Cílené útoky

Spear phishing a BEC podvod: kompromitace firemního e-mailu

Spear phishing je cílený útok šitý na míru konkrétnímu člověku nebo roli a stojí za nejdražším druhem internetové kriminality vůbec, kterým je kompromitace firemního e-mailu (BEC). Podvodník si oběť pečlivě nastuduje, vydává se za šéfa nebo dodavatele a nakonec přiměje zaměstnance poslat peníze na cizí účet. V tomto průvodci si vysvětlíme, jak útočníci sbírají informace, jak vypadá podvod jménem ředitele i falešná faktura, proč tyto e-maily proklouznou přes filtry a jak se firma může bránit dřív, než peníze odejdou.

8 min čteníAktualizováno 2026-06-07

Co je spear phishing a čím se liší od běžného phishingu?

Spear phishing je cílený útok zaměřený na konkrétního člověka, tým nebo firmu. Útočník nestřílí naslepo, ale opírá se o reálné informace o oběti, aby zpráva působila naprosto věrohodně. Zatímco běžný phishing připomíná rybářskou síť hozenou na tisíce neznámých adres s obecnou návnadou, spear phishing je jediný precizně připravený e-mail, který zmiňuje vaše skutečné kolegy, rozdělané projekty, konkrétní dodavatele i obraty, jaké u vás ve firmě běžně zaznívají. Právě v té osobní rovině se skrývá hrozba: zpráva totiž vypadá jako naprosto normální pracovní komunikace.

Rozdíl tkví v míře úsilí a v záměru. Hromadné kampaně sázejí na množství, protože i nepatrné procento úspěšnosti se při milionech rozeslaných e-mailů bohatě vyplatí. Spear phishing jako cílený útok naopak stojí na relevanci. Útočník klidně stráví hodiny studiem jediné účetní, než odešle jeden jediný e-mail, protože právě tahle zpráva může odklepnout převod ve výši statisíců i milionů korun. Širší přehled, jak spear phishing zapadá mezi smishing, vishing a další podoby útoků, najdete v našem rozcestníku o typech phishingu.

Jak si útočník při cíleném útoku nastuduje oběť

Spear phishing začíná dávno předtím, než dorazí první e-mail. Útočník si nejdřív sestaví profil firmy a vytipuje konkrétní lidi, kteří mohou hýbat penězi nebo daty. Vychází přitom z OSINT, tedy z veřejně dostupných zdrojů, jejichž čtení je zcela legální. Cílem je zjistit, kdo je komu nadřízený, kdo schvaluje platby, kdy klíčoví lidé cestují a jakým tónem se ve firmě běžně komunikuje.

  • LinkedIn a firemní web prozradí jména, funkce, organizační strukturu i to, kdo má na starosti finance, mzdy nebo nákup.
  • Tiskové zprávy, novinky a sociální sítě odhalí akvizice, nové dodavatele i načasování velkých zakázek, což je ideální záminka pro naléhavou platbu.
  • Automatické odpovědi typu „jsem mimo kancelář“ a fotky z konferencí napovědí, kdy je manažer na cestách a hůř se s ním rychle spojíte.
  • Uniklá hesla a starší úniky dat dají útočníkovi formát firemních adres, hesla k vyzkoušení a někdy i přímý přístup do skutečné schránky.
  • Veřejné faktury, podklady z výběrových řízení a loga dodavatelů pomohou napodobit přesný vzhled pravé fakturační zprávy.

S takovou skládačkou už útočník dokáže napsat zprávu, která dokonale zapadne do prostředí oběti. Zná jméno finančního ředitele, ví, kterého dodavatele opravdu využíváte, a odhadne i formulace, jaké rád používá váš jednatel. Celý průzkum i samotné psaní dnes navíc stále častěji urychluje umělá inteligence, díky které vznikají bezchybné a dokonale počeštěné zprávy levně a ve velkém.

Bezplatná phishingová kampaň

Otestujte zaměstnance jednou bezplatnou phishingovou kampaní a podívejte se na výsledky na vlastní oči.

Spusťte cílený pilot, změřte kliknutí a nahlášení a před nasazením si projděte výsledky školení.

