Bacha na phishing: Jak nepřijít o data, peníze a přístup k hostingu

Phishing už dávno není o nigerijských princích nebo o reklamách na viagru a jiných zjevných spamech. Dnešní, mnohem nebezpečnější útoky cílí na provozní rutinu: falešné faktury, bankovní výzvy nebo přístupy k SaaS účtům a k hostingu.

Ztráta přístupu k serverům je pro agentury a freelancery katastrofou, která stojí čas a reputaci. Proto přinášíme srozumitelný technický checklist, jak útoky bezpečně identifikovat, jak jim zabránit a co dělat, když už náhodou kliknete, kam nemáte. Podívejte se, jaké signály se v těchto opakujících se útocích objevují.

Moderní phishing cílí na lidskou psychiku. Na to nejcitlivější, co máme

Cílem moderního phishingu není jen krádež hesla, ale vždy získání nějaké hodnoty –⁠⁠⁠⁠⁠⁠ peněz, dat, nebo přístupu k firemním systémům. Phishing je primárně aktem sociálního inženýrství, kde útočník zneužívá lidskou psychologii k získání:

• přihlašovacích údajů: k e-mailu, CRM, hostingu nebo administrativě webu.
• Platebních údajů: Detaily karet, data expirace nebo přístup k firemnímu bankovnictví.
• Osobní nebo firemní identity: Pro další zneužití nebo cílené převody.

Jak takový útok typicky probíhá

Útočník neboli Phisher útočí v několika fázích:

1. Nejprve naváže s obětí kontakt: Obdržíte naléhavou zprávu (e-mail, SMS, telefonát), která často imituje obecně známou autoritu (např. falešná faktura, varování od banky nebo poskytovatele vašeho hostingu).
2. Pak vyzve k akci: Zpráva obsahuje odkaz, spustitelnou přílohu nebo požadavek na schválení transakce.
3. Všechno probíhá v imitovaném prostředí: Odkaz vede na webovou stránku, která dokonale imituje vaše firemní bankovnictví, e-mailového klienta nebo administraci webu. Často jde o velmi drobné/kosmetické detaily, kterých si běžná smrtelník jentak nevšimne.
4. Oběť informace schválí: Pod tlakem zadáte své přihlašovací údaje, detaily karet, nebo potvrdíte podvodný převod.

Proč phishing často funguje právě u agentur nebo u firem?

Útok je účinný zejména u malých a středních firem, freelancerů a agentur. Lidé v těchto rolích jsou přetížení a sedí na více židlích (šéf, vývojář, fakturant), což vytváří časový pres.

Při snaze zajistit provoz e-shopu bez výpadků a odbavit urgentní e-maily není čas na kritické myšlení a ověřování. A právě na to útočníci sází. Věří, že ve spěchu je větší šance na rychlý proklik před složitým ověřováním identity.

Ve firemním prostředí jsou to právě tyto 3 kritické body, na které se nejčastěji útočí. Ty vedou k ochromení interních operací nebo hostingu:

1. Firemní e-mail (pro reset hesel ke všem systémům).
2. Firemní bankovnictví (vidina přímého finančního zisku).
3. Administrace webu/hostingu/CRM (vede ke ztrátě kontroly nad infrastrukturou).

Jak poznat phishing? Kompletní checklist (včetně moderních triků)

S nástupem generativní AI jsou moderní phishingové útoky čím dál dokonalejší. Bývají jazykově bezchybné a dokonale imitují firemní šablony, takže si jen stěží všimnete jakýchkoliv překlepů (a to je dost nebezpečné).

Žádný jednotlivý signál neznamená ihned podvod, ale kombinace tří a více indikátorů už vyžaduje maximální obezřetnost. 

Stačí se zaměřit na tři věci: 

1. identitu odesílatele, 
2. obsah zprávy
3. a technické detaily. 

Tím výrazně zvýšíte šanci, že podvod odhalíte včas.

Checklist na rychlé odhalení podezřelých zpráv

Signály, které by vám měly rozsvítit kontrolku:

1. Tlak na čas a panika: „Hned zaplaťte / klikněte / jinak vám zablokujeme účet, vypneme hosting nebo dostanete pokutu.“
2. Divný odesílatel nebo divný kontext: Píše někdo, koho neznáte. Nebo sice „známý“ kontakt, ale řeší úplně nesmyslné téma (třeba šéf IT najednou urgujel fakturu).
3. Obecné oslovení místo jména: „Vážený zákazníku“, „Správče účtu“… a do toho ještě naléhavý tón.
4. Styl nesedí: I když už AI umí psát bez chyb, pořád bývá poznat, že text je „nějak mimo“ – zvláštní formulace, jiný tón, než jak firma běžně komunikuje.
5. Podezřelá adresa odesílatele (doména): Vypadá skoro správně, ale je tam překlep nebo záměna znaků (např. písmena, co vypadají podobně).
6. Odkaz vypadá jinak, než kam vede: Když na něj jen najedete myší (hlavně neklikat!), ukáže se jiná adresa, než slibuje text odkazu.
7. Nečekaná příloha: Word/PDF/ZIP, který vás nutí něco „povolit“ (makra) nebo „kliknout pro zobrazení faktury“.
8. QR kód v e-mailu: Po naskenování vás může hodit rovnou na falešné přihlášení. Je to oblíbený trik, protože e-mailové filtry QR kódy často nevyhodnotí.
9. Žádost o citlivé údaje: Seriózní firma po vás nikdy nechce e-mailem/telefonem heslo, jednorázový kód (SMS/OTP) ani platební údaje.
10. Dárkové karty, kryptoměny, „rychlé převody“ nebo jiné nestandardní platby = obří red flag.
11. Tlak na utajení: „Nikomu to neříkejte“ / „neřešte to s kolegy“ / „nepište na podporu, vyřešte to hned tady“. To je typický manipulativní znak.

