Typy phishingových útoků: Jak rozpoznat návnadu a zůstat mimo háček?

Phishing nikam nemizí. Stále je to jeden z nejúčinnějších a nejnákladnějších typů kybernetické kriminality.

Na začátku roku 2025 oznámila pracovní skupina Anti-Phishing Working Group prudký nárůst útoků typu BEC (Business Email Compromise) zaměřených na bankovní převody o 33 %. Průměrný požadavek? Téměř 129 000 USD.

Zpráva společnosti Verizon o vyšetřování úniků dat za rok 2025 uvádí, že na 60 % narušení bezpečnosti se podílí lidský faktor, což z velké části zahrnuje různé typy phishingových útoků. Podvodníci přesně vědí, kde jsou slabá místa. A nejčastěji to není technika. Jsme to my.

Dobrou zprávou je, že jako poskytovatel konzultačních služeb pro Google Workspace s prokazatelnými výsledky se s vámi rádi podělíme o naše znalosti, jak se proti nim bránit.

Které 4 typy phishingových útoků jsou v trendu?

Phishing se dostal na novou úroveň. Dnes jde především o přesnost, rychlost a psychologickou manipulaci, to vše s podporou umělé inteligence.

Útočníci dnes nemusí hádat. Analyzují příspěvky na sociálních sítích, firemní zprávy a staré úniky dat, aby vytvořili e-maily, které znějí, jako by přišly od vašeho šéfa nebo šéfa vašeho šéfa. Vědí, kdo jste, na čem pracujete a jak komunikujete.

Díky umělé inteligenci mohou během několika sekund vygenerovat tisíce jedinečných a realistických zpráv.

Typ 1. Éra umělé inteligence — hyperpersonalizace, hluboké podvrhy, polymorfní útoky a automatizace

Dříve bylo snazší phishingový e-mail odhalit. Špatné formulace, podivné odkazy, obecné pozdravy. To už neplatí. Umělá inteligence píše lépe než většina lidí, používá dokonalou gramatiku a přátelský, lidský tón.

Pamatujete si, kdy byl videohovor zlatým standardem důvěry? Problém je, že typy phishingových útoků využívající deepfakes generované umělou inteligencí dnes napodobují hlasy, tváře, chování a vše ostatní skutečných lidí. Jeden mediálně známý případ se týkal finančního pracovníka v Hongkongu, který převedl 25,6 milionu USD po videohovoru s osobou, která vypadala jako jejich finanční ředitel z Velké Británie. Lidé na hovoru vypadali a zněli přesně jako kolegové. Ale nebyli. Každý z nich byl deepfake.

Světové ekonomické fórum ve své zprávě Global Cybersecurity Outlook 2025 uvádí 223% nárůst prodeje nástrojů pro tvorbu deepfakes na dark webu. To je nejen alarmující, ale také signál, že se tato technologie stává levnější, lepší a rozšířenější.

Dnešní útoky nikdy nevypadají dvakrát stejně. Umělá inteligence umožňuje útočníkům vytvářet v každé zprávě drobné změny, což jim pomáhá obcházet bezpečnostní filtry, které spoléhají na rozpoznávání vzorů. Podle zprávy KnowBe4 o trendech ve phishingových hrozbách pro rok 2025 mělo v poslední době více než 76 % phishingových e-mailů alespoň jeden polymorfní rys.

Tento trend ničí staré metody detekce, jako jsou filtry založené na pravidlech, detekce signatur a blacklisting.

Umělá inteligence nejenže dělá všechny typy phishingu chytřejšími. Dělá je i jednoduššími. I útočníci na nízké úrovni bez programátorských dovedností mohou spouštět masivní kampaně s téměř nulovým úsilím. Hotové phishingové sady jsou všude a většinu práce odvádí automatizace.

Propast v kybernetické bezpečnosti se prohlubuje. Velké společnosti s obranou založenou na umělé inteligenci drží linii. Menší společnosti? Ne tak docela. WEF varuje před rostoucí „kybernetickou nerovností“, kdy ti, kteří si nemohou dovolit nástroje nové generace, zůstávají bez ochrany.

To není jen technický problém, ale problém strategie. Rozpočty na bezpečnost musí odrážet dnešní realitu: nebojujete jen s hackery, ale i s jejich stroji.

