Phishing
Podvod, při kterém se útočník vydává za důvěryhodnou osobu nebo organizaci a snaží se od oběti vylákat citlivé údaje – hesla, čísla platebních karet, bankovní přihlašovací údaje, rodné číslo, adresu nebo přístup k účtům. Název pochází z anglického fishing („rybaření“) – útočník hází návnadu a čeká, kdo se chytí. Probíhá nejčastěji přes e-mail, SMS, falešné webové stránky, telefonáty nebo zprávy na sociálních sítích.
Typický phishingový útok pracuje s těmito prvky:
- napodobení vizuální identity důvěryhodné instituce (banka, Česká pošta, Microsoft, Seznam, doručovací služby, finanční úřad),
- vytvoření časového tlaku nebo strachu („váš účet bude zablokován do 24 hodin", „neuhrazené clo", „neobvyklé přihlášení"),
- odkaz na podvodnou stránku, která vypadá jako přihlašovací formulář skutečné služby, ale zadané údaje odesílá útočníkovi,
- drobné odchylky v adrese odesílatele nebo webu (např. ceskaposta-info.cz místo ceskaposta.cz, paypa1.com místo paypal.com).
Existuje několik specializovaných variant:
Spear phishing – cílený útok na konkrétní osobu nebo organizaci, využívající informace získané předem (jméno nadřízeného, probíhající projekt)
Smishing – phishing přes SMS, typicky se zprávou o nedoručené zásilce nebo doplatku
Vishing – telefonický phishing, kdy se útočník vydává za bankéře nebo IT podporu
Quishing – phishing přes QR kódy, často nalepené přes legitimní kódy na parkovacích automatech nebo nabíječkách
S rozvojem generativní AI se phishing stává nebezpečnějším a obtížněji rozpoznatelným. Zmizely typické varovné signály – pravopisné chyby a kostrbatá čeština. AI umožňuje útočníkům vytvářet personalizované zprávy ve velkém měřítku, klonovat hlas blízké osoby pro vishing nebo generovat přesvědčivé deepfake video.