Přejít k hlavnímu obsahu

Jak se chránit před phishingovými útoky

Phishing je nejčastější příčinou krádeže účtů. Jak funguje moderní phishing, na co si dát pozor a jaká obrana skutečně útoky zastaví.

Naposledy aktualizováno: 14. dubna 2026

Stručně řečeno

  • Phishing je nejčastější příčinou převzetí účtů — útočníci vás přimějí zadat přihlašovací údaje na falešném webu.
  • Moderní phishingové sady klonují přihlašovací stránky do posledního pixelu a přeposílají vaše 2FA kódy v reálném čase.
  • Hardwarové bezpečnostní klíče (YubiKey, FIDO2) jsou jediná obrana, která je ze své podstaty odolná vůči phishingu.
  • Správci hesel vás chrání tím, že odmítají automaticky vyplnit přihlašovací údaje na nesprávné doméně.
  • Před zadáním přihlašovacích údajů vždy zkontrolujte přesnou doménu a nikdy se nepřihlašujte přes odkaz v e-mailu.

Co je phishing?

Phishing je útok sociálního inženýrství, při němž útočník vytvoří přesvědčivou kopii legitimního webu — často do posledního pixelu — a přiměje oběť zadat tam své přihlašovací údaje. Jakmile oběť formulář odešle, útočník zachytí uživatelské jméno, heslo i případný druhý faktor a během několika sekund je použije k převzetí skutečného účtu.

Slovo pochází z metafory „rybaření" (anglicky fishing) o oběti s návnadou (obvykle e-mailem). Pravopis byl upraven tak, aby zdůraznil, že útočníci často využívají phonní čísla (SMS phishing neboli „smishing") a profesionálně vypadající infrastrukturu.

Proč je phishing stále hrozbou číslo jedna

Většina rozsáhlých úniků dat dnes nezahrnuje hackerské útoky, lámání hesel ani obcházení šifrování. Zahrnuje člověka, který zadá heslo na falešném webu. Phishing je:

  • Levný — útočník může za cenu jednoho VPS a falešné domény rozeslat miliony e-mailů
  • Těžko filtrovatelný — moderní sady střídají domény, využívají legitimní hosting a přizpůsobují se filtrům v reálném čase
  • Účinný — i uživatelé znalí bezpečnosti naletí dobře připraveným cíleným pokusům (spear phishing)
  • Škálovatelný — jediný úspěšný phishing často přináší přístup k desítkám propojených služeb díky opakovanému používání hesel

Zpráva Verizon Data Breach Investigations Report za rok 2024 zjistila, že phishing byl počátečním vektorem přístupu ve více než 36 % všech narušení — více než jakákoli jiná jednotlivá příčina.

Jak funguje moderní phishing

Phishing se vyvinul daleko za hranice e-mailů o „nigerijském princi" z roku 2000. Moderní phishingový útok obvykle zahrnuje:

1. Přesvědčivé vnadidlo

Zpravidla e-mail, SMS nebo zpráva v chatu vyvolávající naléhavost („Váš účet bude pozastaven"), autoritu („Bezpečnostní tým Microsoft") nebo zvědavost („Někdo vás označil na fotografii"). Spear-phishing jde ještě dál a využívá osobní údaje získané z LinkedIn, úniků dat nebo předchozí korespondence.

2. Dokonale zkopírovaný falešný web

Útočníci používají hotové phishingové sady, které klonují HTML, CSS a JavaScript cílového webu. Mnohé sady jsou prodávány jako služba (phishing-as-a-service), s funkčními ovládacími panely a zákaznickou podporou.

3. Proxy server pro 2FA v reálném čase

Nebezpečná část: moderní sady nezachycují jen vaše heslo. Fungují jako proxy server typu man-in-the-middle, který vše, co zadáte — včetně vašeho TOTP kódu — přepošle na skutečný web během několika sekund a obejde tak většinu metod 2FA. Tato technika se nazývá adversary-in-the-middle (AiTM) a je používána v nástrojích jako Evilginx2 a Modlishka.

4. Krádež tokenu relace

Jakmile se přihlásíte prostřednictvím proxy serveru, útočník zachytí váš cookie relace a může ho použít k trvalému přihlášení i po změně hesla. Proto reakce na phishing vždy zahrnuje odvolání aktivních relací, nejen změnu hesla.

Co phishing skutečně zastaví

Hardwarové bezpečnostní klíče (FIDO2 / WebAuthn)

Toto je jediná kategorie obrany, která je ze své podstaty odolná vůči phishingu. Při přihlašování pomocí klíče FIDO2 klíč kryptograficky ověří přesnou doménu webu, který autentizaci požaduje. Falešný web — bez ohledu na to, jak vizuálně dokonalý je — má jinou doménu, takže klíč odmítne reagovat. Kryptografický handshake jednoduše není dokončen.

Google proslul tím, že v roce 2017 zavedl YubiKey pro všech 85 000+ zaměstnanců a od té doby na firemních účtech nenahlásil žádný úspěšný phishingový útok.

Přístupové klíče (passkeys)

Passkeys jsou spotřebitelsky přívětivým vývojem FIDO2. Používají stejnou kryptografii vázanou na doménu a jsou integrovány do iOS, Android, macOS a Windows. Pokud web, který používáte, passkeys podporuje, jejich povolení učiní daný účet odolným vůči phishingu.

