Hrozby

12 phishingových emailov, ktoré chodia Slovákom (s vysvetlením)

Tieto phishingový email príklady rekonštruujú zdokumentované reálne kampane, ktoré chodia slovenským firmám aj domácnostiam - podvodné balíky, falošné banky, prihlasovacie stránky Microsoft 365, CEO podvody aj útoky napísané umelou inteligenciou. Pri každom ukazujeme varovné signály, ktoré má zamestnanec zachytiť. Phishing stojí podľa ENISA za zhruba 60 % všetkých prienikov, takže naučiť ľudí rozpoznať tieto vzory je najlacnejšie bezpečnostné opatrenie, aké môžete nasadiť.

Marek Mlynček · Etický hacker, OSCP11 min čítania

Ako rozpoznať phishingový email: prístup cez komentované príklady

Abstraktné pravidlá si nikto nezapamätá; vzory áno. Každý príklad nižšie rekonštruuje návnadu, ktorú zdokumentovalo verejné varovanie SK-CERT, polície, výrobcu bezpečnostného softvéru alebo samotnej zneužitej značky. Ukážeme zobrazené meno odosielateľa, predmet správy, podstatu textu a - čo je najdôležitejšie - to, o čo email žiada. Potom okomentujeme varovné signály. Prečítajte si ich tak, ako ich píše útočník, a ďalšiu variantu spoznáte na prvý pohľad. Skrátenú verziu nájdete v našom kontrolnom zozname na rozpoznanie phishingu.

Kategória návnadyTypická žiadosťZdroj varovania
Podvody s balíkmi a poštouDrobný „colný" alebo „doručovací" poplatok kartouDPD, Packeta, SK-CERT, Slovenská pošta
Falošné banky a platby„Overenie účtu" cez naklonovanú prihlasovaciu stránkuBezpečnostné stránky bánk, varovania SK-CERT
Návnady Microsoft 365 / GooglePracovné prihlasovacie údaje a kódy MFACheck Point Research, hlásenia Microsoftu
Interné BEC / CEO podvodyUrgentné platby, zmena mzdových a bankových údajovHlásenia a varovania FBI IC3
Phishing s pomocou AIČokoľvek z vyššie uvedeného - bez preklepovENISA Threat Landscape 2025

Podvody s balíkmi a poštou: najrozšírenejšia návnada

Návnady s balíkmi vedú v objeme, pretože každý práve na niečo čaká. Zámienka je úmyselne malicherná a nudná: poplatok jedno-dve eurá pôsobí príliš zanedbateľne na to, aby išlo o podvod - a presne v tom je trik. Poplatok je len zámienka; cieľom sú kompletné údaje vašej platobnej karty.

1. Pozdržaná zásielka u kuriéra a „colný" poplatok

Zobrazené meno „DPD" alebo „DHL Express", skutočná adresa odosielateľa na podobne vyzerajúcej doméne. Predmet: „Vaša zásielka je pozdržaná". Text tvrdí, že balík uviazol na colnici, a žiada doplatiť „clo" vo výške 1,99–2,99 € cez falošnú stránku na sledovanie zásielky, ktorá zbiera kompletné údaje karty. DPD na Slovensku aj jeho zahraničné centrály opakovane upozorňujú, že firma nikdy nežiada doplatky za štandardné služby e-mailom či SMS.

  • Doména odosielateľa nie je oficiálna doména kuriéra (dpd.com, dhl.com)
  • Žiadne podacie číslo zodpovedajúce objednávke, ktorú ste reálne zadali
  • Kompletný formulár karty kvôli poplatku do 3 € - cieľom sú dáta, nie tie peniaze

2. Neúspešné doručenie a poplatok za opätovné doručenie

Zobrazené meno „Packeta" alebo „DPD", predmet „Nezastihli sme vás - naplánujte opätovné doručenie". Email tvrdí, že pokus o doručenie zlyhal, a odkazuje na stránku, ktorá strhne malý „poplatok za opätovné doručenie" a zozbiera údaje karty. Packeta na svojom blogu aj DPD opakovane varujú, že za opätovné doručenie balíka neúčtujú žiadny poplatok a takéto SMS ani e-maily neposielajú.

