Základy

Co je phishing? Definice, příklady a jak útoky probíhají

Phishing je forma sociálního inženýrství, při níž se podvodník vydává za někoho důvěryhodného – kolegu, banku či dopravce – a snaží se z vás vylákat přihlašovací údaje, schválit platbu nebo spustit škodlivý soubor. Podle evropských statistik o řešení bezpečnostních incidentů je právě phishing nejčastější branou, kterou se útočníci poprvé dostanou dovnitř firmy. V tomto článku najdete srozumitelné phishing vysvětlení, popis toho, jak phishing funguje, přehled kanálů, kterými přichází, i praktické rady, jak se mu bránit.

7 min čteníAktualizováno 2026-06-07

Co znamená phishing: definice a význam slova

Definice phishingu je jednoduchá: jde o podvodný pokus získat citlivé údaje nebo vás přimět ke škodlivé akci tím, že se zpráva tváří, jako by přišla z důvěryhodného zdroje. Phishing význam slova odvozuje od rybaření (anglicky fishing) – útočník nahodí návnadu a čeká, kdo zabere. Podstatné je, že phishing nezneužívá chybu v softwaru, ale lidskou důvěru, zaběhnuté návyky a spěch běžného pracovního dne.

Phishingový útok může dorazit e-mailem, formou SMS, jako telefonát, přes QR kód i v chatovací aplikaci. Návnadou bývá odkaz na falešnou přihlašovací stránku, infikovaná příloha nebo prostě jen věrohodně znějící žádost o převod peněz či sdílení dat. A protože míří na člověka, nikoli na firewall, dokáže phishing obejít celou řadu technických ochran a zůstává účinný i proti dobře zabezpečeným a aktualizovaným systémům.

Jak funguje phishing krok za krokem

Většina phishingových útoků sleduje překvapivě podobný scénář. Když si jednotlivé fáze projdete, snáze poznáte, ve které chvíli lze skutečný útok zastavit – a to obvykle dávno předtím, než vznikne jakákoli škoda.

  1. Průzkum: útočník si z veřejně dostupných zdrojů – z firemního webu, ze sociálních sítí nebo z uniklých databází – posbírá jména, pracovní pozice, podobu firemních e-mailů i to, kdo s kým spolupracuje.
  2. Návnada: zpráva je sestavená tak, aby ve vás vyvolala tlak, strach nebo zvědavost – třeba „váš účet byl zablokován“, „faktura po splatnosti“ nebo „máte nový hlasový vzkaz“.
  3. Doručení: zpráva se buď rozešle hromadně, nebo se připraví přímo na jednoho konkrétního člověka, často s podvrženým odesílatelem či s doménou na první pohled k nerozeznání od pravé.
  4. Záběr: odkaz, příloha, QR kód nebo odpověď zavede oběť na podvodnou stránku nebo přímo do konverzace s útočníkem.
  5. Sběr údajů: útočník získá hesla, údaje z platební karty nebo potvrzení – například schválení výzvy z vícefaktorového ověření (MFA).
  6. Zneužití: získaný přístup pak útočník použije k podvodu, k pronikání hlouběji do firemní sítě nebo k nasazení ransomwaru.

Dnešní nástroje to útočníkům usnadňují víc než kdy dřív. Existují celé platformy typu phishing jako služba (PhaaS), které prodávají hotové falešné přihlašovací stránky, a sofistikovanější nástroje (tzv. adversary-in-the-middle) dokážou přenášet komunikaci v reálném čase a ukrást přihlašovací relaci, čímž obejdou i řadu podob MFA. Útočník už tedy nepotřebuje hluboké technické znalosti – a právě to je jeden z hlavních důvodů, proč objem phishingu dlouhodobě neklesá.

Bezplatná phishingová kampaň

Otestujte zaměstnance jednou bezplatnou phishingovou kampaní a podívejte se na výsledky na vlastní oči.

Spusťte cílený pilot, změřte kliknutí a nahlášení a před nasazením si projděte výsledky školení.

Bez platební karty.

Požádat o přístup

Kanály a typické návnady phishingu

Phishing není jeden konkrétní kanál, ale spíš taktika. Stejný podvod se k vám dostane tou cestou, která bude v danou chvíli působit nejdůvěryhodněji.

Kudy phishing přichází

  • E-mailový phishing: nejstarší a stále nejrozšířenější forma, od plošných kampaní až po pečlivě cílený spear phishing.
  • Smishing: phishing rozesílaný přes SMS, který se typicky vydává za dopravce jako Zásilkovna, za banku nebo za státní úřad.
  • Vishing: hlasový phishing po telefonu, kterému dnes čím dál častěji pomáhá klonování hlasu pomocí umělé inteligence.
  • Quishing: phishing, který schová škodlivý odkaz do QR kódu, aby obešel filtry kontrolující odkazy v e-mailech.
  • Chatovací a týmové nástroje: zprávy posílané přes platformy, kterým zaměstnanci uvnitř firmy běžně důvěřují.

