Phishing je nadřazený pojem pro podvody, kdy útočník vylákává osobní nebo finanční údaje pod falešnou identitou — vydává se za banku, e-shop, kurýra, úřad. Nejstarší forma jsou e-maily s falešnou přihlašovací stránkou (klasický phishing). Telefonní variantou je vishing, SMS variantou smishing, sofistikovanější formou je například pharming. Cíl je vždy stejný: získat údaje, které pak útočník zneužije k vykradení účtu nebo identity.

Jak to funguje

Útočník vytvoří klon legitimní stránky (banka, e-shop, finanční úřad) a vylákává oběti přes e-mail, SMS, sociální sítě, nebo přímo telefonicky. Oběť na falešné stránce zadá přihlašovací údaje nebo údaje karty. Útočník je okamžitě použije — buď automatizovaně (převod peněz, nákup), nebo prodá na temném webu jiným zločincům. Phishingové útoky jsou často masově automatizované a útočník neřeší, jestli oběť konkrétně vlastní účet u dané banky — stačí, že 1 z 1000 ano.

Jak to rozpoznat

  • Žádost o citlivé údaje od organizace, která je po vás nikdy nepožaduje (banka po vás nechce SMS kód po telefonu).
  • Odkaz vede na doménu, která se podobá oficiální, ale není identická (csob-online.cz místo csob.cz).
  • Naléhavost a strach — „Účet bude zablokován do 24 hodin”, „Vaše platba neproběhla”.
  • Gramatické chyby, špatná čeština, hraná autentičnost.
  • Příloha v e-mailu od neznámého odesílatele (.zip, .docm, .exe).

Co dělat

  1. Pokud jste zadali heslo na falešnou stránku, okamžitě ho změňte na všech službách, kde ho používáte (zejména banka, e-mail, sociální sítě).
  2. Pokud jste zadali údaje karty, zablokujte kartu (mobilní aplikace banky → blokace kartou na pár kliknutí).
  3. Nahlaste případ Policii ČR a NÚKIB (na webu nukib.cz mají formulář).
  4. Zkontrolujte historii operací na všech účtech a kartách za poslední dny.
  5. Dvoufaktorové ověřování (2FA) zapnuté všude — jediná účinná obrana proti opakování.

Situace v ČR

V ČR fungují regulované entity proti phishingu: NÚKIB (Národní úřad pro kybernetickou a informační bezpečnost) přijímá hlášení a varuje veřejnost. ČTÚ a ČOI pomáhají se stížnostmi. Banky mají vlastní bezpečnostní týmy, které phishing reportují operátorům a registrátorům domén — falešné domény se obvykle blokují do 24 hodin po nahlášení. NÚKIB vede veřejnou databázi phishing varování na nukib.cz/cs/aktualne.

Časté otázky

Jak se vlastně liší phishing od scamu?

Scam (podvod) je nadřazený pojem pro jakoukoli formu podvodu. Phishing je konkrétní typ scamu zaměřený na vylákání údajů. wangiri" class="il-link" title="wangiri">Wangiri je scam, ale ne phishing (nevylákává údaje, jen peníze za drahý hovor).

Klikl jsem na odkaz z phishing e-mailu, ale nezadal jsem nic. Stalo se mi něco?

Pravděpodobně ne, pokud jste opravdu nic nezadali. Některé phishing stránky ale obsahují i drive-by exploit — okamžitě spusťte antivirus a aktualizujte prohlížeč.

Co je antiphishing v prohlížeči?

Chrome, Firefox a Edge mají vestavěnou databázi známých phishingových stránek (Google Safe Browsing). Když narazí na známou phishing URL, varují vás. Není to 100% — nové phishing domény se objevují stále.