Phishing

Šablona:Infobox - kybernetický útok

Phishing (někdy počeštěně rhybaření) je typ kybernetického útoku, při kterém se útočník snaží podvodem vylákat z uživatelů citlivé údaje, jako jsou přihlašovací údaje, hesla, čísla platebních karet nebo jiné osobní informace. Útočníci se za tímto účelem vydávají za důvěryhodnou autoritu, například za banku, poskytovatele online služeb, úřad státní správy nebo dokonce za kolegu či nadřízeného. Phishing je formou sociálního inženýrství, protože zneužívá lidskou důvěřivost a manipuluje oběti k provedení akcí, které by za normálních okolností neudělaly.

Nejčastěji se phishing šíří prostřednictvím e-mailových zpráv, které vypadají jako legitimní komunikace od známé instituce. Tyto zprávy často obsahují naléhavou výzvu, například hrozbu zablokování účtu nebo nabídku exkluzivní výhody, a směřují uživatele na podvodnou webovou stránku. Tato stránka je vizuálně téměř k nerozeznání od originálu a jejím jediným účelem je zachytit údaje, které do ní oběť zadá.

Název phishing je odvozen od anglického slova "fishing" (rybaření), což metaforicky popisuje metodu, kdy útočník "nahodí návnadu" v podobě podvodné zprávy a čeká, která "ryba" (oběť) se chytí. Záměna písmene "f" za "ph" pochází z hackerské komunity 90. let, konkrétně od termínu "phreaking", který označoval prozkoumávání a zneužívání telekomunikačních systémů. Lidé, kteří provádějí phishing, se označují jako phisheři.

Počátky phishingu sahají do poloviny 90. let 20. století a jsou úzce spjaty s platformou America Online (AOL). Hackeři, často z komunity warez, vytvářeli programy jako AOHell, které jim umožňovaly krást přihlašovací údaje a čísla kreditních karet ostatních uživatelů. Vydávali se za zaměstnance AOL a pod záminkou "ověření účtu" lákali z uživatelů jejich hesla. Získané účty pak zneužívali k rozesílání spamu.

Po roce 1997, kdy AOL zavedla přísnější opatření, se phisheři přesunuli k jiným cílům. Na začátku 21. století se jejich pozornost zaměřila na finanční instituce a platební systémy. V roce 2007 došlo k jednomu z největších online bankovních loupeží, když útočníci napadli švédskou banku Nordea a odcizili přes 7 milionů švédských korun pomocí trojského koně šířeného phishingovými e-maily. S masivním rozšířením sociálních sítí se i ty staly primárním cílem útoků, jelikož získané osobní údaje mohou být zneužity ke krádeži identity.

Phishingové útoky se neustále vyvíjejí a nabývají různých podob. Mezi nejčastější typy patří:

• Hromadný e-mailový phishing (Bulk Phishing): Nejběžnější forma, kdy útočníci rozešlou tisíce generických, nepersonalizovaných e-mailů širokému okruhu příjemců. Spoléhají na to, že alespoň malé procento lidí na podvod naletí.
• Spear phishing: Cílená forma útoku zaměřená na konkrétní osobu nebo organizaci. Útočník si předem shromáždí informace o své oběti (jméno, pozice, koníčky, kolegové) a vytvoří vysoce personalizovanou zprávu, která působí velmi důvěryhodně.
• Whaling (Velrybaření): Specifický podtyp spear phishingu, který cílí na vysoce postavené osoby ve firmách (tzv. "velké ryby"), jako jsou CEO, finanční ředitelé nebo manažeři s přístupem k citlivým firemním datům a financím.
• CEO Fraud (Podvod na ředitele): Útočník se vydává za ředitele nebo jiného vedoucího pracovníka a instruuje podřízeného (např. z účetního oddělení) k urgentnímu provedení bankovního převodu na podvodný účet.
• Smishing: Phishing prováděný prostřednictvím SMS zpráv (SMS phishing). Zprávy často obsahují odkazy na podvodné stránky nebo výzvy k zavolání na placené číslo. Tento typ útoku je nebezpečný, protože lidé mají tendenci SMS zprávám více důvěřovat.
• Vishing: Hlasový phishing (Voice phishing), který probíhá prostřednictvím telefonních hovorů. Útočníci se často vydávají za pracovníky banky, technické podpory nebo policie a snaží se z oběti vylákat citlivé údaje.
• Quishing: Phishing pomocí QR kódů. Útočníci umisťují podvodné QR kódy na veřejná místa (např. na plakáty, do restaurací). Po naskenování kódu je oběť přesměrována na škodlivou webovou stránku.
• Pharming: Sofistikovanější technika, kdy útočník napadne DNS systém a přesměruje provoz z legitimní webové stránky na její podvodnou kopii, aniž by si toho uživatel všiml v adresním řádku.

Úspěšný phishingový útok je založen na kombinaci technických prvků a psychologické manipulace.

• Sociální inženýrství: Útočníci mistrně manipulují s lidskými emocemi. Vytvářejí pocit naléhavosti ("Váš účet bude zablokován!"), strachu ("Byla zjištěna podezřelá aktivita."), zvědavosti ("Vyhráli jste cenu!") nebo chamtivosti ("Exkluzivní nabídka jen pro vás!"). Cílem je donutit oběť jednat rychle a bez přemýšlení.
• Padělání stránek a e-mailů: Útočníci vytvářejí téměř dokonalé kopie přihlašovacích stránek bank, sociálních sítí nebo e-mailových klientů. Používají stejná loga, barvy a rozložení prvků, aby stránka vypadala legitimně. E-mailová adresa odesílatele je často podvržená, aby vypadala jako oficiální.
• Manipulace s odkazy: Odkazy v podvodných zprávách často vypadají na první pohled správně, ale ve skutečnosti vedou na jinou, škodlivou adresu. Útočníci používají techniky jako zkracovače URL nebo drobné překlepy v doménovém jméně (tzv. typosquatting).
• Šíření malwaru: Phishingové e-maily mohou obsahovat škodlivé přílohy (např. falešné faktury, dokumenty), které po otevření infikují počítač malwarem, jako je ransomware, spyware nebo keylogger.