Nejčastější návnady v Česku a Evropě

  • Krádež přihlašovacích údajů do Microsoft 365 – třeba pod záminkou „zobrazit zabezpečený dokument“ nebo falešné výzvy k resetu hesla a potvrzení MFA.
  • Vydávání se za banky a platební služby – od českých bank, jako jsou ČSOB, Česká spořitelna nebo Komerční banka, až po značky typu PayPal či Klarna.
  • Smishing zneužívající doručování zásilek – podvodník se vydává za Českou poštu nebo Zásilkovnu, a to zejména v předvánoční nákupní špičce.
  • Návnady kolem faktur, smluv a objednávek – hojně využívané při kompromitaci firemní e-mailové komunikace (BEC) a při krádeži dat.

Jednotlivé kategorie se navzájem prolínají a neustále se vyvíjejí. Jakmile pochopíte základy, vyplatí se proto podívat se podrobněji na to, jaké druhy phishingu vlastně existují.

Jak vypadá phishing v praxi: dva příklady z Česka

Představte si zaměstnankyni české firmy, které přijde SMS s tím, že jí Česká pošta nemohla doručit zásilku a pro nové doručení je třeba uhradit drobný poplatek. Odkaz vede na stránku, která vypadá jako web známého dopravce a chce po ní zadat údaje z platební karty. Tato podoba smishingu patří u nás dlouhodobě k nejčastějším, obzvlášť v období vánočních nákupů.

Druhý příklad je méně nápadný, ale finančně mnohem nebezpečnější a míří přímo na firmu. Účetní dostane e-mail, který se tváří, že přišel od dodavatele, a odkazuje na reálně otevřenou fakturu – jen s pozměněným číslem bankovního účtu. Tón je profesionální a načasování sedí, protože platba se stejně očekává. Pokud si změnu nikdo neověří telefonicky na známém čísle, další převod skončí rovnou u útočníka. Tento scénář se označuje jako kompromitace firemní e-mailové komunikace (BEC) a stojí za vůbec nejvyššími finančními škodami spojenými s phishingem.

Proč by phishing měl firmy zajímat

Phishing je nebezpečný hlavně proto, že málokdy bývá koncem – obvykle je teprve začátkem. V evropských přehledech o řešení incidentů figuruje jako nejčastější způsob prvotního průniku, a to ještě před zneužíváním softwarových zranitelností. Jakmile se útočník dostane dovnitř, otevírá mu phishing cestu k těm nejhorším následkům: bývá hlavním kanálem pro nasazení ransomwaru, který zůstává nejničivější kategorií kybernetické kriminality pro evropské firmy, a stojí i za podvody typu BEC.

Legislativa zvyšuje tlak na osvětu

Evropská legislativa dnes bere bezpečnostní osvětu jako samozřejmou povinnost. Směrnice NIS2 vyžaduje základní kybernetickou hygienu a školení zaměstnanců a výslovně činí vedení firmy odpovědným za dohled nad těmito opatřeními. Nařízení DORA ukládá finančním institucím provozovat programy zvyšování povědomí o bezpečnosti IT, a to včetně nejvyššího managementu. A podle GDPR musí firma únik osobních údajů způsobený phishingem oznámit dozorovému úřadu do 72 hodin od okamžiku, kdy se o něm dozví. Pro organizace, na které tato pravidla dopadají, už proto pravidelná a měřitelná osvěta není nadstandard, ale očekávaný základ.

Jak se phishingu bránit

Dobrá zpráva zní, že phishingu se dá bránit velmi dobře – a zaměstnanci přitom nejsou problém, ale řešení. Funguje vrstvená obrana, která spojuje technická opatření s lidmi, kteří vědí, jak v krizové chvíli reagovat.

  • Když na vás něco spěchá, zastavte se: každou zprávu, která vás nutí okamžitě jednat, zaplatit nebo se přihlásit, berte jako signál, že si ji máte nejdřív ověřit.
  • Před kliknutím si zkontrolujte odesílatele i to, kam odkaz skutečně vede – a dejte si pozor na domény, které se snaží napodobit ty pravé.
  • Žádosti o peníze nebo o data si ověřte nezávislým, předem známým kanálem – nikdy ne přes kontakt uvedený v podezřelé zprávě.
  • Kde to jde, používejte přihlašování odolné vůči phishingu, jako jsou passkeys nebo hardwarové klíče FIDO2.
  • Cokoli podezřelého co nejrychleji nahlaste – díky rychlému hlášení dokáže bezpečnostní tým incident zastavit dřív, než se rozšíří.

