Letošní březen se podle dat Policie České republiky stal z pohledu kybernetické kriminality tím nejhorším měsícem v historii. Celkem během něj bylo zaznamenáno 2533 případů. Oproti loňskému roku tak vzrostl jejich počet o 37 procent.
Mohlo by vás zajímat: Slovensko: Kdo v 1Q 2026 ovládl trh pojišťovacích zprostředkovatelů?
Průměrná škoda na jednu oběť dosáhla podle PČR za první čtvrtletí 721 546 Kč, maximální škoda se v jednom případě vyšplhala přes 24 mil. Kč. Průměrný věk obětí je 46 let a 80 % podvedených tvoří ženy.
„Podvodné e-maily podle našich zkušeností cílí zejména na získání osobních a platebních informací, šíření škodlivého software a také na získání přístupových údajů například do firemní sítě. Proti škodlivému softwaru sice existují detekční nástroje, ale pokud je nedůslednost na straně uživatele, pak například kliknutím na odkaz může dojít ke spuštění nebezpečného softwaru nebo vyplněním přihlašovacích údajů může útočník proniknout v některých případech až do interní firemní sítě,“ popisuje hrozby Ondřej Koloušek, senior manažer IT bezpečnosti a rizik v Generali České pojišťovně.
Potvrzuje tak skutečnost, že i když instituce investují maximum pozornosti a úsilí do toho, aby své klienty ochránily, nejčastějším slabým místem kyberbezpečnosti zpravidla zůstává obyčejná lidská chyba. „S phishingovými útoky se potkáváme na denní bázi. Cílí jak na naše klienty, tak neklienty i zaměstnance. S využitím technologií AI je pro útočníky čím dál jednodušší takový útok připravit,“ popisuje zkušenosti v největší domácí pojišťovně Ondřej Koloušek.
To potvrzuje také expert kyberbezpečnostní společnosti Alintrust Daniel Król. „AI nástroje dokáží kromě generování obsahu v krátkém čase také shromáždit velké množství veřejně dostupných informací o potenciální oběti, ať už z firemních webů, sociálních sítí nebo uniklých dat. Na základě toho pak vznikají útoky šité na míru konkrétní osobě: e-mail může zmiňovat skutečné jméno nadřízeného, probíhající projekt nebo nedávnou událost ve firmě, což výrazně zvyšuje pravděpodobnost, že příjemce zareaguje.”
Nejčastěji zneužívanými platformami jsou podle Ondřeje Kolouška e-maily a komunikační aplikace WhatsApp, výjimkou nebývají ani podvodná volání nebo SMS. Podle dat platformy Keepnet zaměřené na kyberbezpečnost zůstává i v roce 2026 phishing jednou z nejnebezpečnějších a nejrozšířenějších kybernetických hrozeb.
Mohlo by vás zajímat: Změny ve vedení Allianz pojišťovny: Kdo se stal novým členem představenstva?
Důvěřivý senior jako hlavní oběť? Nemusí to tak být
Obecně panuje představa, že typickou obětí phishingu je důvěřivý senior, který velmi obtížně dokáže čelit nástrahám internetu. Aktuální výzkumy ukazují pravý opak.
Podle průzkumu společnosti MasterCard z roku 2025 vnímají různé generace kybernetické hrozby a reagují na ně odlišně. Celkem 43 % příslušníků generace Z a 39 % mileniálů uvedlo, že se setkali s pokusy o podvod, zatímco u generace X to bylo pouze 22 % a u babyboomerů 14 %. Je ironické, že mladší lidé uvedli, že si jsou „velmi jistí“ svou schopností rozpoznat hrozby – u generace Z a mileniálů to byl každý pátý, zatímco u generace X a babyboomerů méně než jeden z deseti.
Na otázku, jaké kroky podnikají k ochraně před podvody, generace Z uváděla méně často než starší generace, že před otevřením e-mailů kontroluje odesílatele nebo používá bezpečnostní software a nástroje, zatímco baby boomers méně často uváděli, že ve svých aplikacích nebo digitálních účtech používají biometrické ověřování nebo kontrolují a upravují nastavení soukromí.
Expert: Nenechat se dostat do úzkých
Phishingové útoky nicméně zůstávají úspěšné jednoduše i z toho důvodu, že lidé opakovaně podléhají těm samým návnadám. Navíc s využitím technologií AI je pro útočníky čím dál jednodušší takové útoky připravit. Už jen třeba tím, že umělá inteligence dokáže snadno a rychle vyřešit jazykové bariéry.
Viníkem lidské chyby přitom bývá zejména nedostatek času, který člověk dané zprávě věnuje, zahlcení e-maily anebo přirozená důvěra v zdánlivě legitimního odesílatele nebo prostá nepřítomnost varovných signálů.