Bez platební karty.

Požádat o přístup

Co je BEC neboli kompromitace firemního e-mailu?

Kompromitace firemního e-mailu (zkratkou BEC podle anglického Business Email Compromise) je podvod, při kterém se útočník vydává za vedení firmy, kolegu, dodavatele nebo obchodního partnera. Často k tomu zneužije napadený nebo matoucím způsobem podobný účet a cílem je přimět zaměstnance, aby poslal peníze nebo vyzradil citlivé údaje. Právě tady se ze spear phishingu stává reálná finanční ztráta. Útočník nechce ukrást heslo, chce po vás, abyste vlastní rukou schválili platbu na špatný účet.

BEC podvod se dlouhodobě řadí mezi finančně nejškodlivější druhy kybernetické kriminality. Zásadní je, že spousta těchto e-mailů neobsahuje žádný škodlivý kód ani podezřelý odkaz, je to čistě text. Přesně proto je technická ochrana proti BEC tak málo účinná a všechno stojí a padá na lidském ověření. Podle zpráv firem, které řeší bezpečnostní incidenty, se jednotlivé podvodné žádosti o převod peněz pohybují běžně v desítkách tisíc eur a celkové škody jdou celosvětově do miliard.

Hlavní podoby BEC podvodu

BEC není jeden univerzální trik, ale celá rodina příbuzných podvodů. Když zaměstnanci znají typické scénáře, mnohem snáz vycítí, že na žádosti něco nehraje, i kdyby e-mail vypadal sebedokonaleji.

Podvod jménem ředitele (CEO fraud)

Útočník se vydává za jednatele, generálního ředitele nebo jiného člena vedení a tlačí na pracovníka financí, aby urychleně a v tajnosti odeslal převod. Obvyklou kulisou bývá důvěrná akvizice nebo obchod, který se musí uzavřít ještě dnes. Kombinace autority, časového tlaku a utajení je klasickým rukopisem podvodu jménem ředitele. Celý scénář je promyšlený tak, aby zaměstnance odradil od toho, aby se s kýmkoli poradil.

Falešná faktura a podvodník, který se vydává za dodavatele

U podvodu s falešnou fakturou ve firmě se útočník vydává za reálného dodavatele a pošle věrohodně vypadající fakturu nebo oznámení ve stylu „změnili jsme číslo účtu“. Tím přesměruje očekávanou platbu na nastrčený účet. Změna bankovního účtu dodavatele je obzvlášť zákeřná v tom, že platba se sama o sobě čeká a nikoho nepřekvapí, jen se nenápadně vymění cílový účet.

Přesměrování mzdy a krádež dat

  • Přesměrování mzdy: útočník se vydává za zaměstnance a požádá personální oddělení, aby mu změnilo číslo účtu pro výplatu na účet, který sám ovládá.
  • Krádež osobních údajů: žádost o zaslání daňových formulářů, mzdových přehledů nebo seznamů zaměstnanců, které pak poslouží ke krádeži identity nebo k navazujícím útokům.
  • Podvod s dárkovými kartami: menší a rychlá varianta, kdy „šéf“ akutně potřebuje nakoupit dárkové karty a obratem poslat jejich kódy.

Proč e-mailové filtry tyto útoky často přehlédnou

Bezpečnostní nástroje pro e-mail jsou vyladěné na to, aby chytaly velké objemy, známé škodlivé odkazy a nakažené přílohy. Spear phishing a BEC podvod jsou ale schválně postavené tak, aby žádný z těchto signálů nevykazovaly. Jediný čistý e-mail bez příloh, odeslaný z věrohodně vypadající adresy, automatickou ochranu málokdy spustí.

  • Žádný škodlivý kód ani odkazy: spousta BEC zpráv je čistý text, takže sandbox ani kontrola odkazů nemají co rozkliknout.
  • Zaměnitelné a napadené domény: útočníci registrují domény lišící se o jediné písmeno, nebo posílají z reálně napadené schránky partnera, která projde ověřením bez problémů.
  • Nízký objem a vysoká míra přizpůsobení: kampaň o jediné zprávě pro jednoho člověka nikdy nevytvoří reputační stopu, na které stojí reputační filtry.
  • Díry v ověřování odesílatele: kde chybí SPF, DKIM a DMARC, nebo jsou nastavené na „none“, projdou podvržené domény bez jakékoli překážky.
  • Bezchybná čeština díky AI: dobře napsané a přirozeně znějící zprávy mažou pravopisné a gramatické chyby, podle kterých starší filtry podvody poznávaly.

