Poznali jste phishingový e-mail podle špatné češtiny, divné adresy odesílatele a podezřelého odkazu. Tahle dovednost vás donedávna chránila. AI ji právě zrušila. Na dark webu existují nástroje jako WormGPT – verze ChatGPT bez etických zábran – které umožňují vytvářet přesvědčivé phishingové zprávy komukoli, bez technických znalostí, v libovolném jazyce a tónu. Tohle je nová realita phishingu.
Co je WormGPT a jak se liší od ChatGPT
ChatGPT a podobné AI nástroje mají zabudované pojistky. Odmítnou napsat škodlivý kód, phishingový e-mail nebo návod na podvod. WormGPT je jazykový model trénovaný stejnou technologií, ale bez jakýchkoli omezení. Vznikl jako nástroj pro kyberkriminálníky a od roku 2023 se na dark webových fórech prodává jako předplatná služba.
Co WormGPT umí:
WormGPT není jediný takový nástroj. Na dark webu existují FraudGPT, DarkBERT a další. Kyberkriminalita jako průmysl adoptuje AI stejně rychle jako legální firmy.
Jak vypadá phishing poháněný AI – a proč ho nepoznáte
Starý phishing měl charakteristické znaky. Gramatické chyby. „Vážený klient" místo jména. Podezřelá doména. Obecné sdělení bez kontextu.
Nový phishing tyto znaky nemá.
AI dokáže napsat e-mail, který:
K tomu přidejte deepfake hlasové zprávy. Útočník stáhne nahrávky z LinkedInu nebo YouTube, naklonuje hlas a zavolá vašemu účetnímu s instrukcí k urgentní platbě. Toto není sci-fi – v zahraničí jsou dokumentované případy z roku 2024 a 2025.
Nový vektor: spear phishing cílený na konkrétní osobu
Klasický phishing funguje jako síť – pošle se milion e-mailů a čeká se, kdo klikne. Spear phishing je harpuna: jeden cíl, maximální přesvědčivost.
AI spear phishing funguje takto: útočník najde na LinkedInu informace o vás a vaší firmě. Zjistí, s kým spolupracujete, kde nakupujete, kdo je váš šéf. AI z těchto dat sestaví personalizovaný e-mail. Zpráva přijde zdánlivě od kolegy, dodavatele nebo nadřízeného a obsahuje instrukci, která dává v kontextu smysl.
Příklad:
Jste účetní. Přijde e-mail od „ředitele" s žádostí o urgentní platbu dodavateli – nový účet, protože ten starý byl kompromitován. E-mail má správný podpis, správný tón, správný kontext. Bez ověření telefonátem nemáte šanci poznat, že je falešný.
Jak se AI phishing brání – 5 konkrétních pravidel
Každá urgentní platba nebo změna účtu vyžaduje telefonní ověření
Bez výjimky. Nezávisle na tom, jak přesvědčivý e-mail je. Zavolejte na číslo, které máte uložené – ne na číslo z e-mailu.
Zkontrolujte doménu odesílatele na písmeno
novak@firma.cz vs. novak@fırma.cz – druhé „i" je turecké „ı". Typosquatting je stále efektivní technika i v éře AI.
Nikdy nezadávejte přihlašovací údaje přes odkaz z e-mailu
Vždy otevřete nový tab a zadejte adresu ručně. Bez výjimky.
Dvoufaktorové ověření zachrání situaci i po kliknutí
Pokud zadáte heslo na falešné stránce, útočník ho má. Ale bez druhého faktoru se stejně nepřihlásí. 2FA je pojistka, která funguje i po chybě.
Co je 2FA →Vzdělávejte tým jednou za kvartál s ukázkami
Abstraktní varování nefungují. Ukažte konkrétní phishingový e-mail, nechejte lidi hádat, zda je falešný. Tato cvičení dramaticky zvyšují ostražitost.
Technická ochrana – co má smysl
Správce hesel
Správce hesel s unikátními hesly pro každou službu znamená, že únik jednoho hesla neohrozí ostatní účty. Správce hesel navíc automaticky vyplňuje jen na legitimní doméně – na falešné stránce nevyplní nic, což je samo o sobě varovný signál.
Šifrovaný firemní e-mail
Šifrovaný firemní e-mail (například Proton Mail) přidává vrstvu ochrany pro citlivou komunikaci a má vestavěné upozornění na podezřelé zprávy.
Anti-phishing filtry
Antivirus a anti-phishing filtry v prohlížeči zachytí část útoků, ne všechny. Jsou záchytné sítě, ne primární ochrana.
Správce hesel a šifrovaný e-mail: dva nástroje, které phishing výrazně ztíží
NordPass generuje unikátní hesla a vyplňuje je jen na legitimních doménách. Proton Mail šifruje firemní komunikaci a upozorňuje na podezřelé zprávy.
Affiliate odkaz – podpoříte tím provoz webu.
Bezplatné alternativy: Bitwarden (správce hesel zdarma), Proton Mail free.
Závěr
WormGPT a jeho klony nemění to, co phishing chce – chce vaše heslo, vaše peníze nebo přístup do systémů. Mění to, jak přesvědčivě o to žádá.
Obrana není jen technologická. Je to zvyk. Ověřit. Zpomalit. Nepodlehnout urgenci.
Útočník AI používá k tomu, aby vyvolal pocit naléhavosti, který vypne kritické myšlení. Vaše obrana je vědomě zpomalit a ověřit – i když to zdržuje. Chraňte se bezpečnými hesly a sledujte, jak se NIS2 dotkne i vaší firmy.
Chcete zabezpečit firmu proti phishingu?
Přečtěte si, jak nastavit správce hesel pro tým a jak poznat phishing.