Phishing už nevypadá jako dřív. Jak se proti němu bránit?

Phishing dnes vypadá jinak, než jak jsme ho znali ještě před pár lety. Útočníci už neposílají jen špatně napsané e-maily s podezřelou přílohou. Zaměřují se na firemní chaty, mobilní aplikace, LinkedIn i WhatsApp. Vydávají se za IT podporu, používají deepfaky, QR kódy a scénáře šité na míru konkrétní firmě i člověku. Co s tím?  

Phishingu se daří. Podle zprávy Verizon Data Breach Investigations Report (DBIR) stál v roce 2024 na počátku 90 % všech úspěšných pokusů o narušení firemní bezpečnosti.  

Průměrná škoda způsobená podvodem, kdy se útočník vydává za kolegu, člena managementu nebo obchodního partnera a snaží se svou oběť zmanipulovat k převodu peněz nebo sdílení citlivých údajů, byla v letech 2022 a 2023 asi 50 000 dolarů (necelých 1,2 milionu korun). 

Jak AI mění phishing 

Zároveň celkový počet phishingových útoků vzrostl podle společnosti SlashNext od nástupu ChatGPT více než 40×. Umělá inteligence totiž umožňuje levně a rychle generovat obrovské množství textu, e‑mailů a zpráv. Přičemž významně stoupá jejich kvalita, včetně té jazykové. A především se zvyšuje míra personalizace, kterou AI podvodníkům nabízí. 

Právě kvůli umělé inteligenci se phishing mění z hromadného spamu na extrémně přesvědčivé „customizované“ útoky. AI využívá veřejně dostupná data z profilů na sociálních sítích, na profesních platformách nebo diskusních fórech, aby pochopila, jak potenciální oběti přemýšlejí. To vede k podvodným e‑mailům, deepfake hovorům nebo útokům na vícefaktorové ověření, jež přesně míří na slabá místa konkrétních lidí.  

Nové typy phishingových útoků  

• Quishing – Útočníci ukrývají škodlivé odkazy do QR kódů, čímž obcházejí běžné e‑mailové filtry. Oběti jsou přesměrovány na falešné přihlašovací stránky nebo si nevědomky stáhnou škodlivý obsah. Tento typ útoku vzrostl v roce 2024 podle HP Wolf Security o 400 %.  
• Cloud-Based Phishing – Falešné přihlašovací stránky napodobují služby jako Microsoft 365, Google Drive nebo DocuSign. Cílem je odcizení přihlašovacích údajů a následné získání přístupu k firemním dokumentům a komunikaci.  
• Záměrné zahlcení MFA požadavky – Útočníci opakovaně posílají žádosti o vícefaktorové ověření, dokud uživatel ze zmatku nebo únavy neklikne na „povolit“. Tím útočník získá přístup do systému i přes aktivní dvoufázové ověření.  

Jak dnes může phishing probíhat? 

1. Útočník si na LinkedIn zjistí, kdo ve firmě odpovídá za fakturace, kdo je CEO a jaká e-mailová doména se používá. 
2. Pomocí AI nástroje vytvoří perfektně formulovanou e-mailovou žádost o „rychlou kontrolu faktury“ od fiktivního dodavatele, podepsanou jménem CEO. E-mail projde přes bránu – není vyhodnocený jako škodlivý, protože neobsahuje přílohu, jen QR kód vedoucí na přihlašovací stránku firemní cloudové služby. 
3. Zaměstnanec QR kód naskenuje mobilem, přihlásí se na podvržené stránce, která vypadá identicky jako Microsoft 365. Údaje se tím odešlou útočníkovi. 
4. Útočník se pokusí přihlásit do reálného účtu – ale vícefaktorové ověřování (MFA) je aktivní. Spustí tedy „bombardování“: během několika minut přijde zaměstnanci více než 20 MFA požadavků. Při jednom z nich ze zmatku klikne na „povolit“. 
5. Útočník získá přístup k reálnému účtu. Stáhne smlouvy, změní číslo účtu na vystavené faktuře a odešle ji reálnému klientovi.  

Co v tomto případě selhalo? E-mail prošel bránou, protože neobsahoval přílohu ani link, QR kód nebyl rozpoznán jako rizikový. MFA nemělo ochranu proti opakovaným požadavkům. A nebyla aktivní behaviorální analýza, která by detekovala podezřelý přístup z nového zařízení. 

