Bezpečnost firem

    Phishing: jak ho poznat a jak naučit celý tým

    Devět z deseti úspěšných kyberútoků na firmy začíná phishingovým e-mailem. Ne technickou slabinou softwaru — ale člověkem, který klikne. Tohle jde naučit.

    7. března 202610 min čteníTým digitalnibezpeci.cz

    Phishingový e-mail dnes nevypadá jako nigerijský princ žádající o pomoc. Vypadá jako faktura od vašeho dodavatele, upozornění z banky nebo zpráva od kolegy. A právě proto funguje.

    Typy phishingu, které cílí na malé firmy

    Falešná faktura

    E-mail napodobující dodavatele nebo účetní software. Příloha (.pdf nebo .xlsx) obsahuje malware nebo odkaz na falešnou přihlašovací stránku. Velmi časté — útočníci si snadno zjistí, s kým firma obchoduje.

    CEO fraud (podvod šéfa)

    E-mail vypadá jako zpráva od jednatele nebo ředitele. Žádá o urgentní platbu nebo převod prostředků. Zobrazené jméno je skutečné, ale e-mailová adresa je podvržená.

    Falešné přihlášení

    Odkaz vede na stránku identickou s Google, Microsoft nebo firemním systémem. Zadané přihlašovací údaje jdou přímo útočníkovi.

    Upozornění z banky nebo doručovací služby

    Urgentní zpráva o zablokovaném účtu nebo nedoručeném balíku. Odkaz vede na falešný web, přihlašovací údaje nebo platební údaje míří k útočníkovi.

    7 signálů phishingového e-mailu

    Toto jsou konkrétní věci, na které se naučte dívat — a naučte je celý tým.

    1

    Skutečná adresa odesílatele se liší od zobrazené

    Zobrazí se 'Česká spořitelna', ale adresa je info@csporitelna-overeni.cz. Vždy klikněte na jméno odesílatele a zkontrolujte skutečnou adresu.

    2

    Urgence a hrozba sankcí

    'Váš účet bude zablokován do 24 hodin.' Legitimní firmy nekomunikují urgenci hrozbami. Je to technika nátlaku — úmyslně potlačuje kritické myšlení.

    3

    Odkaz nevede tam, kde tvrdí

    Najeďte myší na odkaz BEZ klikání. V levém dolním rohu prohlížeče nebo jako tooltip uvidíte skutečnou URL. Pokud se liší od textu odkazu — neklikejte.

    4

    Příloha v neobvyklém formátu

    Faktura jako .exe, .zip nebo makro v .xlsm? To jsou červené vlajky. PDF nebo standardní .xlsx od dodavatele, se kterým nekomunikujete, je také podezřelé.

    5

    Žádost o přihlášení přes odkaz v e-mailu

    Legitimní služby vás nikdy nevyzývají k přihlášení přes odkaz v e-mailu. Přejděte přímo na web zadáním adresy do prohlížeče.

    6

    Neobvyklá žádost od kolegy nebo šéfa

    Žádost o urgentní platbu nebo sdělení přístupu přes e-mail? Ověřte telefonicky nebo osobně — zejména pokud je netypická a urgentní.

    7

    Gramatické chyby a strojový překlad

    Phishingové e-maily cílené na české uživatele stále obsahují chyby. Ale pozor — s AI se kvalita textů zlepšuje, spoléhání jen na toto kritérium nestačí.

    Technická ochrana: e-mail, který filtruje za vás

    Školení zaměstnanců je důležité — ale není neomylné. Technická ochrana na úrovni e-mailového klienta je druhá vrstva, která zachytí phishingové e-maily dříve, než se vůbec dostanou do inboxu.

    Proton Mail for Business automaticky blokuje sledovací pixely, upozorňuje na podezřelé e-maily a díky end-to-end šifrování zabraňuje útočníkům číst obsah e-mailů i v případě, že se dostanou na mailový server. Přidává také ochranu před podvržením domény (DMARC/SPF/DKIM).

    Proton Mail for Business – šifrovaný e-mail s ochranou před phishingem

    End-to-end šifrování, blokování sledovacích pixelů, vlastní doména, ochrana před podvržením odesílatele. Švýcarská jurisdikce.

    Vyzkoušet Proton Mail for Business

    Affiliate odkaz – podpoříte tím provoz webu

    Jak za odpoledne proškolit celý tým

    Nepotřebujete bezpečnostního specialistu. 30minutové setkání, kde projdete tato témata, výrazně sníží riziko.

    Ukažte reálné příklady phishingových e-mailů — najdete je snadno na Google Images nebo bezpečnostních blozích

    Procvičte kontrolu skutečné adresy odesílatele — nechejte každého to udělat na vlastním telefonu nebo počítači

    Domluvte postup: 'Pokud si nejsem jistý/á, zavolám odesílateli nebo se zeptám kolegy.' Nikdy neklikám pod tlakem.

    Nastavte pravidlo pro podezřelé přílohy: neotevírat bez ověření telefonicky u odesílatele

    Domluvte, kam hlásit podezřelé e-maily — vedení, IT podpora nebo e-mail security@vasefirma.cz

    Co dělat, když zaměstnanec klikne

    Stane se i v dobře připravených firmách. Důležité je rychlá reakce — ne panika a ne ukrývání incidentu.

    Okamžitě

    Odpojte zařízení od sítě (Wi-Fi vypnout, síťový kabel vytáhnout) — zabraňte šíření malwaru na ostatní počítače.

    Do 15 minut

    Změňte hesla všech účtů, ke kterým mělo zařízení přístup — zejména firemní e-mail, bankovnictví, cloudové služby.

    Do hodiny

    Kontaktujte IT podporu nebo bezpečnostního specialistu. Pokud máte zálohy (a měli byste), ověřte jejich stav.

    Interně

    Informujte tým — ne jako obvinění, ale jako příležitost se poučit. Mlčení o incidentu situaci jen zhoršuje.

    Nástroje pro ochranu před phishingem

    Technická ochrana, která pomáhá chránit tým i v momentě, kdy selže lidský faktor.

    Affiliate odkaz – podpoříte tím provoz webu

    Chcete komplexní ochranu firmy?

    Přečtěte si o ransomwaru, zálohovací strategii a bezpečných heslech pro celý tým.