Bežné ráno v kancelárii. Medzi obvyklými pracovnými e-mailami sa objaví správa z firemnej domény s predmetom: „Signature needed – Review & Sign“.
Všetko vyzerá na prvý pohľad dôveryhodne – logo sedí, jazyk je bez gramatických chýb, aj predmet e-mailu pôsobí bežne. Len jeden klik na odkaz a … a útočník má otvorené dvere do celej firemnej siete.
Tento scenár nie je výnimočný. S podobnými prípadmi sa stretávame vo firmách pravidelne. A to aj tam, kde zamestnanci prešli školením o kybernetickej bezpečnosti.
Prečo?
V roku 2025 phishingové emaily už nie sú len amatérske podvody. Útočníci využívajú umelú inteligenciu, falošné identity a dokonale napodobnené e-maily, ktoré sú takmer na nerozoznanie od tých pravých.
Možno si myslíte, že ľudia, ktorí kliknú na podozrivý odkaz, sú nepozorní alebo neinformovaní. Realita je však zložitejšia. Útočníci cielia na naše emócie, psychológiu a každodenné pracovné tlaky. Tým sa vytvára priestor pre chyby.
Prečo sú phishingové emaily nebezpečnejšie ako pred pár rokmi?
Phishing je aktuálne dominantnou formou kybernetického zločinu vo svete aj na Slovensku. Denne sa odošle približne 3,4 miliardy phishingových emailov po celom svete.
Útočníci sa často vydávajú za telekomunikačné firmy, poskytovateľov sociálnych sietí alebo banky.
V roku 2025 výrazne rástol počet click-through phishingových útokov. Ľudia nielenže otvárajú podvodné emaily, ale aj aktívne kliknú na odkazy v nich.
Trendom je aj rastúce využívanie umelej inteligencie. Kým pred pár rokmi boli phishingové pokusy plné gramatických chýb a ľahko rozpoznateľných podozrivých odkazov, dnes AI generované phishingové e-maily robia útoky omnoho účinnejšími a ťažšie rozpoznateľnými.
Ako AI mení pravidlá hry?
Emaily vyzerajú podstatne profesionálnejšie, pretože:
- AI generuje texty v takmer dokonalej gramatike a štylistike
- Grafika je na nerozoznanie (logá, farby, podpisy vyzerajú ako originál)
- Útoky sú cielené, emaily pôsobia osobne a dôveryhodne
- Využívanie QR kódov namiesto tradičných odkazov
Phishing sa neobmedzuje len na emaily, útočníci využívajú aj ďalšie techniky ako napr.:
- Voice phishing a deepfake hlasy- prostredníctvom AI klonujú hlasy, aby telefonicky žiadali o citlivé údaje alebo autorizovali podvodné platby
- Multi-channel phishing – útočníci okrem emailu využívajú aj platformy ako Slack, Microsoft Teams, sociálne média a SMS na šírenie podvodných kampaní
- HTTPS phishing – stále viac phishingových stránok už používa bezpečnostné certifikáty „HTTPS“, vďaka čomu sa v adresnom riadku prehliadača zobrazuje „zámok“ a vyzerajú dôveryhodne.
Dôležitý je ľudský faktor
Útočníci necielia len na technické slabiny systémov vo firmách, ale predovšetkým na ľudskú psychiku. Phishingové útoky sú čoraz viac personalizované a emocionálne ladené. Útočníci využívajú naše prirodzené reakcie a pocity:
- Strach a naliehavosť – Správy, ktoré naznačujú okamžité problémy s účtom, nebezpečenstvo alebo stratu dát, nás nútia konať rýchlo bez rozmýšľania.
- Zvedavosť – Predmet správy ako „Dôležitá aktualizácia faktúry“ alebo „Pozrite si, kto si prezrel váš profil“ vzbudzuje zvedavosť a núti nás kliknúť, aby sme zistili viac.
- Dôvera a autorita – Útočníci sa vydávajú za kolegov, šéfov, dodávateľov, známe značky. Používajú známe logá, šablóny emailov dokonca aj napodobeninu štýlu písania.
- Sociálny tlak a FOMO (Fear of Missing Out)– Správy s extra výhodnými ponukami (výhra v súťaži, exkluzívna ponuka) alebo správy, že vám unikne niečo veľmi dôležité.
Keď sa k tomu pridá rýchle tempo práce, neustály prísun e-mailov a informačný stres, je pochopiteľné, že aj pozorný zamestnanec môže urobiť chybu.
Najčastejšie typy phishingových emailov, s ktorými sa stretávame
- Falošná faktúra alebo dokument na stiahnutie
Email zväčša pôsobí, že prichádza od obchodného partnera či kolegu. Cieľom je prinútiť zamestnanca kliknúť na odkaz alebo otvoriť prílohu.
- Bankové upozornenie
Správa s bezpečnostným upozornením z banky, kedy je potrebné okamžite potvrdiť prihlásenie alebo overiť účet. Správa vyzerá dôveryhodne a odkazuje na stránku, ktorá je vizuálne identická s internet bankingom.
- Interný email od kolegu či šéfa
Zamestnanec dostane správu: „Prosím, rýchlo schváľ túto platbu.“ Útočníci napodobnia štýl komunikácie manažéra.
Ako rozpoznať phishingový email
Existuje niekoľko signálov, ako rozpoznať podvodný email:
- Adresa odosielateľa sa na prvý pohľad podobá, ale obsahuje drobný rozdiel (napr. podpora@firm-a.sk namiesto podpora@firma.sk)
- Email vytvára pocit naliehavosti („potrebný podpis“, „okamžite kliknite“ a pod.)
- Obsahuje nezvyčajné prílohy alebo odkazy
- Štýl komunikácie nie je obvyklý vzhľadom na odosielateľa.
- Chýbajúce osobné oslovenie (namiesto vášho mena je oslovenie „vážený zákazník“ alebo žiadne)
Čo robiť vo firme, aby ste ju ochránili proti phishingu?
Tradičné školenia napr. raz za rok sú len začiatok. Je to ako nosiť základnú lekárničku v aute. Mať ju tam treba, ale pri vážnom zranení nám nepomôže bez dodatočných opatrení.
Efektívna ochrana proti phishingu musí byť kombináciou viacerých opatrení:
- Pravidelné simulované phishingové útoky– pravidelné testovanie realistickými simuláciami a následná spätná väzba.
- Technické riešenia – pokročilé emailové filtre, multifaktorová autentifikácia
- Podpora nahlasovania podozrivých e-mailov, aby zamestnanci vedeli, čo robiť, v prípade, keď dostanú podozrivý email.
- Pravidelný monitoring a audit IT na odhalenie slabých miest v IT infraštruktúre.
Phishing je dnes najrozšírenejšou formou kybernetického útoku a čísla odoslaných emailov denne sú toho jasným dôkazom.
Ochrana pred ním musí byť o to dôslednejšia.
Jedno nepremyslené kliknutie môže stáť firmu desaťtisíce eur aj viac. Ale prevencia je v porovnaní s následkami zanedbateľne lacná.
Vždy platí pravidlo – ak máte čo i len malú pochybnosť, neklikajte. Radšej si overte správu u IT oddelenia alebo priamo u odosielateľa iným kanálom.