  • Kuriéri neúčtujú poplatky za opätovné doručenie cez odkaz v e-maile
  • Tlak odpočítavaním: „balík sa vráti odosielateľovi do 48 hodín"
  • Cieľ odkazu nie je oficiálna doména kuriéra (packeta.sk, dpd.com)

3. Slovenská pošta a zber údajov z karty

Zobrazené meno „Slovenská pošta", správa: čaká na vás zásielka, kliknite a dohodnite doručenie. Národné centrum kybernetickej bezpečnosti SK-CERT vydalo naliehavé varovanie pred touto kampaňou: podvodné stránky zbierajú údaje karty plus potvrdzovací SMS kód, ktorým útočníci zaregistrujú kartu obete do Apple Pay alebo Google Pay. Slovenská pošta zaznamenala desiatky rôznych variantov takýchto podvodných e-mailov a SMS a všetky zhromažďuje na svojej stránke s varovaniami pred podvodmi.

  • Poštové poplatky sa platia pri doručení či vyzdvihnutí, nikdy nie cez formulár karty v e-maile
  • Žiadosť o SMS kód - práve ním sa vaša karta zaregistruje do mobilnej peňaženky
  • Podobne vyzerajúca doména namiesto oficiálnej posta.sk či packeta.sk

Bezplatná phishingová kampaň

Otestujte zamestnancov jednou bezplatnou phishingovou kampaňou a pozrite si výsledky na vlastné oči.

Spustite cielený pilot, zmerajte kliknutia a nahlásenia a pred nasadením si prejdite výsledky školenia.

Bez platobnej karty.

Požiadať o prístup

Falošné banky a platobné služby

Útočníci sa vydávajú za banky, lebo zisk je priamy: prihlasovacie údaje do internet bankingu plus SMS kód sa rovnajú peniazom. Slovenské banky aj SK-CERT zverejňujú prakticky totožné varovania a všetky opakujú to isté pravidlo - banka vás nikdy nevyzve prihlásiť sa cez odkaz v e-maile.

4. Zablokovaný účet a jeho „overenie"

Zobrazené meno ukazuje reálny názov vašej banky; skutočná adresa však sedí na cudzej doméne. Predmet: „Nezvyčajná aktivita - váš účet bol obmedzený". Text sa odvoláva na rutinnú bezpečnostnú kontrolu a tlačí vás „overiť totožnosť" na naklonovanom prihlásení do internet bankingu, ktoré zachytí prihlasovacie údaje, dáta karty aj následné potvrdzovacie kódy. Tá istá logika živí aj telefonické podvody typu „falošný bankár", pred ktorými banky dlhodobo varujú.

  • Prihlasovací odkaz v e-maile - banky dôsledne upozorňujú, že takéto nikdy neposielajú
  • Všeobecné oslovenie „Vážený klient" namiesto vášho mena a časti čísla účtu
  • Hrozba zablokovania v priebehu hodín, aby ste nestihli premýšľať

5. Návnada na daňový preplatok

Zobrazené meno „Finančná správa", predmet „Máte nárok na vrátenie dane vo výške 248,50 €". SK-CERT v spolupráci s Finančnou správou varuje pred podvodom zneužívajúcim jej identitu: sľúbený preplatok vedie na formulár zbierajúci osobné údaje a dáta karty, na ktorú vám peniaze údajne „pošlú". Rovnaký vzor sa vracia v období daňových priznaní, vo februári a marci. Finančná správa pritom preplatky nikdy nezasiela na číslo karty zadané cez e-mail.

  • Finančná správa nevypláca preplatky na číslo karty zadané v e-maile
  • Podozrivo presná suma vymyslená tak, aby pôsobila oficiálne
  • Lehota na uplatnenie nároku v dňoch, aby vás dotlačila k rýchlemu kliknutiu

Prihlasovacie návnady na Microsoft 365 a Google Workspace

Microsoft viedol rebríček najzneužívanejších značiek Check Point Research v každom kvartáli 2025 (v Q4 2025 stál za 22 % pokusov o phishing značiek), Google bol druhý s 13 %. Dôvod je jednoduchý: jedna sada ukradnutých pracovných prihlasovacích údajov otvorí poštu, súbory aj všetko prepojené cez jednotné prihlásenie. Práve tieto tri návnady dominujú firemným schránkam na Slovensku.

