Přejít k hlavnímu obsahu

Jak se chránit před phishingovými útoky

Phishing zůstává způsobem č. 1, jak dochází ke krádeži účtů. Naučte se, jak funguje moderní phishing, jaké varovné signály sledovat a praktické obranné mechanismy, které skutečně zastaví útoky.

2026-04-14

TL;DR

  • Phishing je hlavní příčinou převzetí účtů — útočníci vás podvedou, abyste zadali přihlašovací údaje na falešné stránce.
  • Moderní phishingové sady klonují přihlašovací stránky pixel přesně a předávají vaše 2FA kódy v reálném čase.
  • Hardwarové bezpečnostní klíče (YubiKey, FIDO2) jsou jedinou obranou, která je navržena jako odolná proti phishingu.
  • Správci hesel vás chrání tím, že odmítají automatické vyplnění na nesprávné doméně.
  • Před zadáním přihlašovacích údajů zkontrolujte přesnou doménu a nikdy se nepřihlašujte z odkazu v e-mailu.

Co je to phishing?

Phishing je útok sociálního inženýrství, při kterém útočník vytvoří přesvědčivou kopii legitimní webové stránky — často pixel přesně — a podvede oběť, aby tam zadala přihlašovací údaje. V okamžiku, kdy oběť odešle formulář, útočník zachytí uživatelské jméno, heslo a jakýkoli druhý faktor, a pak je použije k převzetí skutečného účtu během sekund.

Slovo pochází z metafory „rybaření" na oběti s návnadou (obvykle e-mailem). Pravopis se změnil, aby zdůraznil, že útočníci často používají telefonní čísla (SMS phishing neboli „smishing") a profesionálně vypadající infrastrukturu.

Proč je phishing stále hrozbou č. 1

Většina rozsáhlých narušení účtů dnes nezahrnuje hackování, prolomení hesel nebo obcházení šifrování. Zahrnuje člověka, který zadá heslo na falešné stránce. Phishing je:

  • Levný — útočník může poslat miliony e-mailů za cenu VPS a falešné domény
  • Těžký k filtrování — moderní sady střídají domény, používají legitimní hosting a přizpůsobují se filtrům v reálném čase
  • Efektivní — i uživatelé vědomí bezpečnosti naletí dobře vytvořeným cíleným pokusům (spear phishing)
  • Škálovatelný — jeden úspěšný phish často poskytne přístup k desítkám propojených služeb prostřednictvím opakovaného použití hesla

Zpráva Verizon Data Breach Investigations Report z roku 2024 zjistila, že phishing byl počátečním vektorem přístupu ve více než 36 % všech narušení — více než jakákoli jiná jednotlivá příčina.

Jak funguje moderní phishing

Phishing se vyvinul daleko za e-maily „nigerijského prince" z roku 2000. Moderní phishingový útok typicky zahrnuje:

1. Přesvědčivou návnadu

Obvykle e-mail, text nebo zpráva v chatu vytvářející naléhavost („Váš účet bude pozastaven"), autoritu („tým zabezpečení Microsoft") nebo zvědavost („Někdo vás označil na fotografii"). Spear-phishing to posunuje dále osobními detaily získanými z LinkedIn, databází narušení nebo předchozí korespondence.

2. Pixel přesnou falešnou stránku

Útočníci používají hotové phishingové sady, které klonují HTML, CSS a JavaScript cílové stránky. Mnoho sad se prodává jako služba (phishing-as-a-service), s funkčními dashboardy a zákaznickou podporou.

3. Proxy v reálném čase pro 2FA

Nebezpečná část: moderní sady nezachycují jen vaše heslo. Působí jako man-in-the-middle proxy, která předává vše, co napíšete — včetně vašeho TOTP kódu — na skutečnou stránku během sekund, čímž obejde většinu 2FA. Tato technika se nazývá adversary-in-the-middle (AiTM) a používá se v nástrojích jako Evilginx2 a Modlishka.

4. Krádež session tokenu

Jakmile se autentifikujete přes proxy, útočník zachytí váš session cookie a může ho použít k udržení přihlášení i poté, co změníte heslo. Proto reakce na phishing vždy zahrnuje zrušení aktivních relací, nejen rotaci hesla.

Co skutečně zastaví phishing

Hardwarové bezpečnostní klíče (FIDO2 / WebAuthn)

To je jediná kategorie obrany, která je navržena jako odolná proti phishingu. Když se přihlásíte s FIDO2 klíčem, váš klíč kryptograficky ověří přesnou doménu stránky žádající o autentifikaci. Falešná stránka — bez ohledu na to, jak vizuálně dokonalá — má jinou doménu, takže klíč odmítne odpovědět. Kryptografický handshake se jednoduše nedokončí.

Google famózně nařídil YubiKeys pro všech 85 000+ zaměstnanců v roce 2017 a hlásil nula úspěšných phishingových útoků na firemní účty v následujících letech.

Passkeys

Passkeys jsou spotřebitelsky přívětivý vývoj FIDO2. Používají stejnou kryptografii vázanou na doménu a jsou zabudovány do iOS, Android, macOS a Windows. Pokud stránka, kterou používáte, podporuje passkeys, povolení jednoho učiní tento účet odolným proti phishingu.