„Základním trikem, jak podvodníci dostávají své oběti do úzkých, je vytvoření nátlaku. Typicky ho vyzývají k rychlé akci: hrozí například šibeničním termínem, během kterého má člověk nárok na výhodnou nabídku, nebo naopak po kterém mu hrozí nějaká pokuta. Stejně by lidé měli zbystřit v případě různých soutěží, oznámení o výhrách, nabídkách na dárky zdarma nebo jiných zaručeně exkluzivních odměn,“ varuje Ondřej Koloušek z Generali České pojišťovny.
Mohlo by vás zajímat: Sloupek Kateřiny Lhotské: Rozhodnutí o konci uhlí v roce 2033 je třeba zrušit!
Vystupování pod falešnou vlajkou
Jednou z nejrozšířenějších metod je vydávání se za důvěryhodnou instituci – typicky banku, mobilního operátora, dodavatele energií, pojišťovnu, státní úřad nebo podobnou známou službu. „Útočníci spoléhají na to, že příjemce takovou zprávu automaticky považuje za legitimní,“ upozorňuje expert společnosti Alintrust Daniel Król.
Již zmíněná Generali Česká pojišťovna řešila během dubna podvodnou kampaň, která veřejnost oslovovala s nabídkou na bezplatnou sadu pro nouzové situace v autě. „Šlo o phishingovou kampaň, která pracovala velmi sugestivně s identitou pojišťovny nejen využitím jejího názvu, ale i firemní barvy. Při bližším zkoumání však bylo zřejmé, že zpráva byla odeslána z vyloženě podezřelé e-mailové adresy. Stejně tak odkaz v e-mailu vedl na první pohled na pochybnou adresu,“ popisuje události posledních týdnů Jan Marek, mluvčí Generali České pojišťovny.
Zaměřovat se na detaily
Klíčové proto je věnovat pozornost detailům. Kromě apelování na rychlou akci patří mezi nejčastější varovné signály také chyby v textu. Podvodníci rovněž typicky používají adresy, které obsahují nenápadný překlep a snaží se co nejdůvěrněji simulovat oficiální adresu společnosti.
Firmy se shodují, že zabránit phisingovým kampaním je de facto nemožné. V případě rozsáhlých phishingových kampaní proto kontaktují klienty s preventivními radami a návody, jak podvodné e-maily či zprávy rozpoznat. „Nejdůležitější obranou je vzdělávání a zvyšování povědomí. To platí jak pro klienty, tak pro zaměstnance a poradce. Kolegyně a kolegy například v průběhu roku naše IT bezpečnost opakovaně konfrontuje interně připravenými testovacími phishingovými kampaněmi, aby je tak upozornila na rizika,“ pokračuje Jan Marek.
„Poslední velmi aktuální zkušenost máme se zneužitím e-mailu učitelky druhé třídy základní školy, kdy útočník jejím jménem rozesílal phishingové e-maily na naše zaměstnance. Zde je důležité kontaktovat vlastníka zneužitého e-mailu, aby provedl změnu přihlašovacích údajů a kompletní kontrolu svého zařízení,“ popisuje Ondřej Koloušek.
Mohlo by vás zajímat: Kdo povede oddělení Commercial Lines ve společnosti Colonnade Insurance?
Další varovné příznaky podvodu
Podvod je možné odhalit také na základě toho, že v e-mailu naopak chybí informace o GDPR anebo obsahuje nekvalitní, rozrastrované logo společnosti, za kterou se podvodníci vydávají.
Velké společnosti, které čelí phishingovým kampaním zdaleka nejčastěji, shodně uvádějí, že kontakt jejich klientů probíhá oficiální cestou a s dostatečně dlouhým prostorem pro reakci – prakticky neexistuje situace, kdy by klienti museli reagovat ihned nebo v řádu hodin. To samé platí pro sdělování osobních informací. Ty mají společnosti zpravidla k dispozici. Pokud o ně nějaká stránka žádá, mělo by to taktéž být varovným signálem. Člověk by proto měl zpozornět, zda skutečně komunikuje s poskytovatelem služeb, anebo podvodníky. „V podnikatelském prostředí se pak setkáváme také s takzvaným CEO fraud, kdy se útočník vydává za ředitele nebo jiného vedoucího pracovníka firmy a urgentně žádá zaměstnance, typicky z finančního oddělení, k provedení platby. Zpráva přichází ve chvíli, kdy je dotyčný vedoucí údajně nedostupný a apeluje na diskrétnost nebo naléhavost situace,“ dodává Daniel Król z Alintrust.
Pokud někdo již na podezřelý odkaz klikl, nemusí to nutně znamenat problém. Zásadní je nikdy na podezřelých stránkách nevyplňovat a nesdělovat osobní údaje, jako jsou rodná čísla, hesla nebo kódy k účtům.
Komentáře
Přidat komentář