Typ 2. Znovuzrození ransomwaru: Pokročilé payloady a obfuskační techniky phishingu

Nejde jen o krádež hesel. Je to hlavní způsob, jakým se ransomware dostává do systémů.

Mezi listopadem 2024 a únorem 2025 vzrostl počet případů ransomwaru doručeného prostřednictvím phishingu o 57,5 %. Více než polovina všech ransomwarových útoků začala e-mailem. To není náhoda. Je to systematický postup. Ransomware a phishing jsou dvě strany téže mince.

Organizace musí považovat zabezpečení e-mailů za svou hlavní obrannou linii proti typům phishingových útoků, které zahrnují ransomware. Čekat až po infekci je příliš pozdě.

Typ 3. Nové vektory útoku: Quishing a vícekanálové sociální inženýrství

Quishing neboli phishing prostřednictvím QR kódů se rychle šíří. QR kódy v e-mailech, na plakátech nebo v poštovních zásilkách mohou nyní vést na falešné stránky nebo malware. Například v USA se s tímto konkrétním typem phishingu setkaly desítky milionů lidí, jak uvádí článek CNBC z července 2025.

Tato hybridní hrozba stírá hranice mezi digitálním a fyzickým světem. Obranné strategie se musí přizpůsobit. Už nejde jen o e-maily, a povědomí o bezpečnosti se musí rozšířit i do reálného světa.

Útočníci stále častěji používají k oslovení cílů Slack, Teams, SMS, hlasové hovory a sociální sítě. V některých případech kombinují kanály: pošlou e-mail, na který navážou falešným hovorem od klonovaného manažera a nakonec zašlou deepfake video.

To je velký posun, který znamená, že zabezpečení nemůže fungovat izolovaně. Nezbytný je komplexní přístup.

Typ 4. Zranitelnosti dodavatelského řetězce: Zneužití vztahů s důvěryhodnými třetími stranami

Útoky se šíří také prostřednictvím dodavatelského řetězce. Přibližně 11 % phishingových e-mailů v roce 2024 pocházelo od kompromitovaných dodavatelů. To je velký problém, protože tyto e-maily mají v sobě zabudovanou důvěru.

Společnost PwC ve svém průzkumu Global Digital Trust Insights 2025 zjistila, že narušení ze strany třetích stran patří mezi nejobávanější problémy pro vedoucí pracovníky po celém světě (35 % respondentů), a tyto problémy, jak můžeme odvodit, zahrnují i různé typy phishingových útoků. A co je nejdůležitější, patří také mezi ty, na které se vrcholové vedení cítí nejméně připraveno.

Malý dodavatel se slabou obranou může otevřít dveře k mnohem větší kompromitaci.

Organizace musí rozšířit princip nulové důvěry (Zero Trust) za hranice svých vlastních zdí. To znamená neustálé prověřování, přísné řízení přístupu a monitorování v reálném čase, nejen pravidelné kontroly.

Proaktivní kroky — podobné těm, které doporučuje KPMG — zahrnují pravidelnou revizi seznamu dodavatelů softwaru a dalších klíčových třetích stran, aby se předešlo přílišnému spoléhání. Zároveň to znamená důsledné hodnocení jejich bezpečnostních postupů.

Cílem je porozumět nejen svým přímým partnerům, ale také závislostem „n-té strany“, které se nacházejí hlouběji v dodavatelském řetězci, uvádí McKinsey ve svém článku z července 2025. Díky tomuto přehledu můžete vytvořit spolehlivé krizové plány, které počítají s narušením na jakékoli úrovni, nejen na těch zjevných.

Jak se chránit před všemi 4 typy phishingu

Phishingové útoky jsou stále chytřejší, ale naše obrana nezůstává pozadu. Nejlepší ochrana je kombinací inovativních technologií a spolehlivých postupů.

Chytřejší zabezpečení e-mailů pomocí umělé inteligence

E-mailové filtry založené na umělé inteligenci jsou první linií obrany. Nehledají jen známé špatné odkazy nebo podezřelé předměty. Učí se na základě vzorců, např. kdo e-mail odesílá, co je v něm napsáno a jak vypadá ve srovnání s běžnými zprávami.

