Druhy útoků

Druhy phishingu: kompletní přehled a jak je poznat

Než se začnete bránit, musíte vědět, proti čemu stojíte. Phishing dnes zdaleka neznamená jen podvodný e-mail - útočníci přesedlali na SMS, telefonní hovory i QR kódy a každý kanál má své vlastní triky. V tomto přehledu projdeme všechny hlavní druhy phishingu, ukážeme si, jak fungují, jaké návnady jsou dnes v Česku a Evropě nejčastější, a hlavně podle čeho každý z nich okamžitě poznáte.

9 min čteníAktualizováno 2026-06-07

Jaké jsou nejčastější druhy phishingu

Phishing je podle přehledů hrozeb agentury ENISA nejčastější branou, kterou se útočníci do firem v EU vůbec dostanou. Slovo „phishing“ ale neoznačuje jeden konkrétní útok - je to celá rodina technik sociálního inženýrství. Všechny mají stejný cíl, totiž přimět člověka ke škodlivému kroku, liší se ovšem kanálem, mírou zacílení i tím, co po oběti vlastně chtějí. Útočník si pokaždé vybere variantu, která se k jeho záměru hodí nejlépe: jednou potřebuje hromadně posbírat přihlašovací údaje do Microsoftu 365, jindy mu stačí přesvědčit jedinou účetní, aby přesměrovala platbu na cizí účet.

Nejpřehledněji se jednotlivé typy phishingu třídí podle dvou věcí - podle kanálu, kterým přijdou (e-mail, SMS, telefon, QR kód), a podle toho, jak přesně míří na konkrétní oběť (od plošného rozesílání po útok šitý na míru jediné osobě). V tomto pořadí si je níže postupně projdeme. Pokud vás zajímá, jak phishing funguje pod pokličkou a co mají všechny varianty společného, podívejte se do souvisejícího článku o tom, co je phishing.

  • E-mailový phishing - plošné, obecné návnady rozeslané tisícům příjemců najednou.
  • Spear phishing - promyšlená zpráva na míru jediné osobě nebo konkrétní pozici.
  • Whaling a BEC - podvody, které zneužívají autoritu vedení a důvěryhodných partnerů.
  • Smishing - phishing doručený podvodnou SMS nebo přes komunikační aplikace.
  • Vishing - podvodný hovor po telefonu, stále častěji s pomocí klonování hlasu přes AI.
  • Quishing - podvodný QR kód, který skrývá škodlivý odkaz.
  • Clone phishing a další varianty - kopie pravé pošty plus angler phishing, pharming a consent phishing.

E-mailový phishing: klasika s největším dosahem

E-mailový phishing je nejstarší a stále nejrozšířenější forma - pomyslný tahoun celé kyberkriminality. Anti-Phishing Working Group dlouhodobě hlásí stovky tisíc útoků za jediné čtvrtletí a právě e-mailem většina kampaní začíná. Důvod je čistě ekonomický. Hotové sady Phishing-as-a-Service umožní pachateli rozeslat tutéž obecnou návnadu do desítek tisíc schránek a vydělat, i kdyby naletěl jen nepatrný zlomek příjemců.

Typická návnada se vydává za značku, kterou oběť nejspíš sama používá. V českém prostředí to bývají falešná upozornění Microsoftu 365 ve stylu „zobrazte si dokument“ nebo „obnovte si heslo“, podvržené zprávy bank jako ČSOB, Česká spořitelna či Komerční banka, případně oznámení o nedoručené zásilce od Zásilkovny nebo České pošty. Zpráva vždy tlačí na čas - účet vám prý zablokují, faktura je po splatnosti - a odkáže vás na podvodnou stránku, která posbírá vaše přihlašovací údaje. Ta obvykle běží na čerstvě registrované, nebo naopak napadené doméně.

Bezplatná phishingová kampaň

Otestujte zaměstnance jednou bezplatnou phishingovou kampaní a podívejte se na výsledky na vlastní oči.

Spusťte cílený pilot, změřte kliknutí a nahlášení a před nasazením si projděte výsledky školení.

Bez platební karty.

Požádat o přístup

Spear phishing: cílený útok na jednoho člověka

Spear phishing staví celou logiku na hlavu. Místo jedné zprávy pro tisíce lidí jde o jednu pečlivě připravenou zprávu pro jediného člověka. Útočník si nejprve nastuduje jména, pozice, kdo je komu nadřízený, na čem oběť právě pracuje i jakým stylem píše - vše posbírá z firemního webu, LinkedInu nebo z dat z dřívějších úniků. Teprve pak napíše návnadu, která dokonale zapadá do prostředí oběti. Právě proto, že je osobní a odkazuje na reálné souvislosti, projde spear phishing přes spamové filtry i přes náš vnitřní radar mnohem snáz než hromadná pošta.