Pokud chcete jít dál, naučte se konkrétní varovné signály v našem návodu, jak rozpoznat phishing, a poté zaveďte trvalá opatření podle průvodce, jak phishingu předcházet. Rozpoznání a prevence společně promění zaměstnance ve spolehlivou poslední linii obrany.

Časté otázky

Co je to phishing a jak funguje?

Phishing je podvod, při kterém se útočník vydává za důvěryhodnou osobu nebo firmu, aby z vás vylákal údaje, peníze nebo přístup. Funguje tak, že vám pošle věrohodně vypadající zprávu s naléhavou žádostí a navede vás ke kliknutí na odkaz, vyplnění hesla nebo provedení platby. Cílí přitom na lidskou důvěru, ne na technickou chybu.

Jak vypadá phishingový e-mail?

Typický podvodný e-mail vyvolává tlak nebo strach – třeba že máte zablokovaný účet nebo neuhrazenou fakturu – a tlačí vás k okamžité akci. Často obsahuje obecné oslovení, drobné chyby v textu, podezřelou adresu odesílatele a odkaz, který nevede na pravou doménu. Pravá značka po vás takhle přihlašovací údaje ani platbu nikdy nepožaduje.

Co je cílem phishingového útoku?

Cílem je získat něco hodnotného – nejčastěji přihlašovací údaje, hesla, čísla platebních karet nebo schválení platby. Získaný přístup pak útočník zneužije k finančnímu podvodu, k pronikání hlouběji do firemní sítě nebo k nasazení ransomwaru. Phishing je proto často jen prvním krokem k mnohem větší škodě.

Odkud pochází slovo phishing?

Slovo phishing vychází z anglického fishing, tedy rybaření. Metafora vystihuje podstatu útoku: podvodník nahodí návnadu – věrohodně vypadající zprávu – a čeká, kdo „zabere“ a prozradí svá hesla nebo zaplatí. Záměrně pozměněný zápis s „ph“ navazuje na starší hackerskou tradici a odlišuje útok od běžného rybolovu.

Jaký je rozdíl mezi phishingem a spamem?

Spam je nevyžádané hromadné rozesílání, nejčastěji reklama, které je hlavně otravné. Phishing je naproti tomu cílený podvod, jehož smyslem je ukrást údaje nebo peníze. Spam vás tedy obvykle jen obtěžuje, kdežto phishing je skutečný útok, který může vést k finanční ztrátě nebo úniku dat.

Související články

Druhy útoků

Druhy phishingu: kompletní přehled a jak je poznat

Než se začnete bránit, musíte vědět, proti čemu stojíte. Phishing dnes zdaleka neznamená jen podvodný e-mail - útočníci přesedlali na SMS, telefonní hovory i QR kódy a každý kanál má své vlastní triky. V tomto přehledu projdeme všechny hlavní druhy phishingu, ukážeme si, jak fungují, jaké návnady jsou dnes v Česku a Evropě nejčastější, a hlavně podle čeho každý z nich okamžitě poznáte.

9 min čteníČíst článek
Pro zaměstnance

Jak poznat phishing: varovné signály, na které si dát pozor

Umět poznat phishing patří k nejužitečnějším dovednostem, jaké v práci můžete mít. Podvodné e-maily a zprávy totiž zůstávají nejčastější branou, kterou se útočníci dostávají do firem. V tomto návodu si projdeme konkrétní varovné signály phishingu, ukážeme si, jak bezpečně ověřit odkaz i odesílatele, a hlavně si řekneme, co dělat, když vám něco nesedí.

8 min čteníČíst článek
Pro organizace

Jak se bránit phishingu ve firmě: vrstvená obrana krok za krokem

Phishing nezastavíte jediným opatřením, a přitom právě on bývá v Evropě nejčastější vstupní branou útočníků do firem. Skutečně účinná ochrana před phishingem ve firmě proto stojí na několika vrstvách: technické filtrování, posílení identit, pravidelné školení zaměstnanců v kyberbezpečnosti a rychlá kultura nahlašování, díky níž hrozbu zachytíte dřív, než se stihne rozšířit. Tento návod ukazuje IT a bezpečnostním manažerům, jak postavit obranu, která je praktická a zároveň měřitelná.

8 min čteníČíst článek

Další krok

Chcete měřit svůj program phishingových simulací a školení?

Domluvte si demo a podívejte se, jak PhishGun podpoří simulace, školení, reportování i podklady pro audit.

Požádat o přístupEmail info@phishgun.com