6. Oznámenie o vypršaní hesla

Odosielateľ „IT podpora" alebo „Tím Microsoft 365" - pritom z domény mimo vašej organizácie. Predmet: „Vaše heslo dnes vyprší". Pohodlné tlačidlo „Ponechať aktuálne heslo" vedie na pixel po pixeli vernú prihlasovaciu stránku Microsoftu, čoraz častejšie cez proxy typu adversary-in-the-middle, ktorá ukradne aj reláciu MFA. Tento mechanizmus rozoberáme v sprievodcovi modernými phishingovými technikami. Pred takýmito e-mailami o vypršaní hesla varoval aj samotný NBÚ.

  • Skutočné IT nikdy neponúka „ponechať" si vypršané heslo
  • Interne znejúce oznámenie prichádzajúce z externej domény
  • URL prihlasovacej stránky nie je login.microsoftonline.com ani accounts.google.com

7. Pozdržané správy a hlasová schránka

Predmet: „Máte (3) pozdržané správy" alebo upozornenie z hlasovej schránky s prílohou vo formáte HTML. Otvorenie prílohy vykreslí lokálnu kópiu prihlasovacieho formulára Microsoftu - niet podozrivej URL, na ktorú by ste si mohli ukázať kurzorom, a údaje sa odosielajú rovno útočníkovi. Bezpečnostní výskumníci dokumentujú opakujúce sa vlny tejto kampane už od roku 2022.

  • Prílohy .htm alebo .html na „notifikačnom" e-maile
  • Prihlásenie vyžadované na „uvoľnenie" zadržaných správ
  • Upozornenia z hlasovej schránky do e-mailu, ktoré vaša firma vôbec nepoužíva

8. Upozornenie na zdieľaný dokument

Verne vyzerajúca notifikácia zo SharePointu alebo Google Drive: „Lucia s vami zdieľala súbor ‚Platby Q3.xlsx'". Zdieľanie môže byť dokonca skutočné - hostený súbor potom odkazuje ďalej na stránku zbierajúcu prihlasovacie údaje. Indícia: vyzve vás „prihlásiť sa znova" na zobrazenie dokumentu, hoci ste už prihlásení.

  • Nečakané zdieľanie od niekoho, s kým ste nikdy nespolupracovali
  • Druhá výzva na prihlásenie uprostred už prihlásenej relácie
  • Následný odkaz opúšťa územie microsoft.com alebo google.com

Interne vyzerajúce e-maily: falošné HR, IT podpora a CEO podvody

Tu sa nezneužíva žiadna značka - vydávajú sa za vašich vlastných kolegov. FBI IC3 zaevidovala len za rok 2024 takmer 2,8 miliardy dolárov strát z kompromitácie firemnej pošty (BEC). Tieto správy sú krátke, čisto textové a často neobsahujú žiadny odkaz ani prílohu - preto ich e-mailové filtre bežne prepustia. Celý reťazec útoku rozoberáme v sprievodcovi spear phishing a BEC.

9. „Rýchla láskavosť" od konateľa

Zobrazené meno: skutočné meno vášho konateľa či riaditeľa. Skutočná adresa: freemailová schránka alebo doména s jedným zmeneným písmenom. Predmet: „Rýchla láskavosť". Dve vety: si pri počítači, potrebujem urgentne spracovať platbu, idem na rokovanie - nechajme si to medzi sebou. Práve varianty tejto presnej správy s prevodmi a darčekovými kartami tvoria veľkú časť strát z BEC (Europol ich označuje ako „CEO podvod").

  • Zobrazené meno nesedí so skutočnou adresou v pozadí
  • Urgentnosť plus utajenie - typická kombinácia BEC
  • Žiadosť obchádza váš bežný proces schvaľovania platieb

10. Aktualizácia výplatnej pásky od HR

Zobrazené meno „Personálne oddelenie", predmet „Aktualizovaná výplatná páska - vyžaduje sa akcia". Odkaz vedie na falošný HR portál alebo prihlásenie do Microsoftu; so získanými údajmi útočníci zmenia zamestnancove číslo účtu pre výplatu tak, aby ďalšia mzda pristála na účte nastrčenej osoby - pred týmto vzorom presmerovania miezd FBI výslovne varuje zamestnávateľov.