Návnadou bývá třeba zpráva, která vypadá, jako by přišla od kolegy a zmiňuje skutečný projekt, nebo falešná pozvánka ke sdílenému dokumentu cílená přesně na váš tým. Varovný signál je tu jemnější než u plošného phishingu: dostanete nečekaný požadavek, který ale dává smysl vzhledem k vaší roli, a obvykle k němu útočník přidá důvod, proč jej nemůžete obvyklou cestou ověřit. Když máte sebemenší pochybnost, ověřte si to jiným kanálem - krátký telefonát domnělému odesílateli zhatí naprostou většinu pokusů. Rozdíl mezi phishingem a spear phishingem i cíleným útokům jako celku se podrobně věnuje související článek o spear phishingu a BEC.

Whaling a BEC: útok na vedení a kompromitace firemního e-mailu

Whaling je spear phishing namířený na ty „nejtučnější ryby“ - na ředitele, členy představenstva a další lidi s vysokou pravomocí, jejichž jediný podpis dokáže uvolnit peníze nebo zpřístupnit citlivá data. Úzce s ním souvisí BEC, tedy kompromitace firemního e-mailu (Business Email Compromise). Ta právě onu pravomoc zneužívá: útočník se vydává za šéfa, dodavatele nebo obchodního partnera - často přes velmi podobnou doménu, nebo rovnou z reálně napadené schránky - a přiměje zaměstnance odeslat platbu či vyzradit interní údaje.

BEC patří k vůbec nejnákladnějším kyberzločinům, a to právě proto, že nestojí na škodlivém kódu, ale na důvěře a na zaběhnutých procesech. FBI ve svých statistikách IC3 přičítá kompromitaci firemních e-mailů ztráty v řádu miliard dolarů ročně. Klasickou návnadou je naléhavá žádost o změnu platebních údajů: „Změnili jsme číslo účtu, použijte prosím nové údaje u dnešní faktury.“ Zpráva dorazí těsně před splatností, aby na příjemce dolehl časový tlak a jednal zbrkle.

Smishing: podvodná SMS místo e-mailu

Smishing je phishing doručený přes SMS nebo přes komunikační aplikace. Sází na to, že textovkám věříme a reagujeme na ně rychle: zprávu obvykle čteme v běhu na mobilu, kde si celou adresu odkazu těžko prohlédneme a kde je bezpečnostní ochrana výrazně slabší než u firemní pošty. Vlna smishingu pravidelně narůstá kolem svátků a výprodejů, kdy zpráva o doručení balíku zapadne nejpřirozeněji.

Nejtypičtější českou návnadou je podvodná SMS o doručení zásilky - zpráva, která se vydává za dopravce nebo poštu (typicky falešná Zásilkovna, Česká pošta nebo DPD) a tvrdí, že balík čeká na drobný celní poplatek nebo na potvrzení adresy. Hojný je i bankovní smishing strašící „zablokovanou kartou“ s odkazem na podvržené přihlášení. Varovným signálem je vždy výzva klepnout na zkrácený odkaz a vyplnit osobní, platební nebo přihlašovací údaje - seriózní dopravce ani banka po vás přihlašovací údaje přes odkaz v SMS nikdy chtít nebudou.

Vishing: podvodný telefonní hovor

Vishing je phishing po telefonu. Útočník vám zavolá a vydává se za někoho, komu věříte - za bankovní oddělení pro řešení podvodů, za IT podporu nebo za dodavatele - a kombinací naléhavosti a autority z vás páčí přihlašovací údaje, jednorázový kód nebo rovnou platbu. Vishing se nezřídka kombinuje s e-mailem či SMS do vícekanálového „hybridního“ útoku, který působí ještě věrohodněji.

Klonování hlasu pomocí AI navíc tuto hrozbu posunulo o stupeň výš: pár vteřin nahrávky dnes stačí k napodobení známého hlasu, takže falešný hovor od „pana ředitele“ zní naprosto přesvědčivě. Oblíbená návnada zní tak, že volající hlásí podezřelou aktivitu na vašem účtu a žádá vás, abyste se „ověřili“ přečtením kódu, který vám právě přišel. Tím kódem je ovšem zpravidla ověřovací SMS z dvoufaktorové autentizace, kterou se útočník zrovna pokouší obejít. Varovným signálem je každý volající, který na vás tlačí kvůli jednorázovému kódu, heslu nebo okamžité platbě - seriózní instituce po vás tohle po telefonu nikdy nechtějí.

