Phishing je nadřazený pojem pro podvody, kdy útočník vylákává osobní nebo finanční údaje pod falešnou identitou — vydává se za banku, e-shop, kurýra, úřad. Nejstarší forma jsou e-maily s falešnou přihlašovací stránkou (klasický phishing). Telefonní variantou je vishing, SMS variantou smishing, sofistikovanější formou je například pharming. Cíl je vždy stejný: získat údaje, které pak útočník zneužije k vykradení účtu nebo identity.

Jak to funguje

Útočník vytvoří klon legitimní stránky (banka, e-shop, finanční úřad) a vylákává oběti přes e-mail, SMS, sociální sítě, nebo přímo telefonicky. Oběť na falešné stránce zadá přihlašovací údaje nebo údaje karty. Útočník je okamžitě použije — buď automatizovaně (převod peněz, nákup), nebo prodá na temném webu jiným zločincům. Phishingové útoky jsou často masově automatizované a útočník neřeší, jestli oběť konkrétně vlastní účet u dané banky — stačí, že 1 z 1000 ano.

Jak to rozpoznat

  • Žádost o citlivé údaje od organizace, která je po vás nikdy nepožaduje (banka po vás nechce SMS kód po telefonu).
  • Odkaz vede na doménu, která se podobá oficiální, ale není identická (csob-online.cz místo csob.cz).
  • Naléhavost a strach — „Účet bude zablokován do 24 hodin”, „Vaše platba neproběhla”.
  • Gramatické chyby, špatná čeština, hraná autentičnost.
  • Příloha v e-mailu od neznámého odesílatele (.zip, .docm, .exe).
Reklama

Co dělat

  1. Pokud jste zadali heslo na falešnou stránku, okamžitě ho změňte na všech službách, kde ho používáte (zejména banka, e-mail, sociální sítě).
  2. Pokud jste zadali údaje karty, zablokujte kartu (mobilní aplikace banky → blokace kartou na pár kliknutí).
  3. Nahlaste případ Policii ČR a NÚKIB (na webu nukib.cz mají formulář).
  4. Zkontrolujte historii operací na všech účtech a kartách za poslední dny.
  5. Dvoufaktorové ověřování (2FA) zapnuté všude — jediná účinná obrana proti opakování.

Situace v SR

V ČR fungují regulované entity proti phishingu: NÚKIB (Národní úřad pro kybernetickou a informační bezpečnost) přijímá hlášení a varuje veřejnost. ČTÚ a ČOI pomáhají se stížnostmi. Banky mají vlastní bezpečnostní týmy, které phishing reportují operátorům a registrátorům domén — falešné domény se obvykle blokují do 24 hodin po nahlášení. NÚKIB vede veřejnou databázi phishing varování na nukib.cz/cs/aktualne.

Reklama

Časté otázky

Jak se vlastně liší phishing od scamu?

Scam (podvod) je nadřazený pojem pro jakoukoli formu podvodu. Phishing je konkrétní typ scamu zaměřený na vylákání údajů. Wangiri je scam, ale ne phishing (nevylákává údaje, jen peníze za drahý hovor).

Klikl jsem na odkaz z phishing e-mailu, ale nezadal jsem nic. Stalo se mi něco?

Pravděpodobně ne, pokud jste opravdu nic nezadali. Některé phishing stránky ale obsahují i drive-by exploit — okamžitě spusťte antivirus a aktualizujte prohlížeč.

Co je antiphishing v prohlížeči?

Chrome, Firefox a Edge mají vestavěnou databázi známých phishingových stránek (Google Safe Browsing). Když narazí na známou phishing URL, varují vás. Není to 100% — nové phishing domény se objevují stále.