Kdy zprávu smazat a kdy ji řešit?

Pokud zpráva splňuje některé z bodů z checklistu a týká se citlivých věcí v rámci infrastruktury firmy (serveru, bankovního účtu), nikdy na ni neklikejte. Zprávu raději hned smažte a následně nezávisle ověřte, jestli je pravá (telefonátem nebo novým e-mailem na oficiální kontakt).

Interní phishing, který se tváří jako komunikace od kolegy nebo šéfa raději rychle prověřte (například ji předejte na IT oddělení), ať ji mohou zkontrolovat, případně zabránit jejímu šíření v rámci sítě.

Technika „STOP-OVĚŘ-PROVĚŘ“

Útočníci milují spěch. Čím větší panika, tím menší kontrola. A přesně proto potřebujete rychlou brzdu, která vám dá dvě vteřiny navíc a zachrání den. STOP–OVĚŘ–PROVĚŘ je tříkroková bezpečnostní technika pro každého, kdo pracuje v rámci infrastruktury, s citlivými daty nebo financemi.

Freelo - Nástroj na řízení úkolů a projektů

Přidej se, pozvi svůj tým a klienty, rozděl práci a sleduj, jak se úkoly dají do pohybu.

Tříkroková rutina pro ověření phishingu (krok → akce → cíl)

1. STOP

Okamžitě se zastavte. Zhodnoťte kontext zprávy: Jakou akci útočník požaduje (platba, přihlášení, stažení)? Jak moc vás urguje? Omezte impulzivní reakci a kriticky analyzujte celou situaci.

2. OVĚŘTE IDENTITU

Ověřte požadavek jiným nezávislým kanálem (telefonem, na oficiálním webu, novým e-mailem, interním kontaktem). NEPOUŽÍVEJTE však kontakty ani odkazy z podezřelého e-mailu.

3. PROVĚŘTE STOPY

Zkontrolujte technické detaily zprávy. Analyzujte doménu odesílatele, cílovou URL (najetím myši) a typ přílohy (zaměřte se na ZIP, EXE, DOCM/XLSM). Mikro-proces, který trvá desítky sekund, ale ušetří vám hodiny řešení incidentu.

Praktický příklad z praxe

Představte si, že obdržíte falešnou fakturu od „Správy železnic“ nebo varování, že „vyprší úložiště na serveru“ (nejčastější útoky cílené na menší podniky).

1. STOP: Zpráva vyvolává paniku (útočníci hrozí sankcí nebo výpadkem služeb).
2. OVĚŘTE IDENTITU: Nezadávejte heslo na web (nebo do účtu) přímo z odkazu zprávy. Místo toho jděte na oficiální web poskytovatele (nebo do administrace hostingu) a přihlaste se obvyklou cestou. Pokud tam varování nevidíte, jedná se o podvod.
3. PROVĚŘTE STOPY: I když doména odesílatele vypadá pravdivě, ověřte cílovou URL. Nikdy neklikejte na URL s překlepem, ani nestahujte podezřelé přílohy.

Pokud pracujete v týmu, nikdy nejednejte sami. Pokud si nejste jisti, zprávu bez klikání přepošlete interně na dedikovanou bezpečnostní adresu (např. security@vasedomena.cz) nebo určenému kolegovi.

Taxonomie phishingu: 7+ typů útoků, které nechodí jen e-mailem

Phishing už dávno není jen masový spam. Moderní útoky dávno migrovaly a liší se jak kanálem (SMS, telefon, QR kódy), tak i cílem (konkrétní manažeři vs. desítky firem). Následující taxonomie shrnuje 7+ nejnebezpečnějších typů, které dnes cílí na české podnikatele.

Phishing podle cíle (v e-mailu)

1. Spear Phishing (cílený útok) je zpráva šitá na míru konkrétní osobě či firmě s využitím informací o její roli nebo dodavatelích. V typickém scénáři vypadá e-mail jako klasický ticket z helpdesku, útočník požaduje reset hesla k administraci hostingu a zná vaše fakturační údaje.
2. U Whalingu (lov velryb) útok cílí na nejvyšší management (CEO, majitele) kvůli přístupu k firemnímu bankovnictví nebo kritickým datům. Typický scénář: Urgentní požadavek, údajně od ředitele, který čeká na schválení obří transakce nebo přihlášení do interního systému mimo pracovní dobu.
3. BEC / CEO Fraud (Podvržená identita) je útok, který využívá podvrženou identitu šéfa nebo dodavatele a cílí primárně na finanční oddělení. Typický scénář: Obdržíte fakturu od stávajícího dodavatele (např. vašeho poskytovatele serveru) se změněným číslem účtu, vysvětlený interní restrukturalizací.