  • Oznámenie od HR prichádzajúce z externej alebo podobne vyzerajúcej domény
  • Prihlasovacia stena pred „výplatnou páskou", o ktorú ste nežiadali
  • Zmena procesu, ktorú interne nikto neoznámil

11. Migrácia od IT helpdesku

Odosielateľ „IT helpdesk", predmet „Dnes v noci migrácia schránky - overte účet, inak stratíte prístup". Častým pokračovaním je telefonát, v ktorom „technik" žiada zamestnanca nadiktovať kód MFA alebo schváliť push notifikáciu - tým spája e-mailový phishing s vishingom a únavou z MFA. Tento variant pripomína aj podvody typu „falošný bankár", pri ktorých volajúci predstiera autoritu.

  • Lehota ešte v ten istý deň naviazaná na stratu prístupu
  • Ktokoľvek žiadajúci zdieľať či schváliť kód MFA - legitímne IT ho nikdy nepotrebuje
  • Adresa pre odpoveď (reply-to) sa líši od viditeľného odosielateľa

Prečo je phishing generovaný umelou inteligenciou ťažšie odhaliť?

Roky sa na školeniach učilo, že phishing spoznáte podľa preklepov a kostrbatých formulácií. Táto pomôcka je mŕtva. ENISA Threat Landscape 2025 uvádza, že do začiatku roka 2025 tvoril phishing s pomocou AI vyše 80 % pozorovanej aktivity sociálneho inžinierstva na svete. Jazykové modely vyprodukujú bezchybnú slovenčinu - vrátane správnej diakritiky - a každú správu zadarmo personalizujú podľa LinkedInu a firemných webov.

12. Žiadosť „finančného riaditeľa" podporená deepfake videom

V prípade, ktorý v roku 2024 potvrdila hongkonská polícia, dostal zamestnanec financií inžinierskej firmy Arup e-mail od „CFO" o dôvernej transakcii. Tušil phishing - kým ho videohovor s deepfake podobizňami CFO a viacerých kolegov nepresvedčil odoslať 200 miliónov hongkonských dolárov (asi 25,6 milióna USD) v 15 prevodoch. Všimnite si, čo zlyhalo: overoval si to, ale na kanáli, ktorý ovládali útočníci.

  • „Dôverná" transakcia rozbehnutá e-mailom
  • Overenie ponúknuté na kanáli, ktorý si nastavil žiadateľ
  • Viacero prevodov na úplne nové účty príjemcov

Čo AI sfalšovať nedokáže, je váš proces. Infraštruktúra odosielateľa, povaha žiadosti aj umelo vytvorený tlak ostávajú vo všetkých príkladoch vyššie nemenné - preto učte ľudí overovať žiadosti cez nezávislý, vopred dohodnutý kanál, namiesto posudzovania kvality jazyka.

Ktoré phishing email red flags sa opakujú v každom príklade?

Keď odlúpnete značku, vo všetkých dvanástich rekonštrukciách sa objavia tie isté varovné signály - phishing email red flags. Toto je kontrolný zoznam, ktorý sa oplatí vytlačiť:

  1. Skutočná doména odosielateľa nesedí so značkou - zobrazené mená sa dajú sfalšovať zadarmo.
  2. Urgentnosť alebo hrozba: účet zrušený, balík vrátený, prístup stratený „ešte dnes".
  3. Žiadosť o prihlasovacie údaje, dáta karty alebo kód MFA doručená cez odkaz.
  4. Skutočný cieľ odkazu (po nadídení kurzorom alebo dlhom podržaní) sa líši od viditeľného textu.
  5. Vyžaduje sa malá platba na „uvoľnenie" niečoho, čo ste si nikdy neobjednali.
  6. Všeobecné oslovenie a chýbajúce konkrétnosti: žiadne meno, číslo objednávky ani referencia na účet.
  7. Tlak obísť bežný proces alebo udržať žiadosť v tajnosti.
  8. Nečakané typy príloh (.htm, .html, .zip, .iso) alebo QR kódy nahrádzajúce odkazy.
  9. Adresa pre odpoveď (reply-to) sa líši od viditeľného odosielateľa.
  10. Bezchybný jazyk nedokazuje nič - overte žiadosť, nie gramatiku.

