Pro zaměstnance

Jak poznat phishing: varovné signály, na které si dát pozor

Umět poznat phishing patří k nejužitečnějším dovednostem, jaké v práci můžete mít. Podvodné e-maily a zprávy totiž zůstávají nejčastější branou, kterou se útočníci dostávají do firem. V tomto návodu si projdeme konkrétní varovné signály phishingu, ukážeme si, jak bezpečně ověřit odkaz i odesílatele, a hlavně si řekneme, co dělat, když vám něco nesedí.

8 min čteníAktualizováno 2026-06-07

Proč je phishing tak těžké odhalit

Dnešní phishing je přesvědčivý naprosto záměrně. Útočníci kopírují pravá loga, převzaté formulace i jména skutečných odesílatelů a čím dál častěji si pomáhají umělou inteligencí, která dokáže napsat hladkou zprávu bez chyb a v dokonalé češtině. Z evropských statistik o řešení incidentů přitom vyplývá, že právě phishing je nejčastějším způsobem, jak útočník získá první přístup do systému. Jediný uvěřitelný e-mail tak může odstartovat celý bezpečnostní průšvih.

Velkou roli hraje i načasování. Zpráva, která vám přijde ve chvíli, kdy spěcháte, jste myšlenkami jinde nebo zrovna čekáte balík od Zásilkovny, fakturu či výzvu k obnovení hesla do Microsoftu 365, má mnohem větší šanci uspět. Útočníkovi stačí, abyste pár vteřin jednali na autopilota.

Pokud chcete nejdřív širší kontext, vyplatí se vědět, co je phishing a jaké druhy phishingu existují, od klasického e-mailu přes podvodné SMS (smishing) a telefonáty (vishing) až po útoky skryté v QR kódech. Jakmile znáte typické podoby těchto útoků, jejich odhalení je hned o poznání snazší.

Varovné signály phishingu: na co se zaměřit

Žádný jednotlivý znak sám o sobě nic nedokazuje, ale když se jich sejde víc najednou, je nejvyšší čas zpozornět a začít ověřovat. Každou nečekanou zprávu si proto rychle proklepněte podle tohoto přehledu.

  • Přišlo to z čistého nebe nebo bez souvislosti: zpráva, kterou jste nevyvolali, o účtu, zásilce nebo faktuře, o níž nic nevíte.
  • Naléhavost a nátlak: „jednejte ihned“, „účet vám bude zablokován“, „poslední upozornění“ nebo vyhrožování pokutou či právními kroky.
  • Hra na emoce: strach, zvědavost, vidina výhry nebo zneužití autority (požadavek, který jako by přišel od šéfa nebo vedení).
  • Neosobní oslovení: „Vážený zákazníku“ nebo „Dobrý den, uživateli“ namísto vašeho jména, ačkoli skutečný odesílatel by ho znal.
  • Podezřelá adresa odesílatele: důvěryhodně znějící jméno spojené s divnou nebo jen nepatrně pozměněnou doménou.
  • Odkaz, který neodpovídá textu: navenek se tváří jako jedna stránka, ale ve skutečnosti vede někam jinam.
  • Nečekané přílohy: faktury, účtenky nebo „zabezpečené dokumenty“, hlavně soubory ZIP, HTML nebo dokumenty, které po vás chtějí povolit obsah či makra.
  • Vyptávání na hesla a kódy: jakákoli stránka nebo osoba, která chce vaše heslo, ověřovací kód z MFA nebo platební údaje.
  • Chyby v jazyce a grafice: kostrbaté formulace, špatné logo nebo jen mírně rozhozený vzhled e-mailu.

Bezplatná phishingová kampaň

Otestujte zaměstnance jednou bezplatnou phishingovou kampaní a podívejte se na výsledky na vlastní oči.

Spusťte cílený pilot, změřte kliknutí a nahlášení a před nasazením si projděte výsledky školení.

Bez platební karty.

Požádat o přístup

Jak ověřit odesílatele a doménu

Útočníci sázejí na to, že většina lidí čte jen zobrazované jméno odesílatele. To přitom může být napsané cokoli, klidně i „Česká spořitelna“ nebo „IT podpora“. Rozhoduje skutečná e-mailová adresa, a hlavně doména za zavináčem.

Pozor na domény, které jen vypadají správně

Oblíbeným trikem je doména, která se té pravé podobá jako vejce vejci. Útočník zamění nebo přidá jediné písmeno, zvolí jinou koncovku nebo schová pravou značku doprostřed delší adresy. E-mail, který se tváří, že je od vaší banky nebo třeba od České pošty, tak může přijít z domény, která je originálu hodně blízká, ale není s ním totožná. Vždy ji pečlivě porovnejte s adresou, které už věříte.