Phishing podle kanálu (mimo e-mail)

1. Smishing (SMS) využívá SMS notifikací, kterými obchází e-mailové filtry. Proč? Lidé SMS zprávám typicky důvěřují víc než e-mailům.
   Typický scénář: Zpráva od „DPD“ o uvízlé zásilce a nutnosti uhradit malý poplatek. Odkaz vede na falešnou platební bránu pro odcizení detailů karty.
2. Vishing (telefon) je telefonický útok, kdy útočník imituje bankéře, policii nebo IT podporu. Spoléhá na naléhavost a autoritu hlasu.
   Typický scénář: Falešný „bankovní specialista“ varuje před podezřelou transakcí a požaduje zadání přihlašovacích údajů nebo schválení kódu v aplikaci k jejímu zrušení.
3. Quishing (QR kód) využívá QR kód, kterým vede uživatele okamžitě na doménu s podvodnou přihlašovací stránkou.
   Typický scénář: QR kód na falešné faktuře s pokynem „Naskenujte pro rychlou platbu“.
4. Pharming (DNS Podvržení) je technicky náročnější útok, který podvrhuje směrování na úrovni DNS nebo lokálního hosts souboru.
   Typický scénář: Uživatel zadá správnou adresu do bankovnictví, ale kvůli napadenému DNS serveru je přesměrovaný na podvodnou přihlašovací obrazovku.

Jak rozpoznat cílené útoky a ochránit přístupy k hostingu

Moderní phishingové útoky už nejsou nigerijské podvody. Jde o precizně cílené zprávy maskující se jako faktury, bankovní notifikace nebo upozornění přímo z vašeho hostingu či SaaS platformy. Riziko je pro majitele firem a agentury enormní: jediné kliknutí vede ke ztrátě přístupů, reputace i peněz klientů.

Začneme signály, které se opakují napříč všemi útoky.

Tvrdé obranné linie: Passkeys, 2FA a silná přístupová politika

Pokud útočník dokáže obejít procesní brzdu STOP–OVĚŘ–PROVĚŘ, poslední záchranná síť je vaše přístupová politika. Cílené útoky na firmy i freelancery často sázejí na pohodlnost – hlavně na opakované používání stejných hesel. Proto je důležité posunout se od pouhé detekce k aktivnímu zabezpečení přístupů. Phishing může „vyjít“ v jednom bodě, ale většinou narazí, když mu do cesty postavíte další nezávislou překážku.

Zapomeňte na opakovaná hesla (a přejděte na passkeys)

Používání stejného hesla pro více služeb je obrovské riziko a bohužel se to stále děje. Pokud útočník získá vaše heslo z jedné kompromitované služby, okamžitě jej vyzkouší všude jinde, včetně administrace hostingu.

Proto mějte dedikované a unikátní heslo pro každou službu. Ještě lépe než hesla fungují passkeys (bezheslové klíče), které autentizují pomocí kryptografie. Passkeys jsou proti phishingu imunní, protože ověřují nejen vaši identitu, ale i adresu webu (URL), se kterou komunikujete. Na falešném webu se passkey nespustí.

Vynucujte dvoufaktorovou autentizaci (2FA)

2FA (vícefaktorová autentizace) je nejúčinnější a nejlevnější způsob, jak zabránit zneužití ukradených hesel. Phishing sice ukradne heslo, ale bez druhého faktoru je pro útočníka neplatné. Vždy a všude, kde je to možné, používejte 2FA.

Přitom platí:

• Autentizační aplikace (Authy, Google Authenticator) jsou výrazně bezpečnější než SMS kódy, které lze ukrást pomocí SIM swapingu.
• Nejlepší jsou fyzické bezpečnostní klíče (YubiKey). Klíče na bázi standardu FIDO2 (včetně Passkeys) ověřující URL serveru, a proto na falešném webu autentizaci neprovedou.

Začněte používat password manager (správce hesel)

Správa desítek unikátních a komplexních hesel je manuálně nemožná. Password managery (např. 1Password, Bitwarden nebo náš vlastní Vaultwarden) řeší dilema efektivity a bezpečnosti: ukládají silná hesla, generují unikátní a automaticky je doplňují.

Pokud váš password manager heslo pro danou doménu nezná a neautomatizuje přihlášení, je to první signál (STOP), že pravděpodobně stojíte na phishingové imitaci.

Striktní politika pro správu serverů a hostingu

Pro správu kritické infrastruktury, jako jsou VPS nebo dedikované servery, používejte technická řešení, která nelze snadno obejít sociálním inženýrstvím:

• SSH klíče: Pro administraci serveru (root přístup) používejte výhradně SSH klíče namísto klasických hesel. SSH klíče jsou kryptograficky bezpečnější a nelze je ukrást phishingem.
• Dedikované přístupy: Zajistěte, že každý technik má svůj vlastní účet s 2FA pro přihlášení do administrace hostingu.

Dělejte pravidelný audit přístupů

Jak se tým rozrůstá nebo zmenšuje, riziko opomenutých přístupů roste. Jednou ročně proveďte audit kritických systémů, jako je firemní bankovnictví a administrace serverů: kdo má ke klíčové infrastruktuře aktuálně přístup? Okamžitě odeberte oprávnění bývalým kolegům a resetujte hesla po změně dodavatele.

Protokol po kliknutí: První kroky při incidentu a záchrana dat

I ta nejlepší obrana může selhat. Pokud kliknete na odkaz, zadáte heslo nebo stáhnete přílohu, jednejte okamžitě: panika je strategií útočníka. Váš jediný cíl je minimalizovat škody a obnovit kontrolu.

