Clone phishing je sofistikovaná varianta phishingu, kdy útočník vezme legitimní e-mail, který oběť dostala (od banky, dodavatele, kurýra), zkopíruje ho 1:1 a vyloučí jeden detail — nahradí původní odkaz odkazem na phishing stránku, nebo přílohu malwarem. E-mail vypadá totožně s tím, který oběť čekala, takže snižuje obezřetnost. Vyžaduje kompromitaci e-mailové schránky odesílatele (z BEC útoku) nebo přístup k běžné komunikaci.

Jak to funguje

Útočník nejdřív získá přístup k e-mailové schránce někoho z firmy (přes phishing, datový únik, malware). Studuje historii korespondence — najde čerstvý e-mail (faktura, projektový update). Vytvoří kopii s identickým subjektem, textem, formátováním. Vymění jen jeden detail: bankovní účet ve faktuře, odkaz klikni pro detail, příloha. Pošle e-mail oběti s textem omlouvám se, předchozí odkaz nefungoval, posílám znovu.

Jak to rozpoznat

  • Dostáváte druhou kopii nedávného e-mailu s drobnou výmluvou (špatně přiložený soubor, opraven odkaz).
  • Časový stamp odeslání nesedí — původní e-mail byl ve všední den, kopie přijde v noci nebo o víkendu.
  • Drobné rozdíly v hlavičce: jiné User-Agent, jiná IP odesílatele.
  • Adresa přesměrování v odkazu se liší od pravé (vždy přejet myší před kliknutím).
  • U faktury: bankovní účet je nový, neodpovídá historickým platbám.
Reklama

Co dělat

  1. Při změně bankovního účtu u dodavatele VŽDYCKY ověřte telefonem na známé číslo.
  2. U druhé kopie e-mailu zavolejte odesílateli a zeptejte se posílal jsi mi to znovu?
  3. Hlaste nadřízenému / IT, pokud máte podezření — útočník mohl mít přístup k schránce delší dobu.
  4. Pravidelně měňte hesla a zapněte 2FA u firemního e-mailu — clone phishing často začíná tím.

Situace v SR

Pro české firmy je clone phishing typický u faktur. NÚKIB doporučuje proces: každá nová faktura nad limit (typicky 50 tisíc) vyžaduje ověření telefonem. Banky postupně zavádí varování u prvního převodu na nový bankovní účet. Případy se objevují i u advokátních kanceláří a notářů — útočník napodobí e-mail s návrhem smlouvy a přepošle malware jako PDF.

Reklama

Časté otázky

Jak se útočník dostane k mé e-mailové komunikaci?

Tři nejčastější způsoby: 1) předchozí phishing — kliknul jste na podvržený odkaz a zadal heslo k Outlooku; 2) datový únik — vaše heslo z jiné služby kolovalo na temném webu; 3) malware na zařízení — keylogger nebo cookie stealer.

Pomáhá DKIM proti clone phishing?

Částečně. DKIM ověřuje, že e-mail opravdu přišel z dané domény. Pokud útočník má kompromitovanou schránku, e-mail JE z dané domény — DKIM ho nezablokuje. Pomáhá až kombinace s anomaly detection (neobvyklý čas odeslání, neobvyklá lokalita).