Základy

Čo je phishing? Definícia, príklady a ako tieto útoky fungujú

Phishing je podvod založený na sociálnom inžinierstve – útočník sa vydáva za dôveryhodnú osobu, firmu alebo úrad a snaží sa z vás vylákať prihlasovacie údaje, schválenie platby alebo inštaláciu škodlivého softvéru. Z európskych prehľadov o kybernetických incidentoch pritom dlhodobo vyplýva, že práve phishing býva najčastejšou bránou, cez ktorú sa útočníci dostanú do organizácie. V tomto sprievodcovi vám zrozumiteľne vysvetlíme, čo je phishing, ako prebieha phishingový útok, aké kanály a návnady využíva a čo robiť, aby ste mu nenaleteli.

7 min čítaniaAktualizované 2026-06-07

Definícia phishingu: čo tento pojem znamená

Začnime jednoduchou definíciou. Phishing je podvodný pokus získať citlivé údaje alebo prinútiť obeť k škodlivému kroku tým, že sa správa tvári, akoby pochádzala od niekoho, komu dôverujeme. Význam slova vychádza z angličtiny a z metafory rybačky – útočník nahodí návnadu a čaká, kým mu niekto zaberie. Podstatné je, že phishing nezneužíva chybu v softvéri, ale ľudskú dôveru, zaužívané návyky a tlak, ktorý na nás dolieha počas hektického pracovného dňa.

Phishingový útok môže prísť e-mailom, cez SMS, ako telefonát, vo forme QR kódu aj cez chatovú správu. Návnadou býva odkaz na falošnú prihlasovaciu stránku, nebezpečná príloha alebo jednoducho presvedčivá výzva, aby ste poslali peniaze či poskytli údaje. Práve preto, že phishing mieri na človeka, a nie na firewall, prejde aj cez mnohé technické ochrany a zostáva účinný i proti dobre zabezpečeným a moderným systémom.

Ako funguje phishing krok za krokom

Väčšina phishingových útokov prebieha podľa pomerne predvídateľného scenára. Keď poznáte jeho jednotlivé fázy, oveľa ľahšie odhalíte, v ktorom momente sa dá reálny útok zastaviť – často ešte dávno predtým, než stihne napáchať škodu.

  1. Prieskum: útočník si z verejných zdrojov – z firemného webu, sociálnych sietí či uniknutých databáz – pozbiera mená, pracovné pozície, podobu firemných e-mailových adries aj informácie o tom, kto s kým spolupracuje.
  2. Návnada: pripraví správu, ktorá má vyvolať naliehavosť, strach alebo zvedavosť, napríklad „váš účet bol zablokovaný“, „faktúra po splatnosti“ alebo „máte nový hlasový odkaz“.
  3. Doručenie: správu buď rozošle hromadne, alebo ju ušije na mieru jednej konkrétnej osobe, pričom často sfalšuje odosielateľa alebo použije zameniteľne podobnú doménu.
  4. Háčik: odkaz, príloha, QR kód alebo odpoveď zavedie obeť na podvrhnutú stránku, prípadne ju vtiahne do konverzácie s útočníkom.
  5. Zber údajov: útočník získa prihlasovacie meno a heslo, údaje z platobnej karty alebo potvrdenie, akým je napríklad výzva viacfaktorového overenia (MFA).
  6. Zneužitie: získaný prístup použije na podvod, na hlbší prienik do siete alebo na nasadenie ransomvéru.

Dnešné nástroje to útočníkom uľahčujú ako nikdy predtým. Existujú celé platformy „phishing ako služba“, ktoré predávajú hotové falošné prihlasovacie stránky, a sofistikovanejšie nástroje typu adversary-in-the-middle dokážu komunikáciu preposielať v reálnom čase a ukradnúť aktívnu reláciu – a tým obísť aj mnohé formy MFA. Útočník už nemusí byť technickým expertom, čo je jeden z dôvodov, prečo objem phishingu zostáva trvalo vysoký.

Bezplatná phishingová kampaň

Otestujte zamestnancov jednou bezplatnou phishingovou kampaňou a pozrite si výsledky na vlastné oči.

Spustite cielený pilot, zmerajte kliknutia a nahlásenia a pred nasadením si prejdite výsledky školenia.

Bez platobnej karty.

Požiadať o prístup

Akými kanálmi a návnadami phishing prichádza

Phishing nie je jeden konkrétny kanál, ale taktika. Ten istý podvod vám doručia cez médium, ktoré vás v danej chvíli osloví najpresvedčivejšie.

Kade sa phishing šíri

  • E-mailový phishing: klasická a stále najrozšírenejšia forma – od hromadných kampaní až po cielený spear phishing namierený na konkrétnu osobu.
  • Smishing: phishing cez SMS, ktorý sa najčastejšie vydáva za kuriérov, banky alebo štátne služby.
  • Vishing: hlasový phishing po telefóne, ktorý čoraz častejšie zneužíva klonovanie hlasu pomocou umelej inteligencie.
  • Quishing: podvod, ktorý ukrýva škodlivý odkaz do QR kódu, aby obišiel filtre kontrolujúce odkazy v e-mailoch.
  • Chatovacie a tímové nástroje: správy doručené cez platformy, ktorým zamestnanci v rámci firmy bežne dôverujú.