Phishing zůstává jednou z nejrozšířenějších a nejnebezpečnějších kybernetických hrozeb.

• Podle odhadů je denně odesláno přibližně 3,4 miliardy phishingových e-mailů.
• V roce 2024 tvořily phishingové útoky hlavní vstupní bod pro 36 % všech zaznamenaných narušení dat.
• Průměrné náklady spojené s úspěšným phishingovým útokem pro organizaci dosáhly v roce 2024 téměř 4,9 milionu amerických dolarů.
• S nástupem umělé inteligence (AI) se útoky stávají sofistikovanějšími. Nástroje generativní AI umožňují útočníkům vytvářet bezchybné a vysoce přesvědčivé texty, což vedlo k masivnímu nárůstu phishingových e-mailů.
• Podvody typu Business Email Compromise (BEC) způsobily v USA v roce 2024 ztráty přesahující 2,7 miliardy dolarů.
• Zvyšuje se počet útoků využívajících QR kódy (quishing) a deepfake technologie pro hlasové a video podvody.

Obrana proti phishingu vyžaduje kombinaci technologických opatření a lidské obezřetnosti.

Pro jednotlivce:

• Buďte podezřívaví: Nikdy neklikejte na odkazy a neotevírejte přílohy v neočekávaných nebo podezřelých e-mailech a zprávách.
• Ověřujte odesílatele: Pečlivě kontrolujte e-mailovou adresu odesílatele. Oficiální instituce nikdy nepožadují citlivé údaje e-mailem.
• Kontrolujte odkazy: Před kliknutím najeďte myší na odkaz a zkontrolujte, kam skutečně vede. V případě pochybností zadejte adresu webu přímo do prohlížeče.
• Používejte silná hesla a vícefaktorové ověřování (MFA): MFA přidává klíčovou vrstvu zabezpečení, která může zabránit neoprávněnému přístupu, i když útočník získá vaše heslo.
• Udržujte software aktuální: Pravidelně aktualizujte svůj operační systém, webový prohlížeč a antivirový program.

Pro organizace:

• Školení zaměstnanců: Pravidelné vzdělávání a simulované phishingové testy jsou nejúčinnějším způsobem, jak naučit zaměstnance rozpoznávat podvodné zprávy.
• Technická opatření: Nasazení pokročilých spamových filtrů, DNS filtrování a bezpečnostních řešení pro e-mailovou komunikaci.
• Zásady a postupy: Zavedení jasných pravidel pro ověřování požadavků na platby a sdílení citlivých informací.
• Plán reakce na incidenty: Mít připravený plán pro případ, že dojde k úspěšnému útoku, aby bylo možné minimalizovat škody.

Phishing je trestným činem, který může být v České republice kvalifikován podle trestního zákoníku několika způsoby. Nejčastěji se jedná o naplnění skutkové podstaty trestných činů:

• Podvod (§ 209)
• Neoprávněný přístup k počítačovému systému a nosiči informací (§ 230)
• Opatření a přechovávání přístupového zařízení a hesla k počítačovému systému a jiných takových dat (§ 231)
• Poškození a zneužití záznamu v počítačovém systému (§ 232)

Vzhledem k rostoucímu počtu případů se phishingovými útoky stále častěji zabývají i české soudy, které řeší otázky odpovědnosti, včetně spoluzodpovědnosti bank za neautorizované platební transakce. V rámci Evropské unie posiluje ochranu uživatelů například směrnice PSD2, která klade přísnější nároky na silné ověření klienta.

Představte si, že Internet je obrovský oceán plný ryb. Vy jste jedna z ryb. Zlý rybář (útočník) chce chytit co nejvíce ryb, aby jim mohl ukrást jejich cenné šupiny (vaše peníze a hesla).

Místo prutu s háčkem používá e-maily a zprávy. Na háček napíchne lákavou návnadu – může to být zpráva, že jste něco vyhráli, nebo naopak varování, že je váš podvodní domeček (bankovní účet) v nebezpečí a musíte rychle něco udělat.

Když se na návnadu chytíte a "kousnete" (kliknete na odkaz), rybář vás vytáhne na svou falešnou loď (podvodnou stránku), která vypadá přesně jako váš bezpečný přístav. Tam po vás chce, abyste mu ukázali své tajné šupiny (zadali heslo nebo číslo karty). Jakmile to uděláte, má vás v hrsti a může si s vašimi šupinami dělat, co chce.

Proto je důležité být opatrná ryba. Než na nějakou návnadu skočíte, pořádně si ji prohlédněte. Vypadá podezřele? Je příliš dobrá na to, aby byla pravdivá? Pokud ano, raději odplavte pryč a nic na ni neklikejte.

Policie České republiky - Počítačová kriminalita ESET - Kyber slovník: Phishing PREMO - Co je to phishing a jak jej poznat Microsoft Security - Co je phishing? UPC - Phishing. Čo to je a ako sa mu brániť? Keepnet Labs - Phishing Statistics and Trends You Must Know in 2025 TechMagic - Phishing Statistics in 2025: The Ultimate Insight DeepStrike - Phishing Statistics 2025: AI-Driven Attacks, Costs & Trends Hoxhunt - Phishing Trends Report (Updated for 2025) Egress - Must-know phishing statistics for 2025 Wikipedia - Phishing