5 způsobů, jak zastavit phishing 

Účinná kybernetická ochrana proti phishingu dnes nespočívá v jednom zázračném řešení, ale v systému vzájemně propojených obranných vrstev, které fungují jako síť – zachytí útok v různých fázích, ideálně dřív, než se vůbec dotkne koncového uživatele. Tyto vrstvy by měly spolu komunikovat, sdílet kontext a automatizovaně reagovat. Když jedna selže, další ji zastoupí. Jak taková vícestupňová obrana vypadá v praxi? 

Ochrana kritické infrastruktury? Rozdíly mezi institucemi jsou někdy propastné, říká expertka Monika Kutějová

Ochrana kritické infrastruktury? Rozdíly mezi institucemi jsou někdy propastné, říká expertka Monika Kutějová

Zobrazit článek

1. První linie 

E-mailové brány filtrují e-mailový provoz ještě před doručením. Ověřují identitu odesílatele pomocí protokolů SPF, DKIM a DMARC, a chrání tak uživatele proti technice spoofingu, kdy se útočníci vydávají třeba za falešné ředitele. Brány detekují i skryté manipulace, jako jsou podvržené odkazy, podezřelé vzorce či text.  

2. Kontrola obsahu 

Sandboxing umožňuje přílohu nebo odkaz otevřít nejprve v bezpečném virtuálním prostředí, kde se sleduje její chování (například podezřelé pokusy o přístup do systému). Pokud soubor spustí škodlivý kód, k uživateli se nikdy nedostane.  

URL rewriting odkazy v e-mailu při doručení automaticky „přepíše“ tak, aby vedly nejprve přes bezpečnostní službu, která zkontroluje cílovou stránku v reálném čase. Pokud je nebezpečná, přístup se uživatelům zablokuje.   

3. Kontextové zabezpečení 

AI detekce anomálií sleduje běžné vzorce komunikace a dokáže odhalit odchylky, které člověk často přehlédne. Třeba když zaměstnanec najednou žádá o převod peněz na jiný účet, pokud dojde ke změně stylu psaní u interního kontaktu (může jít o kompromitovaný účet) nebo narazí na neobvyklé přílohy či čas odeslání. 

4. Přístupová kontrola  

Cílem segmentace přístupu a důsledné ověřování identity je omezit rozsah škod, pokud už k útoku dojde. Segmentace a řízení přístupu zajišťují, že uživatel má přístup jen k tomu, co opravdu potřebuje. K jejímu nasazení potřebujete:  

• IAM systém (Identity and Access Management), který umožní přehled a řízení uživatelských oprávnění.  
• Zásady nejnižších oprávnění, které zajišťují, že každý pracovník má přístup jen k minimálním nutným datům nebo systémům, které k práci potřebuje, a nevystavuje společnost zbytečnému riziku.  
• MFA (vícefaktorové ověření), kdy je přihlášení do systému podmíněné nejen heslem, ale třeba i mobilní aplikací, biometrikou nebo jednorázovým kódem.  
• Zero trust architektura, kdy systém automaticky nevěří žádnému zařízení nebo uživateli, a to ani uvnitř sítě.  

5. Monitoring a reakce 

Detekce a reakce v reálném čase hraje klíčovou roli ve chvíli, kdy preventivní vrstvy selžou. Nastupují zde nástroje jako XDR, které propojují data z různých systémů – e-mailů, endpointů, sítě či cloudu – a hledají mezi nimi souvislosti, aby včas odhalily hrozby. NDR monitoruje síťový provoz a dokáže rozpoznat podezřelé chování útočníků pohybujících se uvnitř infrastruktury. A konečně SOAR umožňuje na tyto incidenty reagovat automaticky – zablokováním účtu nebo spuštěním bezpečnostního scénáře, aniž by bylo nutné čekat na manuální zásah.  

10 faktorů, podle kterých si hackeři vybírají oběti. Velikost firmy je pouze jeden z nich

10 faktorů, podle kterých si hackeři vybírají oběti. Velikost firmy je pouze jeden z nich

Zobrazit článek

V čem zastarávají firemní školení? 

Vedle technických opatření však stále musí být součástí bezpečnostní strategie také člověk, zaměstnanec. Ne jako slabina, ale jako poslední, aktivní prvek obrany. Problém je, že právě tady se dnes mnoho firem spoléhá na zastaralá školení, která neodrážejí aktuální povahu hrozeb. 

Podle společnosti Gartner má nějaké školení proti phishingu 90 % organizací. Jenže 70 % zaměstnanců se i po něm chová rizikově.  

Nejslabším článkem kyberobrany je stále člověk

Nejslabším článkem kyberobrany je stále člověk

Zobrazit podcast

Podobný obrázek ukázala studie na UC San Diego Health, která dlouhodobě sledovala, jak zaměstnanci reagují na simulované phishingové útoky. Výsledky byly překvapivé: neexistovala žádná souvislost mezi tím, kdy naposledy zaměstnanci absolvovali školení, a jejich schopností odolat útoku.  