Quishing: podvod schovaný v QR kódu

Quishing ukrývá škodlivý odkaz do QR kódu. Protože cíl není napsaný jako klikací text, ale zakódovaný v obrázku, projde QR kód přes řadu filtrů, které jinak odkazy v e-mailech kontrolují. Oběť ho navíc obvykle naskenuje vlastním mobilem, který už stojí mimo firemní ochranu. A i samotné namíření fotoaparátu na čtvereček působí naprosto neškodně - přesně na to útočníci sázejí.

Typickou návnadou je e-mail nebo vytištěné oznámení s výzvou naskenovat kód, abyste si zobrazili „zabezpečený dokument“, obnovili heslo do Microsoftu 365 nebo dokončili platbu. Někdy jde dokonce o nálepku přelepenou přes pravý QR kód na veřejném místě, třeba na parkovacím automatu. Varovným signálem je situace, kdy vás naskenovaný kód zavede na přihlašovací stránku. K cíli QR kódu přistupujte se stejnou nedůvěrou jako k jakémukoli jinému odkazu a ještě před otevřením si zkontrolujte adresu, kterou vám telefon ukáže v náhledu. Quishingu se dále věnuje související článek o moderních technikách phishingu.

Clone phishing a další varianty, které byste měli znát

Vedle hlavních kanálů existuje ještě několik variant, o kterých je dobré vědět, abyste je dokázali odhalit:

  • Clone phishing - útočník zkopíruje pravý e-mail, který už oběť dříve dostala, vymění v něm odkaz nebo přílohu za škodlivou a pošle ho znovu, často pod záminkou „opětovného zaslání“ nebo „aktualizované verze“.
  • Angler phishing - pachatel se na sociálních sítích vydává za zákaznickou podporu nějaké značky, zachytí zákazníky, kteří si veřejně stěžují, a odláká je na falešnou stránku pomoci.
  • Pharming - přesměrování oběti ze správné adresy na podvodný web pomocí manipulace s DNS nebo souborem hosts, takže i pečlivě napsaná adresa skončí na falešné stránce.
  • OAuth consent phishing - útočník navede uživatele, aby škodlivé aplikaci udělil oprávnění, a získá tak přístup přes vydaný token, aniž by kdy ukradl jediné heslo.

Všechny tyto varianty těží ze stejné psychologie jako základní typy - z důvěry, naléhavosti a autority. Liší se jen tím, do jakého doručovacího triku je útočník zabalí.

Proč se vyplatí jednotlivé typy phishingu znát

Pojmenovat si jednotlivé druhy phishingu není samoúčelné teoretizování - přímo z toho vyplývá, jak postavit vrstvenou obranu. Plošný e-mailový phishing utlumíte správně nastavenými záznamy SPF, DKIM a DMARC ve spojení s filtrováním pošty. Spear phishing a BEC vyžadují jasné ověřovací postupy a zpětný telefonát u každé změny plateb. Smishing, vishing a quishing posouvají hrozbu mimo schránku - na mobily a do QR kódů - takže osvěta musí pokrýt opravdu každý kanál. Přihlašování odolné vůči phishingu, jako jsou passkeys (FIDO2), navíc dokáže krádež přihlašovacích údajů zmařit hned u většiny těchto typů naráz.

Všechno přitom drží pohromadě lidský faktor. Předpisy jako NIS2 a DORA dnes po firmách vyžadují pravidelné školení zaměstnanců v kybernetické bezpečnosti a očekává se, že organizace doloží, že jejich lidé tyto varianty skutečně poznají v praxi. Průběžné phishingové simulace doplněné krátkým školením přesně ve chvíli, kdy někdo na návnadu klikne - například na platformě PhishGun - budují měřitelnou odolnost napříč všemi kanály a mění zaměstnance z nejslabšího článku v aktivní linii obrany.

Časté otázky

Jaké jsou nejčastější druhy phishingu?

Hlavními druhy jsou e-mailový phishing, spear phishing, whaling a BEC, smishing (podvodné SMS), vishing (podvodné hovory) a quishing (podvodné QR kódy). K nim se řadí ještě varianty jako clone phishing, pharming a OAuth consent phishing. Liší se kanálem a tím, jak přesně míří na oběť, ale všechny spoléhají na oklamání člověka, nikoli na zneužití softwaru.

