Bezpečnostní vzdělávání

E-mailový phishing

Nejčastější forma. Útočník posílá e-maily, které vypadají jako od důvěryhodné organizace (banka, dodavatel, IT oddělení). Cílem je získat přihlašovací údaje nebo přimět k otevření škodlivé přílohy.

Vishing (telefonní)

Útočník volá a vydává se za banku, technickou podporu nebo úřad. Vytváří pocit naléhavosti a žádá citlivé údaje jako PIN, hesla nebo údaje o platební kartě.

Smishing (SMS)

Phishing prostřednictvím SMS zpráv. Typicky obsahuje odkaz na falešnou stránku s urgentní zprávou o balíčku, platbě nebo bezpečnostním problému.

Spear phishing

Cílený útok na konkrétní osobu. Útočník si zjistí informace o oběti (z LinkedIn, firemního webu) a vytvoří personalizovaný e-mail, který je těžší rozpoznat.

Pharming

Přesměrování na falešné stránky prostřednictvím manipulace DNS záznamů. Uživatel zadá správnou URL, ale je přesměrován na podvrženou kopii webu.

CEO fraud / BEC

Útočník se vydává za ředitele nebo manažera a žádá naléhavý převod peněz nebo citlivé informace. E-mail vypadá, jako by přišel od vedení firmy.

Varovné signály

Naléhavost a hrozby — „Váš účet bude uzamčen“, „Musíte okamžitě reagovat“
Podezřelá adresa odesílatele — podivné domény, překlepy v názvu firmy
Gramatické chyby — špatná čeština, zvláštní formulace, strojový překlad
Podezřelé odkazy — URL neodpovídá legitimní stránce, zkrácené odkazy
Neočekávané přílohy — soubory .exe, .zip, .doc s makry
Žádost o citlivé údaje — hesla, PINy, čísla karet přes e-mail
Obecné oslovení — „Vážený zákazníku“ místo vašeho jména

Jak se chránit

Ověřujte odesílatele — vždy zkontrolujte celou e-mailovou adresu
Kontrolujte odkazy — najeďte myší na odkaz bez kliknutí
Používejte 2FA — dvoufaktorové ověření na všech účtech
Přistupujte přímo — zadávejte URL ručně do prohlížeče
Aktualizujte software — OS, prohlížeč, antivirus
Nahlašujte podezřelé e-maily — kontaktujte IT / helpdesk
Silná a unikátní hesla — jiné heslo pro každou službu

Níže je ukázka typického phishingového e-mailu. Najeďte myší na červeně zvýrazněné části pro zobrazení vysvětlení, proč jsou podezřelé.

Doručená pošta

Od: bezpecnost@ceskka-sporitelna.info

Komu: jan.novak@firma.cz

Předmět: URGENTNÍ: Váš účet bude zablokován!

Vážený zákazníku,

Zaznamenali jsme podezřelou aktivitu na vašem bankovním účtu. Z bezpečnostních důvodů byl váš přístup dočasně omezen.

Pro obnovení přístupu ověřte svou identitu kliknutím na tlačítko níže do 24 hodin, jinak bude váš účet trvale zablokován.

OVĚŘIT ÚČET NYNÍ

Pokud neprovedete ověření, budeme nuceni váš účet uzavřít a zůstatek převést na náhradní účet.

S pozdravem,
Bezpečnostní tým
Českkká sporitelna a.s.

Upozornění

Žádná banka, úřad ani seriózní firma po vás nikdy nebude chtít ověření identity nebo hesla přes e-mail. Pokud si nejste jisti, zavolejte na oficiální číslo organizace.

Otestujte své znalosti o phishingu. Kvíz obsahuje 5 otázek z reálných situací.

Časté dotazy

Odpovědi na nejčastější otázky o phishingu a kybernetické bezpečnosti

Pokud jste klikli na podezřelý odkaz:

Nezadávejte žádné údaje na stránce, na kterou jste se dostali
Odpojte se od sítě (Wi-Fi / ethernet) pokud máte podezření na stažení malwaru
Ihned změňte hesla ke všem účtům, které mohly být ohroženy
Kontaktujte helpdesk JP-Networks na helpdesk@jpnet.cz nebo přes helpdesk.jpnet.cz
Spusťte antivirovou kontrolu celého počítače

Pro ověření pravosti e-mailu:

Zkontrolujte celou e-mailovou adresu odesílatele (ne jen zobrazené jméno)
Najeďte myší na odkazy bez kliknutí a zkontrolujte skutečnou URL
Kontaktujte odesílatele jiným kanálem (telefon, osobně) a ověřte, zda e-mail skutečně poslal
Hledejte gramatické chyby a podivné formulace
Pokud si stále nejste jisti, přepošlete e-mail na helpdesk@jpnet.cz

Dvoufaktorové ověření (2FA) přidává druhý krok při přihlašování — kromě hesla potřebujete i jednorázový kód z mobilní aplikace, SMS nebo fyzický klíč.

I pokud útočník získá vaše heslo phishingem, bez druhého faktoru se nemůže přihlásit. 2FA tak dramaticky snižuje riziko kompromitace účtu. Doporučujeme ho aktivovat na všech důležitých účtech (e-mail, firemní systémy, bankovnictví).

Ano! Phishing se neomezuje jen na e-maily:

Vishing (voice phishing) — útočník volá a vydává se za banku, policii nebo technickou podporu
Smishing (SMS phishing) — podvodné SMS s odkazy na falešné stránky (typicky „váš balíček čeká“, „nedoplatek za energii“)
Phishing na sociálních sítích — falešné zprávy, podvržené profily, podvodné soutěže

Pravidla jsou stejná — nikdy nesdělujte citlivé údaje na základě nevyžádaného kontaktu.

Doporučení pro silná hesla:

Minimálně 12 znaků, ideálně 16+
Kombinace velkých a malých písmen, číslic a speciálních znaků
Nepoužívejte osobní informace (jméno, datum narození)
Používejte správce hesel (např. Bitwarden, 1Password, KeePass)
Každý účet by měl mít unikátní heslo
Zvažte použití passphrase — několik náhodných slov (např. „koruna-tramvaj-kveten-most“)

Jak rozpoznat phishing