Phishing se mění – jak rozpoznat moderní útoky?
Zatímco dříve byl phishing spojován s neobratnými e-maily plnými pravopisných chyb, dnes jsou útoky mnohem sofistikovanější. Útočníci využívají znalost firemních procesů, individuální motivaci zaměstnanců i aktuální trendy jako třeba umělou inteligenci. To vyžaduje od firem zásadně jiný přístup k ochraně dat i vzdělávání zaměstnanců.
Jak vypadá phishing v roce 2025
Phishingová kampaň už nemusí vypadat podezřele. Útočníci se spoléhají na důvěryhodné grafické zpracování, autentické e-mailové domény nebo osobní oslovení. Umějí napodobit vnitrofiremní komunikaci, využívají sociální sítě nebo zasílají škodlivé zprávy přes chatovací platformy. Stále častěji se setkáváme s cílenými útoky na konkrétní osobu („spear phishing“) nebo s rozsáhlými kampaněmi útočícími na stovky uživatelů současně. Výsledkem může být nejen zcizení citlivých informací, ale také dlouhodobý přístup do firemní infrastruktury. K rychlejšímu a levnějšímu generování textů nebo zpráv pachatelům napomáhá také AI.
Nejčastější typy phishingu:
· Spear phishing: Personalizované útoky, které využívají informace o oběti, například jméno, pozici nebo obchodní vztahy.
· Business Email Compromise (BEC): Útočníci se vydávají za vedoucí pracovníky či dodavatele a snaží se přimět zaměstnance k převodu finančních prostředků nebo předání dat.
· Vishing a smishing: Phishingové útoky skrze telefonní hovory a SMS zaměřené zejména na rychlé získání údajů.
Nové typy útoků:
· Quishing: Jde o útok využívající QR kódy. Útočníci posílají e-maily nebo jiné zprávy s falešnými kódy, které po naskenování přesměrují uživatele na podvodné stránky. Tam může dojít ke krádeži přihlašovacích údajů nebo infikování zařízení malwarem.
· Cloud-Based Phishing: Útočníci vytvářejí falešné přihlašovací stránky populárních platforem (Microsoft 365, Google Drive, DocuSign) a lákají uživatele k zadání citlivých informací.
· Zahlcení MFA požadavky: Útočníci hromadně generují požadavky na vícefaktorové ověření identity. Pokud uživatel není obezřetný, v záplavě notifikací může omylem či ve zmatku schválit falešný požadavek a umožnit útočníkovi přístup.
Jak na účinnou obranu před phishingem?
Pravidelné vzdělávání zaměstnanců
Výzkumy potvrzují, že trénink zaměstnanců musí jít dál než k pouhé identifikaci podezřelé zprávy. Útočníci často spoléhají na tlak či manipulaci (urgentní prosby, hrozby, nabídky výhod) a využívají chvíle nepozornosti, stresu nebo časového tlaku. Vhodně nastavené firemní procesy mohou těmto scénářům předcházet. Může jít třeba o jasně definované postupy pro schvalování plateb a pravidla pro ověřování totožnosti nebo procesy, jak reagovat na neočekávané požadavky ze strany managementu a dodavatelů. Klíčovým prvkem je trvalé zvyšování povědomí všech pracovníků o nejnovějších hrozbách. Praktické tréninky, simulované phishingové kampaně a sdílení příkladů reálných útoků výrazně zvyšují šanci, že lidé ve firmě podezřelou zprávu rozeznají včas.
Technologická ochrana
Moderní bezpečnostní nástroje dokážou detekovat podezřelé e-maily, blokovat škodlivé odkazy či přílohy a monitorovat interní komunikaci. Dvoufaktorová autentizace a postupné segmentování firemní infrastruktury pak minimalizují dopady případného útoku. Technologická vrstva ochrany se neustále inovuje. Například antiphishingové filtry a centralizované nástroje SIEM umožňují sledovat anomálie v síťovém provozu a automaticky upozorňovat na podezřelé chování. Kombinace technologie s lidským faktorem je klíčem k úspěchu: Žádná platforma není bez mezer, a proto je nutné investovat do pravidelného testování a auditů. Zvláštní pozornost je nezbytné věnovat ochraně privilegovaných účtů a pravidelné revizi přístupů, aby nebylo možné zneužít administrativní role v infrastruktuře.
Incident response
Firmy by měly mít detailně popsané postupy, jak reagovat na bezpečnostní incidenty. Rychlé nahlášení útoku, izolace kompromitovaného uživatele a profesionální analýza incidentu jsou pro minimalizaci škod zásadní.
Ověření dodavatelů a partnerů
Phishing často míří nejen přímo dovnitř organizace, ale také skrz externí partnery. Ověření identity, bezpečnostní požadavky ve smlouvách a pravidelné kontroly jsou prevencí před zneužitím těchto kanálů. Je vhodné pravidelně testovat nejen vlastní obranu, ale i expozici partnerů v rámci „supply chain risk management“.
Co si z článku odnést?
Phishing se rychle přesouvá z e-mailů do chatů, mobilních aplikací a sociálních sítí. Je personalizovanější kvůli rostoucímu významu a schopnostem AI.
Jde o téměř každodenní hrozbu pro každého zaměstnance i management. Investice do vzdělání, technologie a interní kultury napříč všemi odděleními bezpečnosti jsou tou nejlepší obranou.
Začněte pravidelně komunikovat o hrozbách a nastavte jasná pravidla pro ohlašování podezřelých situací. Útočníci sází na lidské chyby a budování prostředí, ve kterém se zaměstnanci nebojí nahlásit problém, je zásadní.
Další články a aktuální trendy najdete na O2 CyberNews.
