Co jsou phishingové emaily a proč jsou nebezpečné

Phishing je technika kybernetického útoku, při které se útočníci vydávají za důvěryhodné instituce nebo osoby s cílem vylákat citlivé údaje. V prostředí malých a středních firem představuje phishing jednu z nejčastějších a nejúspěšnějších metod průniku do firemních systémů.

Podle Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) tvoří phishingové útoky přes 80 % všech bezpečnostních incidentů hlášených českými firmami. Útočníci se zdokonalují a jejich emaily jsou stále přesvědčivější.

Jak phishing funguje

Útočník odešle email, který na první pohled vypadá jako legitimní zpráva od banky, dodavatele, zákazníka nebo dokonce kolegy. Email obsahuje naléhavou výzvu k akci: kliknutí na odkaz, otevření přílohy nebo zadání přihlašovacích údajů. Jakmile oběť zareaguje, útočník získá přístup k citlivým datům nebo infikuje počítač malwarem.

7 znaků phishingového emailu

Naučte se rozpoznat podvodné emaily podle těchto varovných signálů:

1. Podezřelá adresa odesílatele

Zkontrolujte skutečnou emailovou adresu, ne pouze zobrazené jméno. Podvodníci používají adresy typu [email protected] místo legitimní @csob.cz. Pozor na záměnu podobných znaků: písmeno “l” za číslo “1”, písmeno “o” za nulu.

2. Naléhavý tón a výhrůžky

Phishingové emaily často tlačí na rychlou reakci: “Váš účet bude zablokován do 24 hodin”, “Okamžitě potvrďte platbu”, “Poslední upomínka před právními kroky”. Legitimní instituce vám nedávají ultimáta přes email.

3. Gramatické a pravopisné chyby

Přestože se kvalita podvodných emailů zlepšuje, stále obsahují typické chyby: nesprávná diakritika, špatné skloňování, nesmyslné formulace. České phishingové emaily často vznikají strojovým překladem.

4. Obecné oslovení

Místo vašeho jména vidíte “Vážený zákazníku” nebo “Vážený uživateli”. Vaše banka nebo dodavatel vás oslovuje jménem, protože vaše údaje zná.

5. Podezřelé odkazy

Před kliknutím najeďte myší na odkaz (neklikejte!) a zkontrolujte skutečnou URL adresu ve stavovém řádku prohlížeče. Podvodné odkazy vedou na domény typu csob-prihlaseni.stranky.cz místo www.csob.cz.

6. Neočekávané přílohy

Legitimní instituce neposílají faktury jako .exe soubory nebo .zip archivy s heslem. Obzvláště nebezpečné jsou soubory s příponami .exe, .scr, .js, .vbs nebo dokumenty Word/Excel s makry.

7. Žádosti o citlivé údaje

Žádná banka ani instituce nikdy nežádá hesla, PIN kódy nebo čísla platebních karet přes email. Pokud email požaduje tyto údaje, je podvodný.

Nejčastější typy phishingu v českých firmách

CEO Fraud (podvod na ředitele)

Útočník se vydává za jednatele nebo ředitele firmy a žádá účetní o urgentní převod peněz. Email přichází údajně z telefonu s vysvětlením, proč má jinou adresu. Podle Europolu způsobuje CEO fraud firmám ztráty v řádu milionů eur ročně.

Falešné faktury

Podvodník odešle email s fakturou, která vypadá jako od vašeho dodavatele, ale obsahuje jiné bankovní spojení. Účetní zaplatí na podvodný účet.

Phishing na Microsoft 365 / Google Workspace

Email informuje o problému s firemním účtem a vyzývá k přihlášení přes podvodnou stránku. Útočník získá přístup k firemním emailům, dokumentům a kontaktům.

Spear phishing

Cílený útok na konkrétní osobu. Útočník si prostuduje LinkedIn profil oběti, firemní web a sociální sítě. Email pak obsahuje konkrétní detaily, které zvyšují důvěryhodnost.