Modelový příklad z české firmy

Představte si středně velkého výrobce v Česku. Útočník si na LinkedInu najde finančního ředitele a mladší účetní z oddělení financí a z tiskové zprávy se dozví, že firma právě dolaďuje smlouvu s německým dodavatelem. Zaregistruje si doménu, která se od té dodavatelské liší o jediné písmeno, takže na první pohled rozdíl nepoznáte.

Uprostřed týdne dorazí účetní uhlazený e-mail v bezchybné češtině, zdánlivě od fakturačního kontaktu dodavatele: účet pro očekávanou fakturu se prý změnil, prosíme o aktualizaci pro tuto platbu. Logo, číslo faktury i částka přesně sedí na skutečnou, dosud nezaplacenou objednávku. Za hodinu přistane navazující zpráva, zdánlivě z adresy finančního ředitele, jejíž napodobenina je téměř dokonalá: „Ano, schválil jsem to, zpracujte to prosím ještě dnes, jsem celý den na poradách.“ Každý jednotlivý detail dává smysl. Převod odejde dřív, než to kdokoli vysloví nahlas.

Jak se bránit BEC útokům a ochránit firmu před převodem peněz

Tyhle útoky míří na lidský úsudek, ne na software, takže nejúčinnější obrana má více vrstev. Potřebujete proces, který dokončení podvodu zkomplikuje, technická opatření, jež útočníkovi prodraží napodobování, a zaměstnance vyškolené k tomu, aby zpozorněli právě u žádostí, kterých podvodníci nejčastěji zneužívají. Kompletní postup popisujeme v našem návodu, jak předcházet phishingu.

  1. Ověření jiným kanálem: každou platbu nebo změnu čísla účtu si potvrďte přes nezávislou cestu, ideálně telefonicky na číslo z vlastní evidence, nikdy ne na to ze zprávy.
  2. Dvojí schvalování plateb: u převodů nad stanovenou částku vyžadujte podpis dvou oprávněných osob a u každé změny bankovního účtu dodavatele zaveďte zdokumentovaný schvalovací krok.
  3. Z pravidla „zastav se a ověř“ udělejte normu: dejte financím i personálnímu výslovné svolení zpomalit naléhavé nebo tajnůstkářské žádosti i od vedení, aniž by se báli, že budou působit jako potížisté.
  4. Posilte ověřování e-mailu: nasaďte SPF, DKIM a vynucující politiku DMARC, viditelně označujte externí a zaměnitelné odesílatele a schránky vedení chraňte přístupovými klíči (passkey) odolnými proti phishingu.
  5. Trénujte na reálných návnadách: pravidelná školení a realistické, počeštěné phishingové simulace, například na platformě PhishGun, budují měřitelnou odolnost a upevňují návyk ověřovat, čímž zároveň pomáhají plnit povinnosti školení podle směrnice NIS2 i nařízení DORA.

Právě zaměstnanci jsou tou pojistkou, která odhalí BEC e-mail, na nějž filtr nestačí. Když je vnímáte jako součást řešení a vybavíte je jasným postupem ověřování i snadným způsobem, jak nahlásit podezřelou zprávu, promění se celá firma v citlivou síť senzorů. Řada těchto cílených útoků si navíc půjčuje postupy z moderních phishingových technik, proto držte školení krok s tím, jak se metody útočníků vyvíjejí.

Časté otázky

Co je BEC neboli kompromitace firemního e-mailu?

BEC podvod (Business Email Compromise) je kompromitace firemního e-mailu, při které se útočník vydává za vedení firmy, kolegu nebo dodavatele a přiměje zaměstnance poslat peníze či vyzradit citlivé údaje. Často k tomu zneužije napadený nebo zaměnitelný účet a cílem je platba na podvodný účet. Patří k finančně nejškodlivějším druhům kybernetické kriminality.