Najčastejšie témy návnad na Slovensku a v EÚ

  • Vylákanie prístupu do Microsoft 365, napríklad výzvy typu „zobrazte si zabezpečený dokument“ alebo falošné žiadosti o reset hesla a potvrdenie MFA.
  • Vydávanie sa za banky a platobné služby – od slovenských bánk ako SLSP, Tatra banka či VÚB až po značky ako PayPal alebo Klarna.
  • Smishing o nedoručenej zásielke, ktorý napodobňuje kuriérov a Slovenskú poštu a vrcholí najmä v predvianočnom období.
  • Návnady okolo faktúr, zmlúv a objednávok, ktoré sa hojne zneužívajú pri kompromitácii firemných e-mailov a krádeži prihlasovacích údajov.

Tieto kategórie sa navzájom prelínajú a neustále menia. Práve preto sa po zvládnutí základov oplatí pozrieť bližšie na jednotlivé druhy phishingu a ich špecifiká.

Príklady phishingu zo slovenskej praxe

Predstavte si zamestnankyňu slovenskej firmy, ktorej príde SMS: zásielku vraj nebolo možné doručiť a za jej opätovné doručenie treba doplatiť pár eur. Odkaz ju zavedie na stránku, ktorá vyzerá ako web Slovenskej pošty či známeho kuriéra, a vypýta si od nej údaje z platobnej karty. Tento typ smishingu o doručení zásielky patrí u nás k najčastejším – a v predvianočnej nákupnej špičke ho pribúda obzvlášť veľa.

Druhý príklad vyjde firmu podstatne drahšie a mieri rovno na účtovné oddelenie. Účtovníčke príde e-mail, ktorý sa tvári, že je od dodávateľa: odvoláva sa na reálnu, ešte neuhradenú faktúru, no uvádza zmenené bankové údaje. Tón je profesionálny a načasovanie sedí na očakávanú platbu. Ak si zmenu čísla účtu nikto neoverí cez známe telefónne číslo, ďalší prevod skončí priamo na účte útočníka. Tomuto scenáru sa hovorí kompromitácia firemných e-mailov (BEC) a stojí za niektorými z najväčších finančných škôd, ktoré phishing spôsobuje.

Prečo je phishing nebezpečný pre organizácie

Phishing je nebezpečný predovšetkým preto, že málokedy je koncom príbehu – zvyčajne je jeho začiatkom. V európskych prehľadoch o riešení incidentov vystupuje ako vôbec najčastejší vstupný vektor, ešte pred zneužívaním softvérových zraniteľností. Keď sa útočník raz dostane dnu, phishing sa mení na odrazový mostík k tým najhorším následkom: je hlavnou cestou, ktorou sa do firiem dostáva ransomvér – stále najškodlivejšia kategória kybernetickej kriminality v Európe – a stojí aj za podvodmi typu BEC.

Legislatíva zvyšuje tlak na vzdelávanie

Európske predpisy dnes berú osvetu zamestnancov ako základnú povinnosť. Smernica NIS2 vyžaduje dodržiavanie základnej kybernetickej hygieny a školenia zamestnancov a za dohľad nad týmito opatreniami robí priamo zodpovedným manažment. Nariadenie DORA ukladá finančným inštitúciám povinnosť realizovať programy zvyšovania povedomia o bezpečnosti IKT vrátane vrcholového vedenia. A podľa GDPR môže únik osobných údajov spôsobený phishingom znamenať povinnosť nahlásiť incident dozornému orgánu do 72 hodín od jeho zistenia. Pre firmy, ktoré týmto pravidlám podliehajú, už pravidelné a merateľné vzdelávanie nie je nadštandard, ale očakávaná samozrejmosť.

Ako sa pred phishingom chrániť

Dobrá správa je, že phishingu sa dá brániť veľmi účinne – a zamestnanci sú v tom skôr riešením než problémom. Najlepšie funguje vrstvená obrana, ktorá spája technické opatrenia s ľuďmi, čo vedia, ako zareagovať.

  • Pri naliehavosti spozornite: každú správu, ktorá si pýta okamžitú reakciu, platbu alebo prihlásenie, berte ako signál, že si ju treba najprv overiť.
  • Pred kliknutím skontrolujte odosielateľa aj to, kam odkaz naozaj smeruje, a dávajte si pozor na zameniteľne podobné domény.
  • Žiadosti o peniaze či údaje si overujte cez známy a nezávislý kanál – nikdy nie cez kontakty uvedené v samotnej podozrivej správe.
  • Tam, kde sa dá, používajte prihlasovanie odolné voči phishingu, ako sú prístupové kľúče (passkeys) alebo bezpečnostné kľúče FIDO2.
  • Čokoľvek podozrivé hláste čo najrýchlejšie – rýchle nahlásenie umožní bezpečnostnému tímu zastaviť incident skôr, než sa rozšíri.

