Phishing stojí za více než 80 % všech kybernetických útoků na firmy. Přesto stále platí: nejzranitelnějším místem každé organizace je člověk, ne technologie. Podívejme se na pět konkrétních typů útoků, se kterými se české firmy setkávají nejčastěji.
Než začnete číst
Všechny níže popsané útoky jsou reálné a kombinují technické triky s psychologickou manipulací. Nestačí mít dobrý antivirus – zaměstnanci musí vědět, na co si dávat pozor.
1. CEO fraud – podvod na šéfa
Tento útok cílí na firemní finance a bývá nejdražší. Útočník se vydává za jednatele nebo CEO a kontaktuje účetní nebo finanční ředitele s urgentní žádostí o převod peněz.
Jak to vypadá v praxi:
Email přichází zdánlivě od šéfa – buď z podobně vypadající adresy (např. jednaéel@firma.cz místo jednatel@firma.cz), nebo z legitimní adresy, která byla kompromitována. Typická zpráva zní nějak takto:
PŘÍKLAD PHISHINGOVÉHO E-MAILU
Od: jan.novak@firma-cz.com
Předmět: Urgentní platba – prosím vyřídit do konce dne
Ahoj Moniko, jsem na důležitém jednání a nemohu volat. Potřebuji, abys dnes do 16:00 převedla 180 000 Kč na níže uvedený účet nového dodavatele. Detaily jsou přísně důvěrné, prosím nikomu o tom nemluv. Potvrzení pošli na tento email.
Jak se chránit:
- Zavedení pravidla: jakýkoli převod nad stanovenou částku vyžaduje telefonické ověření na známé číslo odesílatele
- Princip čtyř očí – platbu schvalují vždy dvě osoby
- Zdravá nedůvěra vůči urgentním žádostem o utajení
2. Phishing na falešnou fakturu dodavatele
Útočník pečlivě prostuduje, se kterými dodavateli vaše firma obchoduje (třeba z LinkedIn, webu nebo dříve uniknutých dat), a pošle fakturu nebo změnu bankovního účtu v jejich jménu.
Jak to vypadá v praxi:
Email přijde zdánlivě od vašeho dodavatele s informací, že „kvůli interním změnám" přechází na nový bankovní účet. Grafika, podpis i tón odpovídají skutečné komunikaci. Faktura vypadá identicky jako dosavadní – jen číslo účtu je jiné.
Jak se chránit:
- Jakákoliv změna bankovního účtu dodavatele musí být ověřena telefonicky na číslo z vašich stávajících kontaktů, ne z přijatého emailu
- Pečlivě kontrolujte emailovou adresu odesílatele – jedna odlišná písmena snadno přehlédnete
- Zavést interní registr schválených bankovních účtů dodavatelů se dvoustupňovým schválením změn
3. Krádež přihlašovacích údajů (Microsoft 365 / Google phishing)
Jeden z nejrozšířenějších typů. Útočník vytvoří dokonalou kopii přihlašovací stránky Microsoft 365, Google nebo jiné firemní aplikace a přiměje zaměstnance zadat přihlašovací údaje.
Jak to vypadá v praxi:
Zaměstnanec dostane email: „Vaše heslo vyprší za 24 hodin. Klikněte zde pro obnovení." nebo „Někdo se přihlásil k vašemu účtu z neznámého zařízení – ověřte identitu." Odkaz vede na stránku, která vypadá 1:1 jako Microsoft nebo Google, ale URL adresa je jiná.
Reálný příklad falešné URL
✅ Skutečná: login.microsoftonline.com
❌ Falešná: microsoft-login.secure-portal.cz
❌ Falešná: login.microsoft.com.update-now.net
Jak se chránit:
- Vícefaktorové ověřování (MFA) – i s ukradenými hesly se útočník bez druhého faktoru nepřihlásí
- Před kliknutím vždy zkontrolovat URL adresu odkazu (hover myší)
- Microsoft ani Google nevyzývá k zadání hesla přes emailový odkaz – vždy přejděte přímo na stránku
4. Phishing na IT helpdesk
Útočník se vydává za interní IT oddělení nebo externího poskytovatele IT. Tento útok je obzvláště zákeřný, protože zaměstnanci jsou obvykle zvyklí dostávat podobné zprávy od skutečného IT.
Jak to vypadá v praxi:
Email vypadá jako zpráva od IT týmu: „Zjistili jsme neobvyklou aktivitu na vašem účtu. Prosíme potvrďte svou identitu kliknutím na odkaz a zadáním hesla." Nebo: „Kvůli migraci systémů prosíme o instalaci bezpečnostního certifikátu – stáhněte přiložený soubor." Příloha je samozřejmě malware.
Jak se chránit:
- Definovat interní komunikační kanál pro IT requesty (ticket systém, ne email)
- IT nikdy nepožaduje heslo emailem – naučte zaměstnance, co je normální a co není
- Podezřelé instrukce od „IT" vždy ověřit telefonicky nebo osobně
5. Phishing přes SMS – falešné doručení zásilky
SMS phishing (smishing) je na vzestupu. Využívá toho, že lidé jsou v přijímání SMS zpráv méně obezřetní než u emailů.
Jak to vypadá v praxi:
Zaměstnanec dostane SMS: „Vaše zásilka čeká na celnici. Uhraďte clo 49 Kč na [odkaz]." Odkaz vede na falešnou platební stránku, kde útočník získá číslo kreditní karty. Případně odkaz stáhne do telefonu malware, který pak může přistupovat k firemním aplikacím.
Proč to funguje: v době, kdy jsme zvyklí objednávat online a dostávat zásilky, je SMS o doručení zcela přirozená. Navíc mobil bývá přihlášen k firemnímu emailu, Teams nebo OneDrivu – kompromitovaný telefon pak otevírá bránu do firmy.
Jak se chránit:
- Zásilkovna, DHL ani ČP nikdy nevyžaduje platbu přes SMS odkaz – vždy přejděte přímo na web dopravce
- Na firemních telefonech instalujte pouze aplikace z oficiálních obchodů
- MDM (Mobile Device Management) umožňuje vzdáleně vymazat firemní data z kompromitovaného zařízení
Co s tím? Základní pravidlo pro každou firmu
Technická opatření jsou důležitá, ale nestačí. Klíčem je pravidelné školení zaměstnanců spojené s praktickými simulacemi phishingu. Zaměstnanec, který jednou klikne na simulovaný phishing, si to pamatuje mnohem lépe než hodina e-learningu.
Minimální technická ochrana, kterou by měla mít každá firma:
- Vícefaktorové ověřování (MFA) na všechny firemní účty
- Filtrování emailů s kontrolou příloh a odkazů
- SPF, DKIM a DMARC záznamy pro vaši emailovou doménu
- Jasný interní proces pro hlášení podezřelých zpráv
- Roční školení zaměstnanců + simulované phishingové kampaně
