Preskočiť na hlavný obsah

Ako sa chrániť pred phishingovými útokmi

Phishing je najčastejší spôsob, akým sú účty odcudzené. Ako funguje moderný phishing, červené vlajky a obrana, ktorá útoky skutočne zastaví.

Posledná aktualizácia: 14. apríla 2026

Stručne

  • Phishing je najčastejšou príčinou prevzatia účtov – útočníci vás oklamú, aby ste zadali prihlasovacie údaje na falošnej stránke.
  • Moderné phishingové súpravy klonujú prihlasovacie stránky pixel za pixelom a v reálnom čase prenášajú vaše 2FA kódy.
  • Hardvérové bezpečnostné kľúče (YubiKey, FIDO2) sú jedinou obranou, ktorá je navrhnutá ako odolná voči phishingu.
  • Správcovia hesiel vás chránia tým, že odmietnu automaticky vyplniť údaje na nesprávnej doméne.
  • Pred zadaním prihlasovacích údajov skontrolujte presnú doménu a nikdy sa neprihlasujte prostredníctvom odkazu v e-maili.

Čo je phishing?

Phishing je útok sociálneho inžinierstva, pri ktorom útočník vytvorí presvedčivú kópiu legitímnej webovej stránky – často pixel za pixelom – a oklame obeť, aby tam zadala prihlasovacie údaje. V momente, keď obeť odošle formulár, útočník zachytí používateľské meno, heslo a akýkoľvek druhý faktor, a potom ich použije na prevzatie skutočného účtu v priebehu sekúnd.

Slovo pochádza z metafory „rybačky" na obete s návnadou (zvyčajne e-mail). Pravopis sa zmenil, aby zdôraznil, že útočníci často používajú telefónné čísla (SMS phishing alebo „smishing") a profesionálne vyzerajúcu infraštruktúru.

Prečo je phishing stále hrozbou číslo 1

Väčšina veľkých bezpečnostných únikov účtov dnes nezahŕňa hackovanie, lúštenie hesiel ani obchádzanie šifrovania. Zahŕňa človeka, ktorý zadá heslo na falošnú stránku. Phishing je:

  • Lacný – útočník môže poslať milióny e-mailov za cenu VPS a sfalšovanej domény
  • Ťažko filtrovateľný – moderné súpravy rotujú domény, používajú legitímny hosting a v reálnom čase sa prispôsobujú filtrom
  • Účinný – aj bezpečnostne uvedomelí používatelia naletia na dobre vypracované cielené pokusy (spear phishing)
  • Škálovateľný – jeden úspešný phishing často poskytne prístup k desiatkam prepojených služieb prostredníctvom opakovaného použitia hesla

Správa Verizon Data Breach Investigations Report z roku 2024 zistila, že phishing bol počiatočným vektorom prístupu pri viac ako 36 % všetkých únikov – viac ako akákoľvek iná jednotlivá príčina.

Ako funguje moderný phishing

Phishing sa vyvinul ďaleko za rámec e-mailov o „nigerijskom princovi" z roku 2000. Moderný phishingový útok zvyčajne zahŕňa:

1. Presvedčivú návnadu

Zvyčajne ide o e-mail, textovú správu alebo správu v chate, ktorá vytvára naliehavosť („Váš účet bude pozastavený"), autoritu („Bezpečnostný tím Microsoft") alebo zvedavosť („Niekto vás označil na fotografii"). Spear-phishing to posúva ďalej s osobnými údajmi získanými z LinkedIn, únikov databáz alebo predchádzajúcej korešpondencie.

2. Pixel-perfektnú falošnú stránku

Útočníci používajú bežne dostupné phishingové súpravy, ktoré klonujú HTML, CSS a JavaScript cieľovej stránky. Mnoho súprav sa predáva ako služba (phishing-as-a-service) s funkčnými ovládacími panelmi a zákazníckou podporou.

3. Proxy server v reálnom čase pre 2FA

Nebezpečná časť: moderné súpravy nezachytávajú iba vaše heslo. Fungujú ako proxy server man-in-the-middle, ktorý presmerúva všetko, čo napíšete – vrátane vášho TOTP kódu – na skutočnú stránku v priebehu sekúnd, čím obídu väčšinu 2FA. Táto technika sa nazýva adversary-in-the-middle (AiTM) a je používaná v nástrojoch ako Evilginx2 a Modlishka.

4. Krádež session tokenov

Keď sa autentifikujete prostredníctvom proxy servera, útočník zachytí vaše session cookie a môže ho použiť na zostanie prihlásenia aj po zmene vášho hesla. Preto reakcia na phishing vždy zahŕňa zrušenie aktívnych relácií, nielen rotáciu hesla.

Čo phishing skutočne zastaví

Hardvérové bezpečnostné kľúče (FIDO2 / WebAuthn)

Toto je jediná kategória obrany, ktorá je odolná voči phishingu zo svojej podstaty. Keď sa prihlásite pomocou kľúča FIDO2, váš kľúč kryptograficky overí presnú doménu stránky, ktorá si žiada autentifikáciu. Falošná stránka – bez ohľadu na to, aká je vizuálne dokonalá – má inú doménu, takže kľúč odmietne odpovedať. Kryptografická výmena jednoducho nie je dokončená.

Google slávne nariadil YubiKey pre všetkých 85 000+ zamestnancov v roku 2017 a odvtedy hlásil nula úspešných phishingových útokov na firemné účty.