Pro přetížené majitele agentur a freelancerů je klíčový pevný, chronologický plán, jelikož ztráta kontroly nad hostingem znamená okamžitý výpadek příjmů a ztrátu důvěry klientů.

Fáze 1: Izolujte a zadržte hrozby

1. Odpojte systém od sítě: Podezření na malware nebo spustitelnou přílohu vyžaduje okamžité odpojení od internetu (vytáhněte kabel, vypněte Wi-Fi). Zabráníte tak komunikaci útočníka se zařízením.
2. Okamžitě změňte hesla: Změňte heslo ke službě, jejíž údaje jste zadali. Mohlo totiž dojít ke krádeži pro použití jinde. Heslo změňte ke všem klíčovým účtům, které sdílí stejné nebo podobné heslo (ideálně používejte password manager).
3. Priorita kritických účtů: Změnu hesel provádějte v tomto pořadí: 

Fáze 2: Obnovte přístup k hostingu

Pokud útok mířil na administraci serverů (VPS nebo dedikovaný server), je potřeba udělat rychlý „úklid“ přístupů a stop:

• Zkontrolujte SSH klíče a uživatele: Přihlaste se do administrace hostingu (např. Do VPS Centra) z bezpečného počítače a hned ověřte, jestli nepřibyl nový SSH klíč nebo neznámý uživatel.
• Vyměňte přístupové klíče (a případně i hesla): Pokud se na server přihlašujete přes SSH, vygenerujte nové klíče a ty staré smažte. Pokud ještě používáte hesla, změňte je na silná a unikátní (a kde to jde ideálně přejděte na klíče/2FA).
• Nechte prověřit logy: Požádejte podporu, ať zkontroluje neobvyklá přihlášení, změny konfigurace nebo podezřelé přenosy dat. U nás klidně napište rovnou našim technikům – mrknou na to s vámi.

Fáze 3: Nahlaste incident

1. Informujte IT správce a kolegy: O typu phishingu a službě, do které jste zadali údaje. Tím zamezíte opakování chyby v týmu.
2. Informujte klienty: Pokud incident zasáhl klientská data nebo webové stránky, informujte klienty transparentně s důrazem na provedené kroky nápravy.
3. Zaveďte silnější monitoring webu: (včetně změn souborů) a proveďte bezpečnostní audit přístupů. Incident berte jako cvičný audit, který odhalil slabá místa.

Jak technicky ověřit odkaz (doména, typosquatting a „poslední doména“)

Generativní AI dnes umí bez problémů odstranit překlepy i gramatické chyby, takže na „jazykové signály“ už se nedá spoléhat. O to víc dává smysl zaměřit se na technické ověření identity. Největší slabina phishingu je totiž pořád stejná: útočník se snaží schovat, kam vás odkaz doopravdy vede.

Tady je konkrétní postup, jak odkaz ověřit technicky – bez jediného riskantního kliknutí:

Zkontrolujte odesílatele a překlepy v doméně:

1. Jméno odesílatele vs. skutečná adresa
   Nekoukejte jen na zobrazované jméno (třeba „Váš Hosting“). Vždy rozklikněte detail odesílatele a zkontrolujte celou e-mailovou adresu. Útočníci často použijí důvěryhodné jméno, ale pošta pak chodí z nesmyslné nebo cizí domény (např. vashosting@mail.co).
2. Překlep v doméně (typosquatting)
   Phishing sází na rychlé „přečtu to jedním okem“. Proto si doménu projděte po znacích a hledejte typické záměny:
   • např. vashosting.cz
   • O vs. 0 (písmeno O vs nula)
   • m vs. rn
   • Jiná koncovka domény (TLD): firma.co místo firma.com, případně .cz vs .com apod.

Praktický test odkazu: Najetím myší nebo dlouhým stiskem

Nikdy neklikejte na podezřelý odkaz. Moderní prohlížeče a e-mailoví klienti nabízejí rychlé testy pro bezpečné ověření cílové URL:

• U desktopu (pomocí myši): Najetím myší (hover) zobrazíte v levém dolním rohu obrazovky skutečnou cílovou URL. Okamžitě zjistíte, zda text odkazu (klikněte zde) odpovídá adrese, kam vede.
• Na mobilu (dlouhým stisknutím): Dlouhý stisk prstem na odkazu (long press) vyvolá náhled cílové URL, často s možností zkopírování.

Co je „poslední doména“ (registrable domain) a proč na ní záleží

Phishing často zneužívá poddomény, aby URL vypadala důvěryhodně. Trik je jednoduchý: do adresy nacpe známé jméno, ale skutečný vlastník je až úplně na konci.

Registrable domain (registrovatelná doména) je ta část adresy, kterou si někdo opravdu „vlastní“ a registruje – typicky ve formátu:

Něco + koncovka
(např. vas-hosting.cz, example.com, falesne-api.net)

Všechno před tím (třeba faktury. nebo login.) jsou jen poddomény, které si může majitel domény vytvářet libovolně.

Jak je poznat v praxi

1. Podívejte se na URL a najděte poslední dvě části (zpravidla „název + koncovka“).
2. To je obvykle ta doména, která rozhoduje, komu to patří.
3. Všechno vlevo od ní jsou poddomény (můžou klamat).