Vezměte si například Gmail. Jeho umělá inteligence blokuje více než 99,9 % spamu, phishingu a malwaru ještě předtím, než se vůbec dostane do vaší schránky. Některé systémy využívající strojové učení a zpracování přirozeného jazyka dokáží zachytit i záludné typy podvodů, jako jsou falešné faktury — tedy věci, které starší filtry mohly přehlédnout.

Používejte MFA, které nelze prolomit

Vícefaktorová autentizace (MFA) přidává záložní vrstvu pro případ, že vám bude heslo ukradeno. Ale ne všechny systémy MFA jsou stejné. Textové zprávy lze zachytit. Proto se tolik pozornosti věnuje pasovým klíčům.

Pasové klíče používají k ověření vaší totožnosti například otisk prstu, Face ID nebo zabezpečený kód PIN. Váš soukromý klíč zůstává uzamčen v zařízení, takže hacker nemá co ukrást. Nejvyšší agentura EU pro kybernetickou bezpečnost nyní pasové klíče doporučuje jako nejlepší dostupnou službu MFA, která je odolná vůči téměř všem typům phishingových útoků.

Ve výchozím nastavení nikomu nevěřte

Zásada „důvěřuj, ale prověřuj“ už neplatí. Dnes se řídíme principem Zero Trust: nikdy nedůvěřuj, vždy ověřuj.

Každý požadavek na přístup do systému, ať už z kanceláře nebo z druhého konce světa, je kontrolován a znovu ověřován. To pomáhá zastavit průnik, i když někdo klikne na špatný odkaz. Zero Trust udržuje přístup přísně kontrolovaný na základě toho, kdo je uživatel, co potřebuje a co je pro něj běžné.

Protokoly ověřování e-mailů (SPF, DKIM, DMARC)

Jak již víte, phishing často zahrnuje falešné e-maily, které vypadají jako od někoho, s kým komunikujete. Právě zde přichází na řadu ověřování e-mailů.

Protokoly jako Sender Policy Framework, DomainKeys Identified Mail a Domain-based Message Authentication, Reporting & Conformance ztěžují podvodníkům předstírání, že jsou někým jiným. Kontrolují, zda zpráva skutečně pochází z domény odesílatele, zda s ní nebylo manipulováno a zda nespadá pod běžné typy phishingu.

Ve Velké Británii vládní bezpečnostní experti dokonce organizacím doporučují, aby DMARC prosazovaly jako základní požadavek.

Uchovávejte citlivá data tam, kam patří

Phishing se vždy nezastaví u krádeže hesel. Cílem některých útoků je přimět uživatele k úniku citlivých informací.

Proto by nástroje pro prevenci ztráty dat (DLP) neměly být samozřejmostí. Pomáhají kontrolovat způsob sdílení souborů a zpráv, zejména v rámci nástrojů, jako je Disk Google, Chat a Gmail. Pokud dojde ke kompromitaci účtu, DLP může zabránit odesílání důvěrných souborů mimo firmu.

Aktualizace všeho — ano, všeho

Útočníci milují starý software. Pokud je v něm známá chyba, najdou ji a použijí, a to i v případě nepříliš módních typů phishingových útoků.

Řešením je udržovat všechny systémy, aplikace a bezpečnostní nástroje aktuální. Vývojáři často vydávají bezpečnostní záplaty, které uzavírají přesně ty díry, které phisheři hledají. Nechali byste v noci otevřené vstupní dveře? Přesně tak vypadá vynechávání aktualizací.

Na e-mailových bránách stále záleží

I s pokročilou umělou inteligencí a funkcí MFA hrají tradiční řešení, jako jsou zabezpečené e-mailové brány (SEG) a integrované cloudové zabezpečení e-mailu (ICES), stále klíčovou roli.

Některé novější nástroje se zaměřují na zaplňování mezer, které starší brány a dokonce i Microsoft 365 někdy opomíjejí. Společnost Gartner stále doporučuje SEG a ICES jako součást vrstvené strategie zabezpečení e-mailu.

Buďte o krok napřed s nástrojem Threat Intelligence

Dobrá obrana začíná kvalitními daty. Zpravodajství o hrozbách v reálném čase může včas odhalit útoky a pomoci rychleji reagovat. Jako partner společnosti Cloudflare víme, že její systémy každý den skenují více než 4,4 bilionu datových bodů napříč e-maily, DNS a webem. Google Security Operations jde ještě o krok dál díky automatizovaným nástrojům, které monitorují hrozby, provádějí vyšetřování a okamžitě reagují, protože její platforma Threat Intelligence vidí globální trendy související s novými typy phishingu v reálném čase.