Ako využiť tieto phishingový email príklady na školenie

Čítanie príkladov buduje rozpoznanie; testovanie buduje reflexy. Vyberte tri alebo štyri kategórie najrelevantnejšie pre vašu organizáciu - návnady s balíkmi pre všetkých, BEC pre financie, návnady helpdesku pre celú kanceláriu - a premeňte ich na simulované kampane doručené do reálnych schránok. Náš návod na phishingovú simuláciu prevedie rozsahom, súhlasom, načasovaním a metrikami; sledujte mieru nahlásení, nielen mieru kliknutí. Pomôžu aj aktuálne phishingové štatistiky zo Slovenska na presvedčenie vedenia.

Pravidelné školenia a testovanie zamestnancov sú na Slovensku zároveň zákonnou požiadavkou. Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti v znení novely č. 366/2024 Z. z. (transpozícia NIS2, účinná od 1. 1. 2025) a vyhláška NBÚ č. 227/2025 Z. z. ukladajú povinnosť mať „plán rozvoja bezpečnostného povedomia" - vstupné školenie pred prístupom do systémov, pravidelné opakovania a vyhodnocovanie účinnosti s doloženou dokumentáciou (prezenčné listiny, výsledky testov). Prechodný režim pre pôvodné subjekty končí 31. 12. 2026, takže od 1. 1. 2027 platí plný súlad s vyhláškou 227/2025. Audit kybernetickej bezpečnosti podľa §29 prebieha každé dva roky a NBÚ môže ukladať pokuty až do 300 000 €. Viac k téme nájdete v článku o NIS2 školení zamestnancov.

Ak nechcete budovať šablóny sami, PhishGun - postavený ofenzívnym bezpečnostným tímom Haxoris - prináša lokalizované šablóny v slovenčine, češtine aj angličtine podľa tých istých zdokumentovaných kategórií návnad, doručí mikroškolenie v okamihu kliknutia a vytvorí reporty pripravené na audit ako dôkaz o školení bezpečnostného povedomia pre NIS2, ISO 27001 aj DORA. Vaša prvá phishingová kampaň je zdarma, bez platobnej karty, a cenník je transparentný za zamestnanca.

Časté otázky

Aké sú najčastejšie príklady phishingových emailov?

Najrozšírenejšie sú návnady na poplatok za doručenie balíka, ktoré sa vydávajú za kuriérov ako DPD či Packeta a za Slovenskú poštu, ďalej „overenie účtu" predstierajúce banku, návnady na heslo alebo zdieľaný dokument v Microsoft 365 a Google a interne vyzerajúce žiadosti od falošného konateľa, HR alebo IT helpdesku. Všetky sledujú rovnakú logiku: dôveryhodný odosielateľ, vierohodná zámienka a žiadosť o prihlasovacie údaje, dáta karty alebo platbu.

Ako môže zamestnanec rýchlo rozpoznať phishingový email?

Skontrolujte tri veci: či skutočná doména odosielateľa sedí so značkou, kam odkaz naozaj vedie (nadíďte kurzorom, neklikajte) a o čo email žiada. Žiadosti o heslá, čísla kariet, kódy MFA alebo urgentné platby sú varovným signálom bez ohľadu na to, ako vyleštene správa pôsobí. Pri pochybnostiach overte cez oficiálnu aplikáciu alebo telefónne číslo, ktoré už máte. Pozor aj na QR kódy (quishing), pred ktorými v roku 2026 varovali MIRRI a polícia SR.

Sú phishingové emaily generované umelou inteligenciou ťažšie odhaliteľné?

Áno. ENISA Threat Landscape 2025 uvádza, že do začiatku roka 2025 tvoril phishing s pomocou AI vyše 80 % pozorovanej aktivity sociálneho inžinierstva. AI odstraňuje klasické indície - preklepy, kostrbaté formulácie, chybnú diakritiku - a pridáva hlasové aj video deepfake. Školenie sa preto má sústrediť na overovanie žiadostí cez druhý, nezávislý kanál, nie na hľadanie gramatických chýb.