Příklady

• Legitimní: faktury.vas-hosting.cz
  skutečná doména: vas-hosting.cz
• Podvod: vas-hosting.cz.falesne-api.net
  skutečná doména: falesne-api.net
  („vas-hosting.cz“ je tady jen poddoména, aby vás to zmátlo)

Základní firemní pravidlo: Nikdy přes e-mail!

Nejúčinnější obrana pro týmy: Zaveďte interní politiku. Pokud máte v e-mailu obdržet fakturu, přihlášení k hostingu nebo do interního systému, nikdy nepoužívejte přímý odkaz. Místo toho vždy:

1. Otevřete novou záložku v prohlížeči.
2. Zadejte URL ručně, nebo použijte uloženou záložku.
3. Přihlaste se obvyklou cestou.

Tím, že obcházíte přímé prokliky, minimalizujete riziko, že vás útočník navede na phishingovou doménu, která pouze imituje vaši oficiální službu.

Přílohy jako brána k malwaru: Jak ověřit faktury a spouštěče maker

Když phishing necílí na vaše heslo, ale rovnou na váš počítač, nejčastěji přijde jako příloha. A nejde jen o to, že „vám někdo ukradne data“ – tady může jít o ransomware nebo tichá zadní vrátka pro vzdálenou správu. Pro agentury a freelancery, kteří mají faktury a dokumenty na denním menu, je to ideální past: útočník projde filtry a sází na to, že kliknete ze zvyku.

Útočníci nejčastěji maskují přílohy jako „běžnou rutinu“ – dokument, který čekáte, a proto ho otevřete bez přemýšlení:

• Faktury a objednávky: výzvy k rychlé platbě nebo „potvrzení nové objednávky“.
• Doručení a přeprava: falešné oznámení o uvízlé zásilce a potřeba stáhnout štítek / dokumenty.
• Upomínky a „skeny“: tlak na otevření „právního“ dokumentu nebo „skenu“ z kancelářské kopírky.

Nejdůležitější red flags u příloh

Než něco otevřete, mrkněte na typ souboru a na to, co po vás chce. Některé „výzvy k akci“ jsou prakticky vždycky alarmující:

• ZIP / ISO / IMG / EXE vydávající se za fakturu (nebo PDF)
  Seriózní dodavatelé vám neposílají faktury jako spustitelné soubory nebo obraz disku. Útočníci často zabalí škodlivý kód do archivu a tváří se, že jde o „PDF“ (třeba jen ikonou nebo názvem).
• Dokument chce povolit makra / obsah
  Soubor typu DOCM/XLSM (a někdy i „obyčejný“ Word/Excel) může po otevření žádat „Povolit obsah“, „Enable content“ nebo „Povolit makra“. NIKDY TO NEPOTVRZUJTE. Je to jedna z nejčastějších cest, jak si pustit malware do počítače.
• Dokument vás nutí se přihlásit, aby šel zobrazit
  Pokud PDF nebo Word tvrdí, že se musíte přihlásit k Microsoftu / e-mailu / hostingu „pro ověření“ nebo „zobrazení obsahu“, je to typicky falešná přihlašovací stránka a pokus o krádež hesla.

Ochrana vlastní domény: Jak zamezit spoofingu pomocí SPF, DKIM a DMARC

Útočník se ani nemusí dostat do vaší schránky. Stačí, když se navenek vydává za vaši doménu (třeba sef@vasedomena.cz) a začne vašim klientům rozesílat falešné faktury nebo phishingové odkazy. Výsledek? Reputační průšvih, který se vysvětluje fakt blbě – a často má dlouhý dojezd.

Proto by agentury, e-shopy i freelanceři měli chránit svou e-mailovou identitu aktivně, ne jen doufat, že „nám se to nestane“. Bez SPF, DKIM a DMARC totiž příjemce často nemá šanci poznat, že e-mail ve skutečnosti nešel z vašeho mailserveru.

Tyhle tři záznamy fungují jako ověření pravosti vaší pošty:

• SPF (Sender Policy Framework): Říká, které servery/IP adresy smějí posílat e-maily za vaši doménu. Jednoduše: seznam povolených odesílatelů.
• DKIM (DomainKeys Identified Mail): Přidá do e-mailu digitální podpis. Díky tomu může příjemce ověřit, že zpráva opravdu odešla z autorizovaného systému a po cestě nebyla změněna.
• DMARC (Domain-based Message Authentication, Reporting, and Conformance): Navazuje na SPF a DKIM a nastaví pravidla, co dělat s poštou, která neprojde ověřením (pustit / označit / rovnou zahodit). Zároveň posílá reporty o pokusech, kdy se někdo snaží vaši doménu napodobit.

Minimální doporučené nastavení pro firmy

Abyste se spoofingu dobře ubránili (tedy situaci, kdy se někdo vydává za vaši doménu), nastavte SPF, DKIM a DMARC jako TXT záznamy v DNS (v administraci hostingu):

1. SPF: Držte ho „na krátko“. Uveďte jen skutečné odesílatele (váš mailserver, newsletterový nástroj, CRM…) a všechno ostatní nechte mimo. Čím víc zbytečných výjimek, tím víc prostoru pro průšvih.
2. DKIM: Zajistěte, aby se veškerá odchozí pošta podepisovala. Bez podpisu se dnes část pošty bere automaticky jako podezřelá.
3. DMARC: Začněte monitoringem a pak postupně přitvrďte. DMARC není jednorázové „zapnout a hotovo“, je to proces.