Nezapomeňte na prohlížeč a zařízení

Phishing nemusí vždy přicházet prostřednictvím e-mailu. Někdy je slabým článkem prohlížeč.

ChromeOS s podporou ZTE blokuje nedůvěryhodné aplikace, spouští pouze ověřený software a chrání základní soubory před manipulací. Zatím zaznamenal nula případů ransomwaru a žádné známé viry. Chrome Enterprise Premium obsahuje funkci Enhanced Safe Browse, která zachycuje škodlivé weby při surfování.

Přesto solidní antivirový nástroj na všech koncových bodech pomáhá vyhledávat a zastavovat proklouznuvší malware.

Jak se vyhnout nejčastějším typům phishingu

I s těmi nejlepšími bezpečnostními nástroji jsou lidé často poslední linií obrany. Proto je budování silné kultury zabezpečení a učení zaměstnanců, jak rozpoznat hrozby, stejně důležité jako všechny služby kybernetické bezpečnosti.

Školení, na kterém záleží

Školení bezpečnostního povědomí (SAT) by nemělo být jednorázovou akcí. Musí být konzistentní, relevantní a poutavé.

Začněte tím, že zaměstnance naučíte, jak rozpoznat varovné signály: podivné požadavky, naléhavé zprávy, zvláštní e-mailové adresy nebo cokoli, co se vám zdá divné. Ale nezapomeňte — informační technologie změnila pravidla hry. Dnešní phishingové e-maily jsou přesvědčivější než kdykoli předtím, takže školení musí jít hlouběji.

A právě zde přichází na řadu chování. Špičkové platformy vedou v oblasti personalizovaného, adaptivního učení. Jak se zaměstnanci zlepšují, školení se ztěžuje. Přidejte trochu gamifikace (myslete na body, žebříčky a uznání) a máte recept na angažovanost, která se udrží.

A netrestejte lidi za chyby, bez ohledu na typy phishingových útoků, ve kterých si ještě nevytvořili odborné znalosti. Podpořte je. Strach zabíjí komunikaci. Zabezpečení je týmová práce a každé kliknutí, hlášení nebo otázka jsou důležité.

Školení v oblasti zabezpečení je nejlepší, když je pravidelné, realistické a vázané na skutečné chování, nikoli na dodržování kontrolních kritérií.

Naučte lidi zastavit se a přemýšlet

Phishing funguje, protože využívá rychlost a emoce. Čím rychleji někdo reaguje, tím je pravděpodobnější, že naletí. Proto je klíčové učit kritickému myšlení.

Školte zaměstnance, aby zpomalili a ověřovali si informace. Pokud se vám něco nezdá, neklikejte. Nestahujte,eodpovídejte. Místo toho přejděte rovnou na oficiální webové stránky nebo kontaktujte společnost známým kanálem, ne tím, který je uveden v e-mailu.

Vytvořte si dobré návyky týkající se přihlašování

Hesla jsou stále součástí rovnice a musí být silná, jedinečná a uložená ve správci hesel. Už žádné opakované používání stejného přihlašovacího jména na různých webech. A pokud jste ještě neuvažovali o přechodu na přístupové klíče, je nejvyšší čas. Jsou bezpečnější, jednodušší a téměř imunní vůči všem typům phishingu.

Usnadněte hlášení

Mělo by být naprosto jasné, jak nahlásit něco podezřelého. Rychlá hlášení zastaví útok v jeho počátku. Stejně tak celofiremní připomenutí, že každé hlášení je důležité.

Mimo vaši organizaci můžete podezřelé e-maily přeposlat kybernetickému úřadu ve vaší zemi nebo použít nástroje, jako je funkce Nahlásit phishing společnosti Google. Čím více dat tyto systémy mají, tím lépe mohou vyhledávat pokročilé příznaky phishingu a blokovat budoucí hrozby.

Používejte ověření mimo hlavní komunikační kanál

Jak jsme již zmínili, s rostoucím počtem deepfake a hlasových typů phishingových podvodů jsou podvody stále osobnější a hůře odhalitelné. Právě zde přichází na řadu ověření mimo pásmo.

