Pre zamestnancov

Ako rozpoznať phishing: varovné signály a znaky podvodu

Vedieť, ako rozpoznať phishing, patrí dnes medzi najužitočnejšie zručnosti v práci aj v súkromí. Podvodné emaily a SMS zostávajú najčastejšou bránou, cez ktorú sa útočníci dostanú do firmy. V tomto návode si ukážeme konkrétne varovné signály phishingu, naučíte sa bezpečne overiť odkaz aj odosielateľa a budete presne vedieť, čo robiť, keď vám niečo nesedí.

8 min čítaniaAktualizované 2026-06-07

Prečo je phishing taký ťažko odhaliteľný

Dnešný phishing je presvedčivý zámerne. Útočníci kopírujú pravé logá, presné firemné formulácie aj reálne mená odosielateľov a pri písaní si čoraz častejšie pomáhajú umelou inteligenciou, takže správy chodia v bezchybnej slovenčine. Podľa európskych prehľadov o riešení incidentov je práve phishing najčastejším spôsobom, ako si útočník otvorí prvé dvere do organizácie. Inými slovami, na rozbehnutie celého incidentu môže stačiť jediný uveriteľný email.

Veľkú úlohu zohráva aj načasovanie. Keď vám správa príde vo chvíli, keď ste v zhone, niečo riešite alebo práve čakáte na balík, faktúru či obnovenie hesla do Microsoft 365, pravdepodobnosť, že na ňu naletíte, prudko stúpa. Útočníkovi stačí, aby ste pár sekúnd konali zo zvyku, takpovediac na autopilota.

Ak vám pomôže najprv širší obraz, oplatí sa pochopiť, čo je phishing a aké má podoby, od klasického emailu cez podvodné SMS (smishing) a telefonáty (vishing) až po útoky cez QR kódy. Keď viete, akú tvár tieto útoky najčastejšie nasadia, ich rozpoznávanie ide samo.

Varovné signály phishingu: rýchly kontrolný zoznam

Žiadny jediný znak ešte neznamená podvod, no keď sa ich zíde viac naraz, je to jasný pokyn zastaviť sa a overiť. Každú nečakanú správu, email aj SMS, si v hlave preverte podľa tohto zoznamu.

  • Príde nečakane a bez súvislostí: správa, ktorú ste nevyžiadali, o účte, zásielke alebo faktúre, ktorú vôbec nepoznáte.
  • Naliehavosť a tlak: „konajte ihneď“, „účet bude zablokovaný“, „posledná výzva“ alebo strašenie poplatkami či súdnym vymáhaním.
  • Hra na emócie: strach, zvedavosť, vidina výhry alebo autorita (požiadavka, ktorá akoby prišla od šéfa alebo vedenia).
  • Neosobné oslovenie: „Vážený zákazník“ namiesto vášho mena, hoci skutočná firma by vás oslovila menom.
  • Podozrivá adresa odosielateľa: dôveryhodné meno na obrazovke spojené s čudnou alebo iba na pohľad podobnou doménou.
  • Odkazy, ktoré nesedia: text odkazu sľubuje jedno, no v skutočnosti vedie inam.
  • Nečakané prílohy: faktúry, potvrdenky či „zabezpečené dokumenty“, najmä súbory ZIP, HTML alebo dokumenty, ktoré od vás chcú „povoliť obsah“.
  • Žiadosti o prihlasovacie údaje alebo kódy: akákoľvek stránka či osoba, ktorá si pýta heslo, kód z MFA alebo platobné údaje.
  • Jazykové a grafické nedostatky: kostrbaté vety, prehodené diakritické znamienka, nesprávne logo alebo mierne rozhádzané rozloženie.

Bezplatná phishingová kampaň

Otestujte zamestnancov jednou bezplatnou phishingovou kampaňou a pozrite si výsledky na vlastné oči.

Spustite cielený pilot, zmerajte kliknutia a nahlásenia a pred nasadením si prejdite výsledky školenia.

Bez platobnej karty.

Požiadať o prístup

Ako overiť odosielateľa a doménu

Útočníci stavajú na tom, že väčšina ľudí prečíta len meno odosielateľa zobrazené tučným písmom. Lenže toto meno si môže ktokoľvek nastaviť na čokoľvek. Rozhodujúca je až samotná emailová adresa, a najmä doména za zavináčom.

Dajte si pozor na domény, ktoré vyzerajú „skoro správne“

Obľúbený trik je doména, ktorá pôsobí takmer dôveryhodne. Útočník v nej vymení či pridá jedno písmeno, použije inú koncovku alebo skutočnú značku skryje do dlhšej adresy. Email, ktorý sa tvári, že je od vašej banky (napríklad SLSP, Tatra banky či VÚB) alebo od Slovenskej pošty, tak môže prísť z domény, ktorá je tej pravej na nerozoznanie podobná, no predsa len iná. Porovnajte ju písmeno po písmene s adresou, ktorej už dôverujete.