Jak DMARC nastavit:

Nejprve nastavte p=none (jen pro sběr dat a reporty). Jakmile máte jistotu, že vám všechny legitimní zdroje pošty prochází přes SPF/DKIM správně, přejděte postupně na:

• p=none – monitoring (bez zásahu)
• p=quarantine – neověřená pošta končí ve spamu
• p=reject – neověřená pošta se rovnou odmítne

A pokud posíláte newslettery nebo vás zajímá, proč se doručování v poslední době zpřísňuje napříč službami, mrkněte i na náš článek o změnách v doručování newsletterů platných od února 2024.

Zavedení SPF, DKIM a DMARC je zásadní pro ochranu reputace e-shopu potažmo celé agentury. Jakmile někdo úspěšně pošle podvod vašim zákazníkům („vaším jménem“), důvěra letí pryč okamžitě. Technická obrana e-mailové identity je dnes stejně důležitá jako zabezpečení samotného serveru.

Okamžité kroky po kliknutí a krádeži hesla

I ta nejlepší obrana má svou slabinu: člověka. Pokud jste klikli, zadali heslo nebo stáhli podezřelou přílohu, čas hraje proti vám. Váš cíl je izolovat hrozbu a zabránit šíření nákazy (škody). Pro agentury a developery (ICP) znamená ztráta kontroly nad hostingem okamžitou ztrátu příjmů. 

Damage control checklist, který musíte provést okamžitě:

Fáze 1: Zastavte šíření „nákazy“

1. Zapište si detaily (než začnete cokoliv měnit)
   Poznamenejte si co nejvíc informací: Kdy a kde k útoku došlo, co jste zadali (heslo, kód…), z jaké URL email přišel (včetně případného překlepu/typosquattingu) a udělejte screenshoty. Tyhle informace se hodí pro podporu i případnou forenzní kontrolu.
2. Okamžitě změňte hesla – a hlavně ve správném pořadí!
   Čas hraje proti vám: Útočníci často zkouší ukradené heslo i v dalších službách.

Postupujte následovně:

1. E-mail (master klíč pro obnovu hesel do všeho ostatního).
2. Administrace hostingu / serverů (ztráta kontroly nad serverem je průšvih pro vás i klienty).
3. Bankovnictví / platební brány (ať minimalizujete finanční škody).
4. Další služby (CRM, Google Workspace, CMS, AWS… cokoliv, kde máte přístupy).
5. Zkontrolujte 2FA a odhlaste podezřelé relace: Dvoufaktor může útočníka zastavit i v případě, že zná heslo – pokud ho mezitím nepřepsal. Ověřte, že se nezměnilo nastavení 2FA, a tam, kde to jde (Gmail, hosting administrace apod.), odhlaste všechny aktivní relace na neznámých zařízeních.
6. Projeďte e-mailová pravidla a přeposílání: Útočníci si často nastaví pravidla, která automaticky přeposílají kopie zpráv na jejich adresu nebo tiše přesouvají e-maily do archivu. Zkontrolujte filtry / pravidla / přeposílání a všechno podezřelé hned smažte.

Fáze 2: Koho kontaktovat a co řešit ihned

1. Banka / platební brána: Pokud se incident týká karet, bankovnictví nebo platebních účtů, hned volejte do vaší banky a blokujte přístupy a platby.
2. IT / správce hostingu: Pokud jde o firemní účet, hosting nebo servery, dejte to okamžitě vědět správci/IT (u Váš Hosting rovnou naší podpoře). Prověříme přihlášení v logách, zkontrolujeme podezřelé změny (např. SSH klíče) a pomůžeme s bezpečnostním auditem.
3. Poznámka pro firmy (tohle se často nedá „utajit“): Pokud mohlo dojít k úniku dat klientů nebo přístupu k jejich službám, řešit to potichu je špatný nápad. Kromě reputace do toho mohou spadat i povinnosti kolem incidentů a GDPR – typicky je potřeba informovat dotčené strany.

BEC a „CEO fraud“: když nejde o hesla, ale rovnou o peníze

Většina phishingu se snaží ukrást heslo k e-mailu nebo k hostingu. BEC (Business Email Compromise) a tzv. CEO fraud jdou ale jinou cestou: nechtějí přístup – chtějí platbu. Pro malé a střední firmy jsou extra nebezpečné, protože často obejdou technické filtry a hrají na rutinu („jen to rychle pošli“) a tlak na čas.

Cíl je jednoduchý: donutit účetní, finanční oddělení – nebo přetíženého majitele – k urgentní platbě nebo ke změně bankovních údajů u dodavatele.

Nejčastější scénáře, které míří na vaše peníze

1. Podvržená faktura (změněný IBAN): Přijde e-mail, který vypadá jako faktura od dodavatele (klidně i vašeho poskytovatele serverů), jen s drobnou změnou čísla účtu. Vysvětlení bývá „restrukturalizace“, „audit“ nebo „nové účetní oddělení“.
2. „Šéf na cestách“ a urgentní převod: Zpráva vypadá jako od ředitele/majitele: je „na schůzce“, „v letadle“, „nemůže volat“ – a chce diskrétně a okamžitě poslat větší částku na neznámý účet. Často tam bývá i ten klasický jed: „Nikomu to neříkej.“
   

Zaveďte procesní brzdy (i když jste firma o jednom člověku)

U finančních operací a změn údajů si nastavte jednoduchá pravidla, která útočník jen e-mailem nepřeskočí:

• Dvoukanálové ověření změny údajů: Jakákoli změna bankovních/fakturačních údajů se musí ověřit mimo e-mail – ideálně telefonátem na známé, oficiální číslo dodavatele.
  A hlavně: nikdy nevolejte na číslo uvedené v podezřelé zprávě.
• Princip „čtyř očí“ pro vyšší částky: Platby nad stanovený limit (třeba 20 000 Kč, upravte podle reality) musí je schválit druhá osoba. Když druhá osoba není, tak aspoň mít „druhý kanál“: zavolat, ověřit, počkat.
• Mějte evidovaný seznam dodavatelů a jejich bankovních účtů v účetním systému. Změny účtů povolujte jen přes interní, dohledatelný proces (ticket, e-mail na oficiální adresu, schválení).

Co dělat, když už platba odešla

Čas je tady úplně všechno. Jakmile zjistíte, že jste poslali peníze na podvodný účet:

1. Hned kontaktujte banku: Okamžitě volejte do banky a omyl/podvod nahlaste. Čím dřív se převod řeší, tím větší šance, že se dá zastavit nebo dohledat.
2. Poznámka pro e-shopy: hlídejte i chargebacky: U e-shopů to někdy nekončí u „falešné faktury“. Pozor na podvodné objednávky, které pak končí chargebackem (zpětnou platbou) po dodání zboží. Ověřujte notifikace o platbě a s expedicí nespěchejte, dokud nemáte jistotu, že platba opravdu dorazila a sedí.

Incident nezametejte pod koberec. Kam phishing hlásit

Když už máte pod kontrolou škody a zabezpečené systémy (e-mail, hosting, přístupy), přijde další krok: incident formálně nahlásit. Ne kvůli papírování, ale protože:

• pomáháte zastavit stejné útoky u dalších firem (indikátory jako domény/IP se pak dají blokovat automaticky),
• získáte důležitý podklad pro banku, pojišťovnu a případně i policii,
• a máte v ruce dokumentaci, která se hodí, když se věci začnou řešit „oficiálně“.

Hlášení v e-mailu a interní postup

1. Použijte „Nahlásit phishing / spam“ v klientovi: Outlook i Gmail mají přímo tlačítko pro nahlášení. Berte to jako první rychlou pomoc: zpráva se tím často lépe zablokuje a filtr se „učí“.
2. U firemního e-mailu zprávu NEPŘEPOSÍLEJTE, uložte ji jako přílohu: Když e-mail jen přepošlete, často se rozbijí nebo ztratí klíčové technické informace (hlavičky). 
3. Správně je uložit zprávu jako soubor (.eml / .msg) nebo jako přílohu a tu teprve poslat IT/správci. Díky tomu zůstanou hlavičky neporušené – a právě ty jsou zásadní pro dohledání původu útoku a forenzní analýzu.

Kam a kdy se obrátit v ČR

Když útok míří na peníze, citlivá data nebo infrastrukturu, řešte to i mimo firmu:

• Banka / platební brána: Volejte okamžitě, pokud došlo k platbě, úniku údajů ke kartě nebo pokud hrozí zneužití účtu.
  Hlásí se: podezřelé transakce, zneužití karty, pokus o převod, kompromitace přístupů.
• Policie ČR (kyberkriminalita): Pokud vznikla škoda, došlo ke kompromitaci serveru/systémů nebo máte důvodné podezření na trestný čin.
  Hlásí se: podvod, finanční ztráta, napadení účtu, průnik do serveru, vydírání (ransomware).
• NÚKIB: Pokud jde o incident související s kritickou infrastrukturou, státní sférou, nebo útokem s vážnými dopady.
  Hlásí se: indikátory hrozby, typ útoku, případně technické detaily (pokud je máte).
• CSIRT / CZ.NIC: Když jde o domény, DNS, hosting, rozsáhlejší malware nebo opakující se útoky, které je potřeba technicky řešit/omezit.
  Hlásí se: kompromitovaná doména, přesměrování DNS, škodlivé odkazy/domény, technické parametry útoku.

Co si připravit k hlášení (ať se incident neřeší týden)

Čím víc důkazů dodáte, tím rychleji se dá jednat – a tím větší šance, že se podaří omezit škody.

• Kompletní hlavičky e-mailu (obsahují trasu, IP adresy, SPF/DKIM výsledky atd.).
• Cílovou URL (ideálně zkopírovanou bez kliknutí – např. přes najetí myší / „kopírovat odkaz“).
• Screenshoty podvodné zprávy a případné falešné přihlašovací stránky.
• Čas incidentu a částky (kdy se to stalo, co odešlo, jaká je škoda / pokus o škodu).

Generativní AI: Proč staré signály selhávají a jak změnit taktiku

Generativní AI překopala phishing od základů. Éra masových útoků, které prozrazovala kostrbatá čeština a podivná syntaxe, je pryč. Velké jazykové modely tuhle slabinu prakticky odstranily – a kvalitu podvodných zpráv zvedly na úroveň, která byla dřív dostupná jen sofistikovaným skupinám.

Co AI mění na phishingu?