Vytvořte si jednoduché „bezpečnostní heslo”, které bude sloužit k potvrzení identity v případě nouze nebo podvodů zahrnujících klonovaný phishing.

Co dělat, když člověk naletí

Pokud se někdo nechá nachytat na některý z výše zmíněných typů phishingových útoků, čas je vším.

Okamžitě ho poučte:

• Změňte všechna odhalená hesla.
• Odpojte napadené zařízení od sítě.
• Upozornit IT a/nebo bezpečnostní tým.
• Upozorněte banku nebo finanční služby, pokud se jednalo o citlivé údaje.

Pokud byly odhaleny osobní údaje nebo firemní data, sledujte dark web, zda nedošlo k úniku přihlašovacích údajů. Existují služby, které to mohou monitorovat.

Zálohování je vaše záchranná síť

Pokud jde o obnovu, zálohy jsou vaším nejlepším přítelem, ale pouze pokud jsou provedeny správně. Zálohy by měly být pravidelné, otestované a hlavně uložené odděleně od hlavních systémů.

Historie verzí Google Drive může pomoci obnovit soubory, které byly nedávno zašifrovány.

Takto budou vaše data v bezpečí a připravena k obnově i v případě útoku ransomwaru.

Otestujte si své znalosti nejžhavějších typů phishingu

Ochrana firemních e-mailů proti různým typům phishingu pomocí služby Google Workspace

Pokud jde o obranu proti nekonečnému množství typů phishingových podvodů, nabízí Google Workspace více než jen základy. Přináší výkonné nástroje zabudované přímo v platformě:

• Gmail automaticky neutralizuje téměř veškerý spam, phishing a malware. Prověřuje e-maily ještě předtím, než se dostanou do vaší schránky, a kontroluje přílohy, krátké odkazy a vložené obrázky. Zprávy od podobných domén nebo neověřených odesílatelů jsou jasně označeny, což uživatelům pomáhá rychle odhalit pokusy o vydávání se za někoho jiného.
• Bezpečné procházení chrání uživatele na webu a v aplikacích, nejen v Gmailu. V reálném čase detekuje rizikové weby a odkazy prostřednictvím aplikace Chrome Enterprise.
• Google Workspace se řídí modelem nulové důvěryhodnosti: každé přihlášení je ověřováno na základě identity uživatele, zařízení a kontextu. Řízení přístupu je granulární a je uplatňován princip nejmenšího oprávnění.
• Podporuje bezpečné možnosti MFA, jako jsou přístupové klíče a bezpečnostní klíče, zejména pro vysoce rizikové uživatele. Častá rotace souborů cookie pomáhá zabránit únosu relace. Správci mohou omezit role superuživatelů a zapsat klíčové pracovníky do programu pokročilé ochrany.
• Zásady DLP chrání citlivá data v aplikacích Gmail, Google Chat a Disk. Správci mohou omezit externí sdílení, výchozí nastavení nových souborů jako soukromé a vynucovat zásady podle týmů nebo oddělení.
• Správci mohou kontrolovat a odebírat přístup nepoužívaným nebo rizikovým aplikacím třetích stran připojeným prostřednictvím protokolu OAuth, čímž snižují vystavení skrytým hrozbám.
• Všechna data jsou šifrována, a to jak v klidovém stavu, tak při přenosu. Protokol TLS a šifrování na straně klienta zajišťují silnou ochranu, a to i u služeb třetích stran nebo v zahraničí.
• Nástroj Security Investigation Tool pomáhá správcům rychle reagovat na kybernetické hrozby. Protokoly lze exportovat do služby Google Security Operations nebo BigQuery pro hlubší analýzu a vlastní reporting.
• Google Workspace vyvažuje silné zabezpečení a snadné používání. Splňuje globální standardy shody, jako jsou ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27701, SOC 2, SOC 3, FedRAMP, BSI C5 a MTCS, aby chránil uživatele i data a nepřekážel jim.

Cloudfresh je globální Google Cloud Premier Partner specializující se na transformaci práce. Pokud jste připraveni začít úspěšně odrážet tyto četné typy phishingových útoků na vaši firmu, neváhejte a kontaktujte nás pomocí krátkého formuláře níže!