Ak chcete ísť ďalej, naučte sa rozpoznávať varovné signály v našom sprievodcovi o tom, ako odhaliť phishing, a potom zaveďte trvalé opatrenia podľa sprievodcu o prevencii phishingu. Rozpoznanie a prevencia spolu premenia zamestnancov na spoľahlivú poslednú líniu obrany.

Časté otázky

Čo je to phishing a ako funguje?

Phishing je podvod, pri ktorom sa útočník vydáva za dôveryhodnú osobu alebo firmu, aby z vás vylákal údaje, peniaze alebo prístup. Najčastejšie príde ako e-mail, SMS alebo telefonát s naliehavou žiadosťou a snaží sa vás presvedčiť, aby ste klikli na odkaz alebo prezradili heslo. Mieri na ľudskú dôveru, nie na technickú slabinu systému.

Ako vyzerá phishingový email?

Typický phishingový email napodobňuje známu značku alebo úrad, tlačí vás konať okamžite a obsahuje odkaz na falošnú prihlasovaciu stránku alebo nebezpečnú prílohu. Často v ňom nájdete drobné nezrovnalosti – zvláštnu adresu odosielateľa, zameniteľnú doménu, jazykové chyby či neosobné oslovenie.

Aký je rozdiel medzi phishingom a spamom?

Spam je nevyžiadaná hromadná pošta, zvyčajne reklama, ktorá vás predovšetkým obťažuje. Phishing je cielený podvod, ktorého úlohou je ukradnúť vám údaje alebo peniaze. Inak povedané, spam je otravný, no phishing je útok, ktorý môže viesť k finančnej škode alebo úniku údajov.

Prečo je phishing nebezpečný?

Phishing býva len prvým krokom väčšieho útoku – cez ukradnuté heslo sa útočník dostane do firmy a môže nasadiť ransomvér či spáchať finančný podvod. Keďže obchádza technické ochrany a mieri priamo na človeka, zasiahne aj dobre zabezpečené organizácie. Pri úniku osobných údajov navyše hrozí oznamovacia povinnosť podľa GDPR a sankcie.

Ako útočníci získavajú údaje cez phishing?

Útočník vás presmeruje na falošnú stránku, ktorá vyzerá ako prihlasovacie okno banky či Microsoft 365, a vaše údaje zachytí hneď, ako ich zadáte. Niektoré pokročilé nástroje dokážu v reálnom čase ukradnúť aj prihlásenie chránené viacfaktorovým overením. Údaje sa dajú vylákať aj priamo počas telefonátu alebo škodlivou prílohou.

Súvisiace články

Druhy útokov

Typy phishingu: prehľadná klasifikácia útokov

Kto pozná typy phishingu, vie sa proti nim aj lepšie brániť. Od hromadných e-mailov cez smishing a vishing až po quishing s QR kódmi - v tomto sprievodcovi nájdete jednotlivé druhy phishingu, ich fungovanie, návnady obľúbené u útočníkov na Slovensku aj v EÚ a najmä znak, ktorý každý z nich prezradí.

9 min čítaniaČítať článok
Pre zamestnancov

Ako rozpoznať phishing: varovné signály a znaky podvodu

Vedieť, ako rozpoznať phishing, patrí dnes medzi najužitočnejšie zručnosti v práci aj v súkromí. Podvodné emaily a SMS zostávajú najčastejšou bránou, cez ktorú sa útočníci dostanú do firmy. V tomto návode si ukážeme konkrétne varovné signály phishingu, naučíte sa bezpečne overiť odkaz aj odosielateľa a budete presne vedieť, čo robiť, keď vám niečo nesedí.

8 min čítaniaČítať článok
Pre organizácie

Ochrana pred phishingom vo firme: viacvrstvová obrana, ktorá funguje

Phishing nezastaví jediné opatrenie a v Európe naďalej stojí na začiatku väčšiny úspešných útokov. Spoľahlivá ochrana pred phishingom vo firme preto kombinuje viacero vrstiev: technické filtrovanie pošty, posilnenie identít, pravidelné školenia zamestnancov o kybernetickej bezpečnosti a rýchle nahlasovanie podozrivých e-mailov. Tento návod ukazuje IT manažérom aj bezpečnostným tímom, ako poskladať obranu, ktorá je praktická a zároveň merateľná a pokryje aj povinnosti podľa NIS2 a DORA.

8 min čítaniaČítať článok

Ďalší krok

Chcete merať svoj program phishingových simulácií a školení?

Dohodnite si demo a pozrite sa, ako PhishGun podporí simulácie, školenia, reportovanie aj podklady pre audit.

Požiadať o prístupEmail info@phishgun.com