AI útočníkům hlavně zrychluje práci a zpřesňuje míření:

• Jazyk bez chyb a „lokální vibe“: Podvodné zprávy jsou klidně bez jediného překlepu a umí trefit tón i slovník typický pro banky, úřady nebo třeba poskytovatele hostingu.
• Hyper-personalizace ve velkém: Útočník snadno vygeneruje desítky až stovky variant podle vaší role a toho, s kým spolupracujete (spear phishing). A klidně si otestuje, která verze nejlépe „tlačí na pilu“ (A/B testy).
• Imitace šablon a vizuálu: AI dokáže napodobit strukturu a styl firemních šablon (faktury, notifikace, výzvy k platbě) tak, že rychlá vizuální kontrola přestává stačit.

Co se nemění? Útok stále potřebuje vaši akci

I když je text dokonalý, útočník se bez vás nehne. Pořád potřebuje, abyste udělali něco konkrétního: klikli, zadali heslo, otevřeli přílohu nebo poslali platbu.
Proto je chytré přesunout obranu od „jazykové detektivky“ k procesní disciplíně a technickému ověřování.

Praktické dopady na malé a střední firmy

Pro menší firmy a freelancery to znamená jednu věc: investujte čas do bezpečnostních pravidel, která jsou odolná vůči manipulaci textem.

1. Neřešte styl. Řešte domény a odkazy.
   Největší váhu dejte technickému ověření: doména odesílatele + cílová URL. Text může znít dokonale, ale podezřelý odkaz je pořád podezřelý odkaz.
2. Méně veřejných detailů = méně munice pro útočníka
   Zvažte, co o sobě a firmě necháváte veřejně dohledatelné: role, procesy, jména lidí „co schvalují platby“, interní e-maily, dodavatelé… Útočníci to používají pro personalizaci a BEC/CEO fraud scénáře.
3. Trénink scénářů (phishing drills)
   Procesní paměť nevznikne čtením článků, ale opakováním. Krátká interní cvičení (falešná faktura, urgentní „hosting alert“) pomůžou týmu zautomatizovat reakci: STOP → OVĚŘ → PROVĚŘ.

Ultimativní pravidlo zní: dvě operace bez výjimek

Nastavte standard, který se nedá „ukecat hezky napsaným e-mailem“:

• Změna platebních údajů (dodavatel, klient, číslo účtu).
• Reset / obnova klíčových účtů (e-mail, administrace hostingu, přístupy k serverům).

Často kladené otázky (FAQ) o phishingu a zabezpečení hostingu

Jaký je rozdíl mezi phishingem, smishingem a vishingem?

Phishing je obecný termín pro sociální inženýrství, které využívá podvodné zprávy k získání citlivých údajů. Smishing využívá stejné principy, ale jako kanál slouží SMS zprávy (např. falešné notifikace o uvízlé zásilce). Vishing představuje telefonický útok, kde útočník imituje bankéře nebo IT podporu, aby vás pod tlakem donutil k prozrazení hesel nebo autorizačních kódů. Všechny tři metody sledují stejný cíl: krádež.

VPS Centrum

Vyzkoušejte zdarma naši aplikaci pro správu serveru a domén. Budete si připadat jako zkušený administrátor.

Kliknul/a jsem na phishingový odkaz, ale nic jsem nevyplnil/a. Je to problém?

Ano, je. Riziko závisí na typu odkazu. Pokud se načetla pouze přihlašovací stránka a nic jste nezadali, je riziko nižší. Pokud však odkaz vedl ke stažení a spuštění souboru, mohlo dojít k instalaci malwaru nebo sledovacího kódu. Doporučujeme okamžitě spustit bezpečnostní kontrolu zařízení, zkontrolovat logy v administraci hostingu a preventivně změnit heslo ke kompromitovanému účtu. Podrobnější kroky naleznete v sekci Protokol po kliknutí.

Jak bezpečně ověřit, že e‑mail je opravdu z banky, dopravce nebo hostingu?

Nikdy nepoužívejte kontakty nebo odkazy uvedené v podezřelé zprávě. Nejbezpečnější metoda je nezávislé, dvoukanálové ověření (viz protokol STOP-OVĚŘ-PROVĚŘ v sekci 3). Zprávy ověřujte manuálně: otevřete novou záložku, ručně zadejte oficiální URL (např. vašeho poskytovatele serverů nebo banky) a přihlaste se obvyklou cestou. Pokud varování není viditelné po standardním přihlášení, jedná se o podvod.

Může mi phishing ukrást web, e-shop nebo přístup k hostingu?

Ano, je to primární cíl cíleného phishingu. Získáním přístupu k vašemu firemnímu e-mailu (master klíči) útočník okamžitě spustí proces resetu hesel k CMS, doméně a administraci hostingu (VPS/serveru). Úspěšná kompromitace vede k přesměrování návštěvnosti na podvodné stránky, instalaci malwaru kradoucího data klientů nebo k finančnímu vydírání. Pro kritickou infrastrukturu používejte výhradně SSH klíče a Passkeys, které jsou vůči phishingu imunní (viz sekce 8).

Stačí mi jako obrana proti phishingu antivirus a spam filtr?

Bohužel ne. Antivirus a spam filtry jsou nezbytné technické bariéry, ale řeší pouze část problému. Selhávají proti cíleným útokům, které zneužívají lidský faktor (sociální inženýrství). Klíčová obrana spočívá v procesní disciplíně: vynucování multifaktorové autentizace (MFA), používání správce hesel pro doménovou validaci a rutinní ověřování požadavků (STOP-OVĚŘ-PROVĚŘ). Ochrana je vždy kombinace technologie a rutiny.