Správci hesel

Správce hesel je vaše druhá linie obrany, protože automaticky vyplňuje přihlašovací údaje pouze na přesné doméně, kde byly uloženy. Pokud se dostanete na paypaI.com (velké I) místo paypal.com, váš správce tiše odmítne vyplnit formulář. Toto odmítnutí je hlasité varování, že něco není v pořádku.

Filtrování e-mailu a DNS

Poskytovatelé e-mailu používají DMARC, SPF a DKIM k detekci falešných adres odesílatele. Většina moderních poskytovatelů zachytí zjevné pokusy, ale cílené útoky stále proklouznou. Zapněte tlačítka „nahlásit phishing" ve vašem e-mailovém klientovi, abyste pomohli filtrům se zlepšit.

Varovné signály, na které si dát pozor

Když obdržíte zprávu žádající o přihlášení, ověření nebo urgentní jednání:

  • Naléhavost a hrozby — „Váš účet bude za 24 hodin zrušen"
  • Obecná oslovení — „Vážený zákazníku" místo vašeho jména
  • Podobně vypadající doménypaypaI.com, app1e.com, secure-microsoft-login.net
  • Neočekávané přílohy — zejména soubory .zip, .html nebo .pdf žádající o přihlášení k jejich zobrazení
  • Gramatické nebo formátovací chyby — velké společnosti si své e-maily kontrolují
  • Nesoulad odkazů — najeďte na odkaz a zkontrolujte, zda destinace odpovídá textu

Pokud se něco zdá divné, zavřete e-mail. Přejděte na stránku ručně. Pokud existuje skutečný problém, uvidíte ho, když se přihlásíte svým normálním postupem.

Co dělat, pokud jste na to naletěli

Jednejte rychle — rychlost má význam, protože útočníci začnou používat přihlašovací údaje během minut.

  1. Okamžitě změňte heslo na jiném zařízení (například na telefonu, pokud jste na to naletěli na notebooku)
  2. Zrušte všechny aktivní relace v nastavení účtu — to vykopne každého, kdo aktuálně používá ukradené session tokeny
  3. Zapněte 2FA, pokud ještě nebyla zapnutá, a použijte hardwarový klíč nebo passkey, pokud je to možné
  4. Zkontrolujte neautorizovanou aktivitu — odeslané e-maily, nedávná přihlášení, změny fakturace, nová pravidla přesměrování
  5. Informujte postižnou instituci, pokud se jedná o finanční nebo pracovní účet
  6. Zkontrolujte další účty, které používaly stejné heslo — i když jste si jisti, že hesla neopakujete, zkontrolujte to

Závěr

Phishing prosperuje, protože obchází technologie a cílí na lidi. Nejlepší obrana kombinuje tři vrstvy: správce hesel (odmítají automatické vyplnění na nesprávných doménách), 2FA odolné proti phishingu (hardwarové klíče nebo passkeys, které se vážou na skutečnou doménu) a zdravou skepsi (nikdy se nepřihlašujte z odkazu v e-mailu).

Zapněte všechny tři na vašem nejdůležitějším účtu — vašem e-mailu — jako první. Odtud se zbytek vašeho digitálního života stane významně bezpečnějším.

Jak se chránit před phishingem

Praktický, uspořádaný kontrolní seznam pro posílení vašich účtů proti phishingovým útokům.

  1. Používejte správce hesel:Nainstalujte renomovaný správce hesel (1Password, Bitwarden, Proton Pass) a nechte ho automaticky vyplňovat přihlašovací údaje. Odmítne vyplnit na podobně vypadajících doménách, což vám poskytne vestavěný detektor phishingu.
  2. Zapněte 2FA odolné proti phishingu:Přidejte FIDO2 hardwarový klíč (YubiKey, Google Titan) nebo passkey k vašim nejdůležitějším účtům — nejprve e-mail, pak bankovnictví, cloudové úložiště a správce hesel. To jsou jediné metody 2FA, které skutečně zastaví moderní phishing.
  3. Nikdy se nepřihlašujte z odkazů v e-mailu:Když dostanete e-mail žádající o přihlášení, zavřete e-mail a přejděte na stránku ručně přes záložku nebo zadáním URL. Odkaz v e-mailu může být dokonalý klon; záložka ve vašem prohlížeči není.
  4. Zkontrolujte přesnou doménu před psaním:Před zadáním jakéhokoli hesla se podívejte na úplnou URL v adresním řádku. Hledejte https, správný pravopis a žádné extra subdomény jako paypal.com.secure-login.net.
  5. Nahlaste a pokračujte dál:Nahlaste pokus o phishing vašemu poskytovateli e-mailu (většina má tlačítko „Nahlásit phishing"). Pak pokračujte ve svém dni — phishing je nebezpečný pouze pokud na něj naletíte, a povědomí je většina boje.

Frequently Asked Questions

Related Articles

What Is 2fa

Privacy Checklist

Encrypted Email