Jak funguje podvod jménem ředitele (CEO fraud)?

Při podvodu jménem ředitele se útočník vydává za jednatele nebo generálního ředitele a tlačí na pracovníka financí, aby urychleně a v tajnosti odeslal převod, typicky kvůli „důvěrnému obchodu“. Kombinuje autoritu, časový tlak a utajení, aby zaměstnance odradil od ověření u kolegů. Spolehlivou obranou je telefonát na ověřené číslo a dvojí schvalování plateb.

Čím se spear phishing liší od běžného phishingu?

Běžný phishing rozesílá obecnou návnadu naráz tisícům lidí. Spear phishing je cílený útok na konkrétní osobu nebo roli, postavený na nastudovaných detailech, jako jsou skutečná jména, dodavatelé a projekty. Díky tomu je mnohem přesvědčivější a podstatně hůř se odhaluje, a právě proto z něj vychází i BEC podvod.

Jak poznat podvodnou fakturu nebo žádost o převod peněz?

Pozor si dejte na náhlou změnu bankovního účtu dodavatele, časový nátlak, žádost o utajení a na drobně pozměněnou doménu odesílatele. Podezřelá je i platba, která se sice čeká, ale najednou má jít na nový účet. Než zaplatíte, ověřte žádost telefonicky na číslo z vlastní evidence, ne na to z e-mailu.

Jak ochránit firmu před převodem peněz na podvodný účet?

Nejúčinnější obranou proti BEC útokům je kombinace ověření jiným kanálem a dvojího schvalování plateb. Každou platbu i změnu bankovního účtu si potvrďte nezávislou cestou a u větších částek vyžadujte podpis dvou osob. Pomáhá také vynucený DMARC, označování externích odesílatelů a pravidelné phishingové simulace pro zaměstnance.

Související články

Druhy útoků

Druhy phishingu: kompletní přehled a jak je poznat

Než se začnete bránit, musíte vědět, proti čemu stojíte. Phishing dnes zdaleka neznamená jen podvodný e-mail - útočníci přesedlali na SMS, telefonní hovory i QR kódy a každý kanál má své vlastní triky. V tomto přehledu projdeme všechny hlavní druhy phishingu, ukážeme si, jak fungují, jaké návnady jsou dnes v Česku a Evropě nejčastější, a hlavně podle čeho každý z nich okamžitě poznáte.

9 min čteníČíst článek
Pro organizace

Jak se bránit phishingu ve firmě: vrstvená obrana krok za krokem

Phishing nezastavíte jediným opatřením, a přitom právě on bývá v Evropě nejčastější vstupní branou útočníků do firem. Skutečně účinná ochrana před phishingem ve firmě proto stojí na několika vrstvách: technické filtrování, posílení identit, pravidelné školení zaměstnanců v kyberbezpečnosti a rychlá kultura nahlašování, díky níž hrozbu zachytíte dřív, než se stihne rozšířit. Tento návod ukazuje IT a bezpečnostním manažerům, jak postavit obranu, která je praktická a zároveň měřitelná.

8 min čteníČíst článek
Pokročilé techniky

Moderní phishingové techniky: jak útočníci obcházejí MFA a překonávají filtry

Moderní phishingové techniky dávno nejsou jen neuměle napodobená přihlašovací stránka s pravopisnou chybou. Dnešní útočníci sázejí na proxy typu adversary-in-the-middle, MFA únavu, falešná okna Browser-in-the-Browser, zneužití OAuth souhlasu, quishing a ClickFix - a obcházejí přitom právě ta opatření, která je dříve spolehlivě zastavovala. V tomto průvodci si vysvětlíme, jak jednotlivé techniky fungují (koncepčně, z pohledu obránce) a jak proti nim budovat odolnost.

9 min čteníČíst článek

Další krok

Chcete měřit svůj program phishingových simulací a školení?

Domluvte si demo a podívejte se, jak PhishGun podpoří simulace, školení, reportování i podklady pro audit.

Požádat o přístupEmail info@phishgun.com