Výzkumníci navíc zjistili, že ani tzv. embedded školení (krátké edukativní stránky zobrazené po kliknutí na testovací podvodný e-mail) nemají výraznější dopad. Většina uživatelů je totiž zavře během několika vteřin.  

Jaké chyby firmy dělají? 

• Školení je příliš obecné a neaktualizované. Nereflektuje aktuální typy hrozeb. Nezohledňuje změny v chování útočníků ani technologické novinky včetně nástupu AI. 
• Školení probíhá jen jednou za rok. Podobná frekvence nestačí k vytvoření dlouhodobého návyku. Lidé zapomenou většinu informací, než se znovu proškolí. 
• Všichni dostávají stejný obsah. Finanční ředitel i technik v terénu. Školení často nebere v potaz konkrétní zranitelnosti různých pozic. 
• Školení je jen formální. Firma ho vnímá jako něco, co se rychle odkliká, abyste dostali čárku. Zaměstnanci nedostávají reálné nástroje nebo situace k trénování. 
• Málo interaktivity. Uživatelé pasivně sledují prezentaci bez aktivní účasti. Chybí prvky jako kvízy, simulace, příklady z praxe nebo zpětná vazba. 
• Školení narušují pracovní rytmus. Podle Harvard Business Review je až 75 % zaměstnanců vnímá jako rušivý prvek běžného pracovního dne. 

Které školicí přístupy fungují?   

Mikroškolení nabízí krátké, pravidelné a snadno zapamatovatelné dávky znalostí. Ideální jsou moduly v délce 3 až 10 minut, s důrazem na formát přizpůsobený mobilním zařízením a opakování v čase. To vše podporuje kontinuitu učení a dlouhodobou retenci.  

Simulace reálných útoků je efektivní metoda, která ale vyžaduje určitou dávku citlivosti. Pokud jsou simulace špatně navržené, mohou způsobit víc škody než užitku: snižují důvěru v management, poškozují morálku, a v některých případech dokonce oslabují bezpečnostní kulturu místo toho, aby ji posílily. Simulace musí odrážet prostředí firmy a realistické hrozby. Nejde o to zaměstnance nachytat. Po odhalení simulace poskytněte krátké vysvětlení a rady, co příště udělat jinak – ideálně hned, kdy je zážitek ještě čerstvý. 

Adaptivní učení formou optimalizace školení podle potřeb jednotlivce. Obsah se dynamicky upravuje na základě role, chování a výsledků uživatele – například finanční ředitel dostane jiný obsah než vývojář. Tím se výrazně zvyšuje míra zapojení i efektivita učení: zaměstnanci se soustředí na témata, která odpovídají jejich pracovnímu kontextu, rizikovému profilu a předchozím znalostem.  

Gamifikace využívá herní principy – jako je sbírání bodů, odznaků, výzvy nebo příběhy – k oživení výukového obsahu a zvýšení motivace. Gamifikace je ideální tam, kde tradiční e-learning selhává, protože zvyšuje zapojení, podporuje opakování látky a umožňuje bezpečně „chybovat“ bez negativních důsledků. Navíc oslovuje různé typy uživatelů – soutěživé, zvídavé i týmové hráče.  

Phishing nezmizí. Ale firmy, které kombinují technickou prevenci s behaviorálním přístupem a realistickým školením, mají výrazně vyšší šanci útoku nejen odolat, ale předejít mu. 

Co si z článku odnést?   

• Phishing se rychle mění. Přesouvá se z e-mailů do chatů, mobilních aplikací a sociálních sítí, a především je personalizovanější kvůli AI.  
• Účinná technická ochrana proti phishingu dnes nespočívá v jednom zázračném řešení, ale v systému vzájemně propojených obranných vrstev, který v ideálním případě nepustí škodlivý obsah k zaměstnanci.  
• Tato vícestupňová obrana spočívá v kombinaci e-mailových bran, sandboxingu, AI nástrojů nebo segmentace přístupu.  
• Vývoj phishingu musí mít dopad i na podobu školení zaměstnanců. Efektivní školení by mělo být krátké, pravidelné, přizpůsobené roli pracovníka a motivující – ať už jde o microlearning, gamifikaci, nebo adaptivní přístup.  
• Simulace phishingových útoků mají smysl, pokud jsou realistické, citlivě provedené a doplněné o okamžitou zpětnou vazbu. 

Kateřina Dobrá
Marketingový specialista pro B2B