Správci hesel

Správce hesel je vaší druhou linií obrany, protože automaticky vyplňuje přihlašovací údaje pouze na přesné doméně, kde byly uloženy. Pokud se ocitnete na paypaI.com (velké I) místo paypal.com, správce tiše odmítne formulář vyplnit. Toto odmítnutí je výrazným varováním, že něco není v pořádku.

Filtrování e-mailů a DNS

Poskytovatelé e-mailu používají DMARC, SPF a DKIM k odhalení falešných adres odesílatele. Většina moderních poskytovatelů zachytí zjevné pokusy, ale cílené útoky stále pronikají. Povolte tlačítko „Nahlásit phishing" ve svém e-mailovém klientovi, abyste pomohli zlepšit filtry.

Varovné signály, na které si dát pozor

Když obdržíte zprávu vyzývající vás k přihlášení, ověření nebo okamžité akci:

  • Naléhavost a výhrůžky — „Váš účet bude uzavřen do 24 hodin"
  • Obecné oslovení — „Vážený zákazníku" místo vašeho jména
  • Podobně vypadající doménypaypaI.com, app1e.com, secure-microsoft-login.net
  • Neočekávané přílohy — zejména soubory .zip, .html nebo .pdf, které vás vyzývají k přihlášení pro jejich zobrazení
  • Gramatické nebo formátovací chyby — velké společnosti své e-maily korektují
  • Nesoulad odkazu — najeďte myší na odkaz a zkontrolujte, zda cíl odpovídá textu odkazu

Pokud máte sebemenší pochybnosti, e-mail zavřete. Přejděte na web ručně. Pokud existuje skutečný problém, uvidíte ho po přihlášení svým obvyklým způsobem.

Co dělat, pokud jste naletěli

Jednejte rychle — rychlost je zásadní, protože útočníci začínají využívat přihlašovací údaje během minut.

  1. Okamžitě změňte heslo na jiném zařízení (například na telefonu, pokud jste naletěli na laptopu)
  2. Odvolejte všechny aktivní relace v nastavení účtu — tím vyřadíte každého, kdo aktuálně používá odcizené tokeny relace
  3. Povolte 2FA, pokud ještě nebylo aktivní, a pokud možno použijte hardwarový klíč nebo passkey
  4. Zkontrolujte neoprávněnou aktivitu — odeslané e-maily, nedávná přihlášení, změny v platebních údajích, nová pravidla pro přeposílání
  5. Upozorněte dotčenou instituci, jde-li o finanční nebo pracovní účet
  6. Zkontrolujte ostatní účty, které používaly stejné heslo — i když jste si jisti, že hesla neopakujete, zkontrolujte to

Závěr

Phishing se daří, protože obchází technologie a cílí na lidi. Nejlepší obrana kombinuje tři vrstvy: správce hesel (odmítají vyplnit přihlašovací údaje na nesprávné doméně), 2FA odolné vůči phishingu (hardwarové klíče nebo passkeys vázané na skutečnou doménu) a zdravý skepticismus (nikdy se nepřihlašujte přes odkaz v e-mailu).

Povolte všechny tři vrstvy nejprve na svém nejdůležitějším účtu — e-mailu. Od té chvíle bude zbytek vašeho digitálního života výrazně bezpečnější.

Jak se chránit před phishingem

Praktický seřazený kontrolní seznam pro posílení ochrany vašich účtů před phishingovými útoky.

  1. Používejte správce hesel:Nainstalujte si důvěryhodného správce hesel (1Password, Bitwarden, Proton Pass) a nechte ho automaticky vyplňovat přihlašovací údaje. Na podobně vypadající domény odmítne vyplnit — máte tak vestavěný detektor phishingu.
  2. Povolte 2FA odolné vůči phishingu:Přidejte hardwarový klíč FIDO2 (YubiKey, Google Titan) nebo přístupový klíč (passkey) ke svým nejdůležitějším účtům — začněte e-mailem, pak bankovnictvím, cloudovým úložištěm a správcem hesel. Jsou to jediné metody 2FA, které skutečně zastaví moderní phishing.
  3. Nikdy se nepřihlašujte přes odkazy v e-mailech:Když dostanete e-mail vyzývající k přihlášení, e-mail zavřete a přejděte na web ručně pomocí záložky nebo zadáním URL. Odkaz v e-mailu může být dokonalou kopií; záložka ve vašem prohlížeči nikoliv.
  4. Před zadáním přihlašovacích údajů zkontrolujte přesnou doménu:Před zadáním jakéhokoli hesla se podívejte na úplnou URL v adresním řádku. Zkontrolujte přítomnost https, správný pravopis a nepřítomnost neočekávaných subdomén, jako je paypal.com.secure-login.net.
  5. Nahlaste pokus a pokračujte dál:Nahlaste phishingový pokus svému poskytovateli e-mailu (většina nabízí tlačítko „Nahlásit phishing"). Pak pokračujte ve svém dni — phishing je nebezpečný pouze tehdy, pokud mu naletíte, a samotná ostražitost je z větší části tím, co vás chrání.

Často kladené otázky