Bezpečnost

    Jak poznat phishing: praktický průvodce pro každého

    Phishingové emaily, SMS a weby jsou dnes k nerozeznání od originálu. Naučte se poznat podvod dřív, než kliknete.

    7. března 20268 min čteníTým digitalnibezpeci.cz

    Přijde vám email od vaší banky. Logo je správné, text vypadá profesionálně, tlačítko říká „Ověřte svůj účet". Odkaz vede na stránku, která vypadá přesně jako internetové bankovnictví.

    Zadáte přihlašovací údaje. A právě jste je předali podvodníkovi.

    Phishing je nejrozšířenější forma kybernetického útoku na světě – a funguje proto, že útočníci jsou v napodobování důvěryhodných organizací stále lepší. Naučit se ho poznat je jedna z nejcennějších věcí, které pro svou digitální bezpečnost můžete udělat.

    Co je phishing a proč funguje

    Phishing je technika sociálního inženýrství, při které útočník předstírá, že je někým jiným – bankou, poštou, Googlem, šéfem, přítelem – s cílem získat vaše přihlašovací údaje, platební informace nebo přimět vás ke stažení škodlivého souboru.

    Funguje proto, že útočí na emoce, ne na technické znalosti. Nejčastější spouštěče jsou:

    Urgence

    „Váš účet bude zablokován do 24 hodin."

    Strach

    „Zaznamenali jsme podezřelou aktivitu."

    Lákadlo

    „Byl jste vybrán k získání odměny."

    Autorita

    „Zpráva od Finanční správy ČR."

    Mozek v emočním stavu hůře hodnotí důvěryhodnost zprávy. Přesně s tím phishing počítá.

    Pět varovných signálů v emailu

    1. Podezřelá nebo nepřesná adresa odesílatele

    Zobrazené jméno může být cokoliv. Co nelze snadno změnit, je skutečná emailová adresa. Klikněte na jméno odesílatele a zkontrolujte skutečnou adresu.

    Příklady podvodných adres:

    info@ceska-sporitelna-online.cz místo info@csas.cz, nebo security@google-account-alert.com místo no-reply@accounts.google.com.

    2. Obecné oslovení

    Legitimní organizace, u které máte účet, zná vaše jméno. „Vážený zákazníku" nebo „Dobrý den, uživateli" je signál, že odesílatel vaše jméno nezná.

    3. Odkaz, který nevede kam říká

    Před kliknutím najeďte myší na odkaz. Zobrazí se skutečná URL adresa. Pokud tlačítko říká „Přihlaste se" ale odkaz vede na login-bank-secure.ru nebo jinou podivnou adresu, neklikejte.

    4. Žádost o citlivé informace

    Žádná legitimní banka, úřad ani technologická firma vás nikdy nepožádá o heslo, PIN nebo číslo platební karty přes email. Nikdy.

    5. Přílohy, které nečekáte

    Neočekávaný soubor od neznámého nebo podezřelého odesílatele je klasická cesta k instalaci malwaru. Pokud přílohu nečekáte, neotevírejte ji bez ověření.

    Phishing přes SMS: smishing

    SMS phishing funguje na stejném principu, ale má vyšší míru úspěšnosti – lidé jsou zvyklí SMS věřit více než emailům.

    Typické scénáře

    „Vaše zásilka čeká na vyzvednutí, zaplaťte poplatek zde: [odkaz]." Nebo „Váš účet byl kompromitován, změňte heslo okamžitě: [odkaz]."

    Pravidlo: Neklikejte na odkazy v SMS od neznámých odesílatelů. Pokud zpráva tvrdí, že je od vaší banky nebo pošty, přejděte přímo na jejich oficiální web.

    Falešné weby: jak poznat podvodnou stránku

    URL adresa

    Podívejte se do adresního řádku prohlížeče. Falešné stránky používají domény jako csas-online.cz nebo google-security-check.com. Legitimní weby mají jednoduchou přesnou doménu – csas.cz, google.com, paypal.com.

    HTTPS neznamená bezpečnost

    Zelený zámek říká, že připojení je šifrované – neznamená, že stránka je legitimní. Podvodné weby dnes HTTPS mají standardně.

    Kvalita obsahu

    Překlepy, gramatické chyby nebo texty, které nepůsobí přirozeně česky.

    Co dělat když phishing dostanete

    Neklikli jste

    Označte email jako spam a smažte. Nahlaste ho na phishing@cert.cz.

    Klikli jste, ale nic nezadali

    Prohledejte zařízení antivirem, změňte hesla preventivně.

    Zadali jste přihlašovací údaje

    Okamžitě změňte heslo k danému účtu, zapněte dvoufaktorové ověřování a informujte poskytovatele služby.

    Proaktivní ochrana: správce hesel a 2FA

    Správce hesel jako správce hesel NordPass nebo Proton Pass má skrytou funkci: automaticky vyplňuje hesla pouze na skutečné doméně. Na falešné kopii webu heslo nevyplní.

    Dvoufaktorové ověřování (2FA) znamená, že i kdyby útočník vaše heslo získal, bez druhého faktoru se do účtu nedostane.

    NordPass – správce hesel, který pozná phishing za vás

    NordPass automaticky vyplňuje hesla pouze na skutečné doméně. Na podvodné kopii webu heslo nevyplní – a upozorní vás, že něco není v pořádku.

    Vyzkoušet NordPass

    Affiliate odkaz – podpoříte tím provoz webu

    Bezplatná alternativa

    Začněte zdarma: zapněte 2FA na svém emailu a bankovním účtu. Stáhněte si Proton Pass zdarma. A příště, než kliknete na odkaz v emailu – zastavte se na tři vteřiny a zkontrolujte adresu odesílatele.

    Závěr: phishing spoléhá na spěch

    Tři vteřiny pozornosti – adresa odesílatele, URL odkazu, podstata žádosti – jsou dost na to, aby vás ochránily v drtivé většině případů.

    Přečtěte si také

    Chcete se chránit před digitálními hrozbami?

    Projděte si náš průvodce ochranou soukromí a zjistěte, jak se efektivně bránit.