  • Rozkliknite si odosielateľa, aby ste videli celú adresu, nielen meno zobrazené v zozname správ.
  • Pozorne si prečítajte doménu hneď za zavináčom a porovnajte ju znak po znaku s pravou.
  • Buďte ostražití pri subdoménach, ktoré pravú značku len predstierajú, teda keď je dôveryhodné meno nalepené pred úplne cudzou doménou.
  • Majte na pamäti, že aj poctivo vyzerajúca adresa môže byť sfalšovaná alebo odoslaná z napadnutého účtu, takže samotný odosielateľ nikdy nie je stopercentný dôkaz.

Ako bezpečne overiť odkaz v emaile aj v SMS

Ide o jediné: zistiť, kam odkaz naozaj vedie, a pritom ho neotvoriť. Najlepší návyk je veľmi jednoduchý. Najprv neklikajte, najprv sa pozrite.

  1. Na počítači prejdite myšou nad odkaz (neklikajte) a prečítajte si skutočnú adresu, ktorá sa ukáže dole v okne prehliadača alebo v bublinke.
  2. Na telefóne odkaz pridržte prstom, kým sa neukáže náhľad cieľa, namiesto toho, aby ste naň hneď ťukli.
  3. Doménu z tejto adresy porovnajte s oficiálnou, ktorú poznáte. Ak sa nezhodujú, ďalej nechoďte.
  4. Mimoriadne pozor dávajte na skrátené alebo čudné odkazy, ktoré pravý cieľ schovávajú, a na odkazy, ktoré vás zrazu privedú na prihlasovaciu stránku, hoci ste o ňu nežiadali.
  5. Keď máte čo i len tieň pochybnosti, odkaz vôbec nepoužite. Otvorte si novú kartu, oficiálnu adresu napíšte ručne, alebo použite svoju uloženú záložku.

Heslo ani kód z MFA nikdy nezadávajte na stránke, na ktorú ste sa dostali cez odkaz v správe. Seriózna služba od vás takouto cestou potvrdenie údajov nikdy nevyžaduje a zadanie hesla na podvrhnutej stránke je presne to, na čo útočník čaká.

Pozor na nezvyčajné žiadosti o peniaze a údaje

Tie najdrahšie útoky často neobsahujú žiadny škodlivý kód ani nápadný odkaz. Jednoducho vás o niečo poprosia. Práve na tom stojí podvod typu BEC (kompromitácia firemného emailu), keď sa útočník vydáva za riaditeľa, kolegu alebo dodávateľa, aby z vás vymámil platbu či citlivé údaje.

  • Náhla výzva uhradiť faktúru alebo „aktualizovať“ číslo bankového účtu dodávateľa.
  • „Rýchla láskavosť“ od nadriadeného, ktorý je práve veľmi príhodne nedostupný na telefóne.
  • Tlak, aby ste transakciu nechali v tajnosti alebo obišli bežný proces schvaľovania.
  • Žiadosť o nákup darčekových kariet, urgentný presun peňazí alebo poslanie údajov o zamestnancoch či mzdách.
  • Ktokoľvek, zvnútra aj zvonka, kto si pýta vaše heslo, schválenie MFA alebo jednorazový kód.

Žiadne seriózne IT oddelenie, banka ani poskytovateľ služby vás nikdy nepožiada, aby ste prezradili heslo alebo schválili prihlásenie cez MFA, ktoré ste sami nespustili. Ak vám dorazí nečakaná výzva na potvrdenie MFA, zamietnite ju a nahláste. Môže to totiž znamenať, že vaše heslo už niekto má.

Čo robiť pri podozrení na phishing

Keď správa spustí čo i len jeden z týchto signálov, nemusíte mať istotu, že ide o podvod. Správny postup je v oboch prípadoch rovnaký: nereagujte, nahláste a rozhodnutie nechajte na bezpečnostný tím.

  1. Neklikajte na odkazy, neotvárajte prílohy, neskenujte QR kódy a neodpovedajte.
  2. Nikam, kam vás správa nasmerovala, nezadávajte prihlasovacie údaje, kódy ani platobné informácie.
  3. Nahláste správu cez tlačidlo na nahlasovanie vo vašej firme alebo ju prepošlite IT či bezpečnostnému tímu, ideálne ešte predtým, než ju vymažete.
  4. Ak ste už klikli alebo zadali údaje, okamžite to nahláste a zmeňte dotknuté heslo, potom s IT dokončite, čo treba. Rýchlosť tu rozhoduje o výške škody a rozhodne nie je dôvodom na hanbu.
  5. Po nahlásení správu zmažte, aby ste s ňou neskôr omylom predsa len nepracovali.

Rozpoznávanie phishingu je zručnosť, ktorá rastie s praxou. Firmy si budujú merateľnú odolnosť tak, že toto povedomie spoja s pravidelnými, realistickými phishingovými simuláciami a krátkym školením priamo v okamihu pochybenia, čo je prístup, na ktorom stoja platformy ako PhishGun, aby sa správna reakcia stala reflexom. Ak chcete ísť ešte ďalej, pozrite si, ako sa pred phishingom chrániť a aké vrstvené opatrenia stoja za ostražitými zamestnancami.