Môžeme reálne phishingové emaily použiť na bezpečnostné školenie?

Áno, a mali by ste - ale použite rekonštrukcie alebo začiernené snímky obrazovky, nikdy nepreposielajte živú škodlivú poštu. Ešte lepšie je premeniť zdokumentované vzory návnad na simulované phishingové kampane, aby sa s nimi zamestnanci stretli vo svojej reálnej schránke. Ku každej simulácii pridajte krátku, okamžitú spätnú väzbu pre každého, kto klikne; práve v tej chvíli prebieha skutočné učenie. Doložená dokumentácia zároveň slúži ako dôkaz pre audit podľa vyhlášky 227/2025.

Čo má zamestnanec urobiť po kliknutí na phishingový odkaz?

Okamžite to nahlásiť IT oddeleniu alebo cez tlačidlo na nahlásenie phishingu - rýchlosť je dôležitejšia ako hľadanie viny. IT má resetovať heslo, ukončiť aktívne relácie, skontrolovať nové registrácie MFA či pravidlá preposielania pošty a prejsť prihlasovacie protokoly. Zamestnanec, ktorý nahlási kliknutie v priebehu minút, zvyčajne premení potenciálny incident na neudalosť.

Súvisiace články

Návody a postupy

Phishingová simulácia krok za krokom: od scenára po vyhodnotenie

Phishingová simulácia má jasný postup: definujte cieľ a právny základ, vyberte realistický scenár, nastavte allowlisting simulačných domén v Microsoft 365 alebo Google Workspace, spustite kampaň na reprezentatívnu skupinu a merajte mieru preklikov, mieru nahlásení a čas do nahlásenia. Tento návod prechádza jednotlivé kroky tak, ako ich realizuje tím ofenzívnej bezpečnosti pri platených zákazkách - vrátane chýb, ktoré pokazia väčšinu prvých kampaní.

10 min čítaniaČítať článok
Návody a postupy

Phishingový test zamestnancov: ako prebieha, čo stojí a ako vyzerá report

Phishingový test zamestnancov je kontrolované cvičenie: kolegom pošlete realistický, no neškodný falošný phishingový e-mail a meriate, kto klikol, kto zadal prihlasovacie údaje a kto správu nahlásil. Prvý vstupný test trvá od prípravy po výsledky približne dva týždne. Slovenské agentúry si za jednorazový test účtujú zhruba 199 až 1 000 €; samoobslužné platformy stoja niekoľko eur na zamestnanca mesačne.

10 min čítaniaČítať článok

Z Phishingovej encyklopédie

Pre zamestnancov

Ako rozpoznať phishing: varovné signály a znaky podvodu

Vedieť, ako rozpoznať phishing, patrí dnes medzi najužitočnejšie zručnosti v práci aj v súkromí. Podvodné emaily a SMS zostávajú najčastejšou bránou, cez ktorú sa útočníci dostanú do firmy. V tomto návode si ukážeme konkrétne varovné signály phishingu, naučíte sa bezpečne overiť odkaz aj odosielateľa a budete presne vedieť, čo robiť, keď vám niečo nesedí.

8 min čítaniaČítať článok
Cielené útoky

Spear phishing a BEC podvod (kompromitácia firemného emailu)

Spear phishing je cielený a dôkladne pripravený útok mierený na konkrétneho človeka alebo pozíciu a práve on poháňa BEC podvod, teda kompromitáciu firemného emailu, ktorá patrí k finančne najničivejším formám kybernetickej kriminality. V tomto návode si vysvetlíme, ako si útočníci zisťujú informácie o obetiach, čo presne znamená CEO fraud podvod a podvod s falošnou faktúrou, prečo tieto správy emailové filtre tak často prepustia a ktoré vrstvy obrany naozaj fungujú, keď sa chcete brániť BEC útoku.

8 min čítaniaČítať článok

Ďalší krok

Chcete merať svoj program phishingových simulácií a školení?

Dohodnite si demo a pozrite sa, ako PhishGun podporí simulácie, školenia, reportovanie aj podklady pre audit.

Požiadať o prístupEmail info@phishgun.com