj password manager mi heslo doplnil automaticky? (Když ne — pozor.)
  • Mám zapnutý 2FA, ideálně aplikační nebo hardware klíč, ne SMS?
  • U citlivých účtů (banka, e-mail, firemní) zvážit passkey, kde je dostupný.

Když ses spletl:

  • Hned změnit heslo (z jiného zařízení).
  • Zapnout 2FA, jestli ještě nebylo.
  • Zkontrolovat poslední aktivitu na účtu (nové zařízení, přesměrování mailu).
  • Banka? Zavolat na oficiální linku banky a zablokovat účet.
  • Nahlásit IT / NÚKIB / Policii ČR.

Podobná témata

Souvisí s kategoriemi v testu: Rozpoznání podvodných zpráv, Bezpečnost emailového účtu, Falešné zprávy v messengerech

Jaký byl tenhle článek?

Reakce jsou anonymní — pomáhají nám psát další články líp.

Najdeš chybu nebo máš dotaz? Napiš nám.