Časté otázky

Ako rozpoznať phishingový email?

Sledujte kombináciu signálov: email príde nečakane, tlačí vás konať rýchlo, oslovuje vás neosobne ako „vážený zákazník“, adresa odosielateľa či odkaz celkom nesedia s pravými, pýta si heslo alebo platbu a obsahuje drobné jazykové či grafické chyby. Jeden znak nič nedokazuje, no viacero naraz znamená zastaviť sa a overiť.

Ako spoznať podozrivú SMS od banky alebo kuriéra?

Pravá banka ani kuriér (napríklad Slovenská pošta, DPD či GLS) vám v SMS nepošlú odkaz na prihlásenie ani žiadosť o úhradu drobného poplatku za „doručenie“. Falošná smska od kuriéra vás typicky tlačí konať ihneď a skrýva podozrivý odkaz. Ak balík nečakáte, ide takmer isto o podvod. Stav zásielky aj účtu si overte len cez oficiálnu aplikáciu alebo web, ktorý si otvoríte sami.

Aké sú varovné signály podvodnej správy?

Najčastejšie varovné signály sú naliehavosť a vyhrážky, neosobné oslovenie, odosielateľ či odkaz, ktoré nesedia s pravými, žiadosť o heslo, kód z MFA alebo platbu a nečakané prílohy. K tomu sa pridávajú kostrbaté formulácie a nesprávne logo. Keď sa ich zíde viac naraz, správe nedôverujte.

Čo mám robiť, keď dostanem podozrivý email alebo SMS?

Neklikajte na odkazy, neotvárajte prílohy, neodpovedajte a nikam nezadávajte žiadne údaje. Správu nahláste cez tlačidlo na nahlasovanie alebo na IT a potom ju vymažte. Ak ste už klikli alebo zadali údaje, okamžite to nahláste a zmeňte dotknuté heslo, lebo rýchly zásah obmedzí škody.

Klikol som na podvodný odkaz, čo teraz?

Nepanikárte, ale konajte hneď. Ak ste niekam zadali heslo, čo najrýchlejšie ho zmeňte a tam, kde sa dá, zapnite dvojfaktorové overenie. Udalosť bezodkladne nahláste IT alebo bezpečnostnému tímu a pri firemnom konte sa riaďte ich pokynmi. Pri zadaných platobných údajoch kontaktujte banku. Rýchlosť tu znižuje výšku škody.

Súvisiace články

Základy

Čo je phishing? Definícia, príklady a ako tieto útoky fungujú

Phishing je podvod založený na sociálnom inžinierstve – útočník sa vydáva za dôveryhodnú osobu, firmu alebo úrad a snaží sa z vás vylákať prihlasovacie údaje, schválenie platby alebo inštaláciu škodlivého softvéru. Z európskych prehľadov o kybernetických incidentoch pritom dlhodobo vyplýva, že práve phishing býva najčastejšou bránou, cez ktorú sa útočníci dostanú do organizácie. V tomto sprievodcovi vám zrozumiteľne vysvetlíme, čo je phishing, ako prebieha phishingový útok, aké kanály a návnady využíva a čo robiť, aby ste mu nenaleteli.

7 min čítaniaČítať článok
Druhy útokov

Typy phishingu: prehľadná klasifikácia útokov

Kto pozná typy phishingu, vie sa proti nim aj lepšie brániť. Od hromadných e-mailov cez smishing a vishing až po quishing s QR kódmi - v tomto sprievodcovi nájdete jednotlivé druhy phishingu, ich fungovanie, návnady obľúbené u útočníkov na Slovensku aj v EÚ a najmä znak, ktorý každý z nich prezradí.

9 min čítaniaČítať článok
Pre organizácie

Ochrana pred phishingom vo firme: viacvrstvová obrana, ktorá funguje

Phishing nezastaví jediné opatrenie a v Európe naďalej stojí na začiatku väčšiny úspešných útokov. Spoľahlivá ochrana pred phishingom vo firme preto kombinuje viacero vrstiev: technické filtrovanie pošty, posilnenie identít, pravidelné školenia zamestnancov o kybernetickej bezpečnosti a rýchle nahlasovanie podozrivých e-mailov. Tento návod ukazuje IT manažérom aj bezpečnostným tímom, ako poskladať obranu, ktorá je praktická a zároveň merateľná a pokryje aj povinnosti podľa NIS2 a DORA.

8 min čítaniaČítať článok

Ďalší krok

Chcete merať svoj program phishingových simulácií a školení?

Dohodnite si demo a pozrite sa, ako PhishGun podporí simulácie, školenia, reportovanie aj podklady pre audit.

Požiadať o prístupEmail info@phishgun.com