Jak chránit firmu před phishingem

Technická opatření

• Spam filtr a antispam – kvalitní emailové řešení (Microsoft 365, Google Workspace) obsahuje pokročilé filtry proti phishingu
• Dvoufaktorové ověření (MFA) – i když útočník získá heslo, bez druhého faktoru se nepřihlásí
• SPF, DKIM a DMARC záznamy – DNS nastavení, které ztěžuje podvržení vaší emailové domény
• Aktualizovaný antivirový software – zachytí škodlivé přílohy
• Webový filtr – blokuje přístup na známé phishingové stránky

Organizační opatření

• Školení zaměstnanců – pravidelné vzdělávání o aktuálních hrozbách
• Jasné postupy pro platby – změna bankovního spojení vždy vyžaduje telefonické ověření na známém čísle
• Reporting podezřelých emailů – zaměstnanci musí vědět, komu hlásit podezřelé zprávy
• Simulované phishingové testy – praktické ověření bdělosti zaměstnanců

Co dělat, když kliknete na phishingový odkaz

Pokud jste klikli na podezřelý odkaz nebo zadali údaje na podvodné stránce, jednejte okamžitě:

1. Okamžitě změňte heslo – na legitimní stránce služby, ne přes odkaz z emailu
2. Aktivujte dvoufaktorové ověření – pokud ještě není zapnuté
3. Informujte IT oddělení – nebo vašeho externího IT správce
4. Zkontrolujte aktivitu účtu – přihlášení, odeslané emaily, změny nastavení
5. Nahlaste incident – pokud jde o firemní účet, je nutné dokumentovat pro případné právní kroky

Pokud jste zadali bankovní údaje, okamžitě kontaktujte banku a zablokujte kartu. Čas hraje klíčovou roli.

Phishing a legislativa v ČR

Podle § 230 trestního zákoníku je neoprávněný přístup k počítačovému systému trestným činem s trestem odnětí svobody až na 2 roky. Pokud dojde ke škodě, trest se zvyšuje. Firmy mají povinnost chránit osobní údaje podle GDPR – úspěšný phishingový útok může vést k úniku dat a následným sankcím od ÚOOÚ.

Často kladené otázky (FAQ)

Jak poznám, že email je skutečně od mé banky?

Zkontrolujte emailovou adresu odesílatele (ne zobrazené jméno). Banka vás oslovuje jménem, nezasílá přílohy s fakturami a nikdy nežádá hesla nebo PIN kódy přes email. V případě pochybností zavolejte na oficiální linku banky.

Je bezpečné otevřít podezřelý email bez klikání na odkazy?

Samotné otevření emailu je většinou bezpečné. Nebezpečí hrozí při kliknutí na odkazy, otevření příloh nebo povolení maker v dokumentech. Některé sofistikované útoky však mohou využít zranitelností v emailových klientech, proto udržujte software aktualizovaný.

Proč dostávám phishingové emaily na firemní adresu?

Útočníci získávají emailové adresy z veřejně dostupných zdrojů: firemní weby, LinkedIn, obchodní rejstřík, úniky dat z jiných služeb. Firemní emaily jsou atraktivnějším cílem než osobní, protože nabízí přístup k firemním systémům a financím.

Jak často bychom měli školit zaměstnance?

Doporučujeme základní školení při nástupu a následně minimálně jednou ročně. Průběžně zasílejte upozornění na aktuální hrozby. Ideální je kombinace školení s praktickými simulovanými phishingovými testy.

Co je lepší: vlastní antispam nebo cloud služba?

Pro malé a střední firmy je cloud řešení (Microsoft 365, Google Workspace) výhodnější. Obsahuje pokročilé filtry, které se neustále aktualizují bez zásahu IT. Vlastní antispam řešení vyžaduje údržbu a odborné nastavení.

Jak vám může pomoci IT Doma

Pomáháme firmám nastavit komplexní ochranu proti phishingu:

• Audit současného zabezpečení emailu
• Implementace dvoufaktorového ověření
• Správné nastavení SPF, DKIM a DMARC
• Nasazení pokročilých antispamových filtrů
• Školení zaměstnanců
• Reakce na bezpečnostní incidenty

Kontaktujte nás pro bezplatnou konzultaci zabezpečení vaší firemní komunikace.

Závěr

Phishingové emaily jsou nejčastějším vstupním bodem kybernetických útoků na české firmy. Kombinace technických opatření (MFA, antispam, správná konfigurace) a vzdělaných zaměstnanců vytváří účinnou obranu. Pamatujte: jedna chyba jednoho zaměstnance může ohrozit celou firmu. Investice do prevence je vždy levnější než řešení následků úspěšného útoku.