Phishing — falešné zprávy a stránky
Falešná stránka nebo zpráva, která tě má přimět vyplnit citlivé údaje.
Co to je
Útočník napodobí důvěryhodnou službu (banka, e-mail, dodavatel) a pošle ti odkaz na podvrženou stránku, kde se snaží získat tvoje heslo nebo údaje o platební kartě. Často hraje na časový tlak („účet bude zablokován") nebo strach.
Proč to záleží
Phishing je dnes nejčastější vstupní bod pro krádež identity i firemní úniky. Klíčová obrana: ověř URL adresu, používej password manager (nevyplní ti heslo na falešné doméně), zapni 2FA.
Jak útok funguje
Typický scénář vypadá takhle:
- Spouštěč — dostaneš e-mail, SMS nebo zprávu na sociální síti. Vypadá jako od banky, ČP, kurýrní služby, kolegy nebo IT supportu. Téma vždy vytváří tlak na rychlou reakci: "podezřelá platba", "zásilka čeká na doplatek 49 Kč", "tvůj účet bude zablokován".
- Odkaz — text obsahuje tlačítko nebo URL. Doména je vizuálně podobná originálu (
postacz.commístopostaonline.cz,ceska-sporitelna-zabezpeceni.commístocsas.cz, anebo využití subdomény:csas.cz.login-zabezpeceni.tk). - Landing page — stránka, na kterou klikneš, je 1:1 kopie originální přihlašovací stránky. Vyplníš e-mail a heslo. V tu chvíli útočník data má.
- Eskalace — útočník se okamžitě přihlásí na pravou stránku, často rozhraní obejde dvoufaktor přes proxy (zachytí i 6-místný kód, který právě vepíšeš). Pak přesune peníze, rozešle phishing dál z tvého účtu nebo si změní heslo a vyhne se obnově.
Varianty:
- Smishing — phishing přes SMS ("Česká pošta: zaplaťte 49 Kč doplatku za doručení"). V ČR aktuálně dominantní vektor.
- Vishing — telefonát "z banky", který tě nasměruje na URL. Útočník zní profesionálně, zná tvé jméno a část čísla účtu (z předchozího úniku).
- Spear phishing — cílený útok, kde útočník zná tvou pozici ve firmě, kolegy, projekt. Mail vypadá jako interní komunikace ("schválit fakturu do 17:00").
- BEC (Business Email Compromise) — útočník se vydává za CEO nebo CFO a žádá rychlou platbu na nový účet. Cílí typicky na účetní a finanční oddělení.
Jak se chránit
Před kliknutím — všechno, co tě navádí k akci, ber jako podezřelé:
- Najeď myší na odkaz (na mobilu podrž prst) a zkontroluj skutečnou doménu, ne text odkazu. Banka tě nikdy nepošle na
ceska-sporitelna-login.com, jen nacsas.cza její oficiální subdomény. - Nikdy se nepřihlašuj z odkazu v mailu — otevři si banku/službu z vlastní záložky nebo přes ručně napsanou URL. Když to opravdu má být ono, najdeš to v hlavním rozhraní.
- Zpráva zní naléhavě? Naléhavost je nejčastější trik. Zavolej na ověřené číslo (z karty, z webu — ne z té zprávy) a zeptej se.
Při přihlašování — používej nástroje, které phishing zachytí samy:
- Password manager (viz password-manager) ti heslo na falešné doméně nedoplní. To je tvůj nejsilnější signál — když ti 1Password / Bitwarden / Apple Passwords nevyplní heslo automaticky, hovor končí. Něco je špatně.
- Passkey (viz passkey) je phishing-resistant z principu — funguje jen na originální doméně. Tam, kde to služba nabízí, je passkey lepší než heslo + 2FA.
- 2FA (viz 2fa) ti dá druhou pojistku. Pro citlivé účty preferuj aplikační kód nebo hardware klíč, ne SMS (viz sim-swapping).
Po kliknutí (když už se to stalo):
- Zavři kartu, neopravuj — okamžitě změň heslo té služby. Z jiného zařízení, pokud možno.
- Zapni 2FA, pokud nebylo.
- Zkontroluj poslední aktivitu — neoprávněné přihlášení, nové zařízení, přesměrování e-mailu.
- Jestli šlo o banku — zavolej na linku banky a nech zablokovat účet. Banky mají speciální linku 24/7.
- Nahlas to — ve firmě IT/security, jinak NÚKIB nebo Policii ČR (kybernetický odbor).
Časté mýty
Mýtus"Phishing pozná každý — vidím to na první pohled."
RealitaModerní phishing je vizuálně k nerozeznání od originálu. Útočníci kopírují přesné HTML, fonty, loga, dokonce zachytávají reálné maily a podstrkují k nim odkazy. "Já to nezamhouřím" je nejnebezpečnější přesvědčení — i odborníci na bezpečnost občas kliknou. Hlavní obrana není "rozpoznám podvod", ale technický backstop: password manager + 2FA + zdravá nedůvěra k naléhavým zprávám.
Mýtus"Mám antivirus, ten mě ochrání."
RealitaAntivirus brání před spustitelným malwarem (přílohy, .exe, makra). Klasický phishing **neobsahuje malware** — jen tě nasměruje na podvrženou stránku, kde dobrovolně vyplníš heslo. Antivirus o tom neví. Browser warning (Google Safe Browsing) zachytí část phishingu, ale ne čerstvý — útočníci registrují nové domény denně.
Mýtus"Stačí mi neotvírat přílohy."
RealitaKlasický phishing přílohy nepotřebuje — stačí mu jeden odkaz. Útok se odehrává v prohlížeči na podvržené stránce, kterou si otevřeš sám. Pravidlo "neotvírej neznámé přílohy" je správné (chrání před malwarem), ale phishing zachytí samostatně.
Quick checklist
Před kliknutím na jakýkoli odkaz:
- Najel jsem myší / podržel jsem prst, vidím skutečnou doménu?
- Doména je přesně ta, kterou znám (
csas.cz, necsas.cz.login.com)? - Zní zpráva podezřele naléhavě? Když ano, ověřit kanálem mimo tu zprávu.
Při přihlašování:
- Můj password manager mi heslo doplnil automaticky? (Když ne — pozor.)
- Mám zapnutý 2FA, ideálně aplikační nebo hardware klíč, ne SMS?
- U citlivých účtů (banka, e-mail, firemní) zvážit passkey, kde je dostupný.
Když ses spletl:
- Hned změnit heslo (z jiného zařízení).
- Zapnout 2FA, jestli ještě nebylo.
- Zkontrolovat poslední aktivitu na účtu (nové zařízení, přesměrování mailu).
- Banka? Zavolat na oficiální linku banky a zablokovat účet.
- Nahlásit IT / NÚKIB / Policii ČR.
Podobná témata
Souvisí s kategoriemi v testu: Rozpoznání podvodných zpráv, Bezpečnost emailového účtu, Falešné zprávy v messengerech
Jaký byl tenhle článek?
Reakce jsou anonymní — pomáhají nám psát další články líp.
Najdeš chybu nebo máš dotaz? Napiš nám.