Passkeys

Passkeys sú spotrebiteľsky priaznivou evolúciou FIDO2. Používajú rovnakú kryptografiu viazanú na doménu a sú zabudované do iOS, Android, macOS a Windows. Ak stránka, ktorú používate, podporuje passkeys, ich aktivácia robí daný účet odolným voči phishingu.

Správcovia hesiel

Správca hesiel je vaša druhá línia obrany, pretože automaticky vypĺňa prihlasovacie údaje iba na presnej doméne, kde boli uložené. Ak sa ocitnete na paypaI.com (veľké I) namiesto paypal.com, váš správca potichu odmietne vyplniť formulár. Toto odmietnutie je hlasným varovaním, že niečo nie je v poriadku.

Filtrovanie e-mailov a DNS

Poskytovatelia e-mailu používajú DMARC, SPF a DKIM na detekciu sfalšovaných adries odosielateľov. Väčšina moderných poskytovateľov zachytí zrejmé pokusy, ale cielené útoky stále prenikajú. Aktivujte tlačidlá „nahlásiť phishing" vo svojom e-mailovom klientovi, aby ste pomohli filtrom zlepšovať sa.

Červené vlajky, na ktoré si dávať pozor

Keď dostanete správu s výzvou na prihlásenie, overenie alebo naliehavé konanie:

  • Naliehavosť a hrozby – „Váš účet bude zatvorený o 24 hodín"
  • Všeobecné pozdravy – „Vážený zákazník" namiesto vášho mena
  • Podobne vyzerajúce doménypaypaI.com, app1e.com, secure-microsoft-login.net
  • Neočakávané prílohy – najmä súbory .zip, .html alebo .pdf, ktoré vás žiadajú o prihlásenie na ich zobrazenie
  • Gramatické alebo formátovacie chyby – veľké spoločnosti korektúrujú svoje e-maily
  • Nesúlad odkazov – ukážte myšou na odkaz a skontrolujte, či destinácia zodpovedá textu

Ak niečo pôsobí podozrivo, e-mail zatvorte. Prejdite na stránku manuálne. Ak existuje skutočný problém, uvidíte ho, keď sa prihlásite svojím bežným spôsobom.

Čo robiť, ak ste naleteli

Konajte rýchlo – rýchlosť je dôležitá, pretože útočníci začínajú používať prihlasovacie údaje v priebehu minút.

  1. Okamžite zmeňte heslo na inom zariadení (napríklad na telefóne, ak ste naleteli na laptope)
  2. Zrušte všetky aktívne relácie v nastaveniach účtu – tým vyhodíte každého, kto momentálne používa odcudzené session tokeny
  3. Aktivujte 2FA, ak ešte nebolo zapnuté, a ak je to možné, použite hardvérový kľúč alebo passkey
  4. Skontrolujte neoprávnenú aktivitu – odoslané e-maily, nedávne prihlásenia, zmeny fakturácie, nové pravidlá presmerovania
  5. Upozornite dotknutú inštitúciu, ak ide o finančný alebo pracovný účet
  6. Skontrolujte ostatné účty, ktoré používali rovnaké heslo – aj keď ste si istí, že heslá neopakujete, skontrolujte to

Záver

Phishing prosperuje, pretože obchádza technológie a zameriava sa na ľudí. Najlepšia obrana kombinuje tri vrstvy: správcovia hesiel (odmietajú automaticky vypĺňať na nesprávnych doménach), 2FA odolné voči phishingu (hardvérové kľúče alebo passkeys viazané na skutočnú doménu) a zdravý skepticizmus (nikdy sa neprihlasujte prostredníctvom odkazu v e-maili).

Aktivujte všetky tri na vašom najdôležitejšom účte – vašom e-maile – ako prvom. Od toho momentu sa zvyšok vášho digitálneho života stane zmysluplne bezpečnejším.

Ako sa chrániť pred phishingom

Praktický, zoradený kontrolný zoznam na posilnenie vašich účtov voči phishingovým útokom.

  1. Používajte správcu hesiel:Nainštalujte si dôveryhodného správcu hesiel (1Password, Bitwarden, Proton Pass) a nechajte ho automaticky vypĺňať prihlasovacie údaje. Odmietne vypĺňať na podobne vyzerajúcich doménach, čím vám poskytne vstavaný detektor phishingu.
  2. Aktivujte 2FA odolné voči phishingu:Pridajte hardvérový kľúč FIDO2 (YubiKey, Google Titan) alebo passkey k vašim najdôležitejším účtom – najprv e-mail, potom bankovníctvo, cloudové úložisko a správca hesiel. Toto sú jediné metódy 2FA, ktoré skutočne zastavia moderný phishing.
  3. Nikdy sa neprihlasujte prostredníctvom odkazov v e-mailoch:Keď dostanete e-mail s výzvou na prihlásenie, e-mail zatvorte a prejdite na stránku manuálne pomocou záložky alebo zadaním URL. Odkaz v e-maili môže byť dokonalý klon; záložka vo vašom prehliadači nie.
  4. Pred zadaním údajov skontrolujte presnú doménu:Pred zadaním akéhokoľvek hesla sa pozrite na celú URL v adresnom riadku. Skontrolujte https, správny pravopis a žiadne extra subdomény ako paypal.com.secure-login.net.
  5. Nahláste a pokračujte ďalej:Nahláste pokus o phishing svojmu poskytovateľovi e-mailu (väčšina má tlačidlo „Nahlásiť phishing"). Potom pokračujte vo svojom dni – phishing je nebezpečný iba vtedy, keď naň naletíte, a uvedomenie si je väčšinou boja.

Často kladené otázky