  • Rozbalte si u odesílatele celou adresu, nespoléhejte jen na zobrazované jméno.
  • Přečtěte si doménu hned za zavináčem a porovnejte ji s tou pravou písmeno po písmenu.
  • Buďte ostražití u subdomén, které značku jen předstírají, třeba známé jméno nalepené před úplně cizí doménu.
  • Mějte na paměti, že i důvěryhodně vypadající adresa může být podvržená nebo odeslaná z napadeného účtu, takže samotný odesílatel nikdy není stoprocentním důkazem.

Jak ověřit, kam odkaz ve zprávě skutečně vede

Cílem je zjistit, kam odkaz doopravdy směřuje, a přitom ho neotevřít. Nejbezpečnější návyk je úplně jednoduchý: nejdřív neklikejte, nejdřív se podívejte.

  1. Na počítači najeďte myší nad odkaz (neklikejte) a přečtěte si skutečnou adresu, která se objeví dole v okně nebo v malé bublině.
  2. Na telefonu odkaz podržte prstem, aby se ukázal náhled cíle, místo abyste na něj klepli.
  3. Doménu z této adresy porovnejte s oficiální, kterou znáte. Pokud se neshodují, dál nepokračujte.
  4. Dejte si pozor na zkrácené nebo neobvyklé odkazy, které skutečný cíl maskují, a na odkazy, jež vás nečekaně přivedou na přihlašovací stránku.
  5. Když máte pochybnosti, odkaz vůbec nepoužívejte. Otevřete novou kartu prohlížeče a oficiální adresu si napište ručně, nebo si ji otevřete z uložené záložky.

Nikdy nezadávejte heslo ani kód z MFA na stránce, na kterou jste se dostali přes odkaz ve zprávě. Seriózní služby po vás takovéto potvrzování údajů nikdy nechtějí a vyplnit je na podvržené stránce je přesně to, oč útočníkovi jde.

Pozor na neobvyklé žádosti a pokyny

Některé z nejnebezpečnějších útoků neobsahují žádný škodlivý kód ani na první pohled podezřelý odkaz. Prostě vás jen o něco požádají. To je podstata kompromitace firemní e-mailové komunikace (BEC), kdy se útočník vydává za ředitele, kolegu nebo dodavatele, aby vám podstrčil platbu nebo z vás vymámil citlivá data.

  • Nečekaná výzva uhradit fakturu nebo změnit číslo bankovního účtu dodavatele.
  • „Drobná laskavost“ od nadřízeného, který je shodou okolností zrovna nedostupný na telefonu.
  • Tlak na to udržet transakci v tajnosti nebo obejít obvyklé schvalování.
  • Žádost o nákup dárkových karet, urgentní převod peněz nebo sdílení údajů o zaměstnancích či mzdách.
  • Kdokoli, ať už z firmy, nebo zvenčí, kdo po vás chce heslo, schválení MFA nebo jednorázový kód.

Žádné seriózní IT oddělení, banka ani poskytovatel služby vás nikdy nepožádá, abyste prozradili heslo nebo schválili přihlášení přes MFA, které jste sami nespustili. Když vám dorazí nečekaná výzva z MFA, odmítněte ji a nahlaste ji, protože může znamenat, že vaše heslo už někdo zná.

Podezřelý e-mail: co dělat a kam ho nahlásit

Pokud zpráva spustí kterýkoli z popsaných varovných signálů, nepotřebujete mít jistotu, že je opravdu škodlivá. Správný postup je v obou případech stejný: nereagujte na ni, nahlaste ji a rozhodnutí nechte na bezpečnostním týmu.

  1. Neklikejte na odkazy, neotvírejte přílohy, neskenujte QR kódy ani neodpovídejte.
  2. Nezadávejte přihlašovací údaje, kódy ani platební informace nikam, kam vás zpráva odkázala.
  3. Nahlaste ji přes firemní tlačítko pro hlášení phishingu, nebo ji přepošlete IT či bezpečnostnímu týmu, ideálně ještě dřív, než ji smažete.
  4. Pokud jste už klikli nebo údaje vyplnili, ihned to nahlaste a změňte dotčené heslo, pak s IT proveďte další potřebné kroky. Rychlost omezuje škody a opravdu není za co se stydět.
  5. Po nahlášení zprávu smažte, abyste s ní později omylem znovu nepracovali.

Rozpoznávání phishingu je dovednost, která se cvikem zlepšuje. Firmy budují měřitelnou odolnost tak, že tuhle ostražitost propojí s pravidelnými realistickými phishingovými simulacemi a krátkým školením přímo v okamžiku selhání, na čemž staví třeba platforma PhishGun. Správná reakce se pak stane reflexem. Když budete chtít jít dál, podívejte se, jak phishingu předcházet a jaká vrstvená opatření ostražité zaměstnance podpoří.