Co je spear phishing a v čem se liší od běžného phishingu?

Spear phishing je cílený útok připravený na míru jediné osobě nebo konkrétní pozici. Zatímco běžný phishing rozesílá obecnou zprávu tisícům lidí, spear phishing vychází z předem nastudovaných informací o oběti a odkazuje na reálné projekty či kolegy. Právě díky této osobní rovině projde přes filtry i přes ostražitost příjemce mnohem snáz. To je zároveň hlavní rozdíl mezi phishingem a spear phishingem.

Co je smishing a vishing?

Jde o tentýž princip jako u phishingu, jen na jiném kanálu. Smishing přichází podvodnou SMS nebo přes komunikační aplikaci, vishing je podvodný telefonní hovor, při kterém se útočník vydává za banku, IT podporu či dodavatele a stále častěji využívá i klonování hlasu pomocí AI. Přesun mimo e-mail útočníkům pomáhá obejít filtry a zastihnout lidi na soukromých zařízeních.

Co je quishing neboli podvod přes QR kód?

Quishing je phishing, který škodlivý odkaz schová do QR kódu. Protože je cíl zakódovaný v obrázku, projde kód přes mnoho e-mailových filtrů a oběť ho obvykle naskenuje mobilem mimo firemní ochranu. Pokud vás naskenovaný QR kód zavede na přihlašovací stránku, je to jasný varovný signál - vždy si nejdřív zkontrolujte adresu v náhledu telefonu.

Proč je důležité znát jednotlivé typy phishingu?

Každý typ totiž vyžaduje trochu jinou obranu - autentizaci e-mailů u plošného phishingu, ověřovací zpětný hovor u BEC a osvětu napříč kanály u smishingu, vishingu a quishingu. Znalost celé klasifikace pomáhá uzavřít mezery, které by jediné opatření přehlédlo, a zaměstnancům umožní rozpoznat útok bez ohledu na to, jakou podobu na sebe vezme.

Související články

Základy

Co je phishing? Definice, příklady a jak útoky probíhají

Phishing je forma sociálního inženýrství, při níž se podvodník vydává za někoho důvěryhodného – kolegu, banku či dopravce – a snaží se z vás vylákat přihlašovací údaje, schválit platbu nebo spustit škodlivý soubor. Podle evropských statistik o řešení bezpečnostních incidentů je právě phishing nejčastější branou, kterou se útočníci poprvé dostanou dovnitř firmy. V tomto článku najdete srozumitelné phishing vysvětlení, popis toho, jak phishing funguje, přehled kanálů, kterými přichází, i praktické rady, jak se mu bránit.

7 min čteníČíst článek
Cílené útoky

Spear phishing a BEC podvod: kompromitace firemního e-mailu

Spear phishing je cílený útok šitý na míru konkrétnímu člověku nebo roli a stojí za nejdražším druhem internetové kriminality vůbec, kterým je kompromitace firemního e-mailu (BEC). Podvodník si oběť pečlivě nastuduje, vydává se za šéfa nebo dodavatele a nakonec přiměje zaměstnance poslat peníze na cizí účet. V tomto průvodci si vysvětlíme, jak útočníci sbírají informace, jak vypadá podvod jménem ředitele i falešná faktura, proč tyto e-maily proklouznou přes filtry a jak se firma může bránit dřív, než peníze odejdou.

8 min čteníČíst článek
Pokročilé techniky

Moderní phishingové techniky: jak útočníci obcházejí MFA a překonávají filtry

Moderní phishingové techniky dávno nejsou jen neuměle napodobená přihlašovací stránka s pravopisnou chybou. Dnešní útočníci sázejí na proxy typu adversary-in-the-middle, MFA únavu, falešná okna Browser-in-the-Browser, zneužití OAuth souhlasu, quishing a ClickFix - a obcházejí přitom právě ta opatření, která je dříve spolehlivě zastavovala. V tomto průvodci si vysvětlíme, jak jednotlivé techniky fungují (koncepčně, z pohledu obránce) a jak proti nim budovat odolnost.

9 min čteníČíst článek

Další krok

Chcete měřit svůj program phishingových simulací a školení?

Domluvte si demo a podívejte se, jak PhishGun podpoří simulace, školení, reportování i podklady pro audit.

Požádat o přístupEmail info@phishgun.com