Časté otázky

Jak poznám, že je e-mail podvodný?

Podvodný e-mail nejčastěji prozradí kombinace signálů: přijde nečekaně, tlačí vás k rychlému jednání nebo vyhrožuje, oslovuje vás neosobně a adresa odesílatele či odkaz úplně nesedí s těmi pravými. Přidávají se žádosti o hesla nebo platby a drobné chyby v jazyce a grafice. Jeden znak nic neznamená, ale několik najednou je jasný pokyn zastavit se a ověřovat.

Jak ověřím, kam odkaz ve zprávě skutečně vede, aniž bych na něj klikl?

Na počítači najeďte myší nad odkaz a přečtěte si adresu dole v okně, na telefonu odkaz podržte prstem a zobrazí se náhled cíle. Tuto doménu pak porovnejte s oficiální. Když si nejste jistí, odkaz vůbec nepoužívejte a oficiální adresu si raději napište do prohlížeče sami nebo otevřete z uložené záložky.

Co mám dělat, když dostanu podezřelou SMS od banky?

Na nic neklikejte, nevolejte na čísla z dané SMS a nezadávejte žádné údaje. Banky po vás přes SMS nikdy nechtějí heslo, PIN ani ověřovací kódy. Falešnou SMS od banky poznáte i podle toho, že tlačí na rychlé jednání a vede na cizí odkaz. Vše si ověřte přes oficiální aplikaci, internetové bankovnictví nebo telefonní číslo z karty či webu banky a podezřelou zprávu nahlaste své bance i IT.

Co dělat, když jsem klikl na phishingový odkaz?

Hlavně to nahlaste co nejdřív, ideálně přes firemní tlačítko pro hlášení nebo IT a bezpečnostnímu týmu. Pokud jste na podvržené stránce zadali heslo, okamžitě si ho změňte všude, kde ho používáte, a zkontrolujte, zda máte zapnuté vícefaktorové ověření. Rychlá reakce výrazně omezí možné škody a rozhodně není za co se stydět.

Kam nahlásit phishing v Česku?

Ve firmě phishing hlaste přes interní tlačítko pro hlášení nebo přeposláním IT a bezpečnostnímu týmu. Podvod cílený na vaši banku nahlaste přímo bance, falešné e-maily zneužívající známé značky lze nahlásit jejich podpoře. Trestnou činnost a finanční podvody řeší Policie ČR a u kybernetických incidentů ve firmě je na místě kontaktovat i NÚKIB.

Související články

Základy

Co je phishing? Definice, příklady a jak útoky probíhají

Phishing je forma sociálního inženýrství, při níž se podvodník vydává za někoho důvěryhodného – kolegu, banku či dopravce – a snaží se z vás vylákat přihlašovací údaje, schválit platbu nebo spustit škodlivý soubor. Podle evropských statistik o řešení bezpečnostních incidentů je právě phishing nejčastější branou, kterou se útočníci poprvé dostanou dovnitř firmy. V tomto článku najdete srozumitelné phishing vysvětlení, popis toho, jak phishing funguje, přehled kanálů, kterými přichází, i praktické rady, jak se mu bránit.

7 min čteníČíst článek
Druhy útoků

Druhy phishingu: kompletní přehled a jak je poznat

Než se začnete bránit, musíte vědět, proti čemu stojíte. Phishing dnes zdaleka neznamená jen podvodný e-mail - útočníci přesedlali na SMS, telefonní hovory i QR kódy a každý kanál má své vlastní triky. V tomto přehledu projdeme všechny hlavní druhy phishingu, ukážeme si, jak fungují, jaké návnady jsou dnes v Česku a Evropě nejčastější, a hlavně podle čeho každý z nich okamžitě poznáte.

9 min čteníČíst článek
Pro organizace

Jak se bránit phishingu ve firmě: vrstvená obrana krok za krokem

Phishing nezastavíte jediným opatřením, a přitom právě on bývá v Evropě nejčastější vstupní branou útočníků do firem. Skutečně účinná ochrana před phishingem ve firmě proto stojí na několika vrstvách: technické filtrování, posílení identit, pravidelné školení zaměstnanců v kyberbezpečnosti a rychlá kultura nahlašování, díky níž hrozbu zachytíte dřív, než se stihne rozšířit. Tento návod ukazuje IT a bezpečnostním manažerům, jak postavit obranu, která je praktická a zároveň měřitelná.

8 min čteníČíst článek

Další krok

Chcete měřit svůj program phishingových simulací a školení?

Domluvte si demo a podívejte se, jak PhishGun podpoří simulace, školení, reportování i podklady pro audit.

Požádat o přístupEmail info@phishgun.com