Druhy útokov

Typy phishingu: prehľadná klasifikácia útokov

Kto pozná typy phishingu, vie sa proti nim aj lepšie brániť. Od hromadných e-mailov cez smishing a vishing až po quishing s QR kódmi - v tomto sprievodcovi nájdete jednotlivé druhy phishingu, ich fungovanie, návnady obľúbené u útočníkov na Slovensku aj v EÚ a najmä znak, ktorý každý z nich prezradí.

9 min čítaniaAktualizované 2026-06-07

Prehľad hlavných typov phishingu

Phishing je podľa správ agentúry ENISA o stave kybernetických hrozieb najčastejším spôsobom, akým sa útočníci prvýkrát dostanú do firemných systémov v EÚ. Slovo „phishing“ však neoznačuje jediný útok. Ide o celú skupinu techník sociálneho inžinierstva, ktoré spája rovnaký cieľ - naviesť človeka, aby urobil niečo škodlivé -, líšia sa však kanálom, mierou zacielenia aj tým, čo presne sa snažia získať. Útočník si vždy zvolí variant, ktorý sa mu práve hodí: raz je to hromadný lov prihlasovacích údajov do Microsoft 365, inokedy snaha presvedčiť jediného účtovníka, aby na faktúre zmenil číslo účtu.

Jednotlivé typy phishingu sa najjednoduchšie triedia podľa dvoch hľadísk: cez aký kanál útok prichádza (e-mail, SMS, telefón, QR kód) a ako presne je namierený (či ide o plošnú dávku, alebo o správu šitú na mieru). V tomto poradí prejdeme všetky podstatné druhy. Ak vás zaujíma, na čom celý phishing stojí a čo majú jeho varianty spoločné, prečítajte si súvisiaci článok o tom, čo je phishing.

  • E-mailový phishing - hromadné, všeobecné návnady rozoslané veľkému počtu adresátov.
  • Spear phishing - preskúmaná, personalizovaná správa cielená na konkrétnu osobu či pracovnú pozíciu.
  • Whaling a BEC - podvod, ktorý sa vydáva za vedenie firmy alebo dôveryhodného partnera, prípadne zneužíva ich prelomený účet.
  • Smishing - phishing doručený cez SMS alebo četovacie aplikácie.
  • Vishing - hlasový phishing po telefóne, čoraz častejšie podporený klonovaním hlasu pomocou AI.
  • Quishing - phishing, ktorý škodlivý odkaz schová do QR kódu.
  • Clone phishing a ďalšie varianty - verné kópie skutočných e-mailov, k tomu angler phishing, pharming a consent phishing.

E-mailový phishing

E-mailový phishing je klasika s najväčším objemom a dodnes hlavný motor počítačovej kriminality. Organizácia Anti-Phishing Working Group dlhodobo zaznamenáva státisíce útokov za štvrťrok a práve e-mail zostáva kanálom, kde sa väčšina kampaní začína. Dôvod je čisto ekonomický: hotové sady typu Phishing-as-a-Service umožnia útočníkovi rozoslať tú istú všeobecnú návnadu do tisícov schránok a zarobiť, aj keď naletí len nepatrné percento ľudí.

Typická návnada sa tvári ako značka, ktorú adresát s veľkou pravdepodobnosťou používa. Na slovenskom trhu to bývajú falošné upozornenia z Microsoft 365 v štýle „zobraziť dokument“ či „obnovte si heslo“, napodobeniny správ od bánk ako SLSP, Tatra banka alebo VÚB, prípadne oznam o nedoručenom balíku. Správa vytvorí pocit naliehavosti - účet bude zablokovaný, faktúra je po splatnosti - a odvedie obeť na podvodnú stránku, ktorá zbiera prihlasovacie údaje a beží na čerstvo zaregistrovanej alebo prelomenej doméne.

Bezplatná phishingová kampaň

Otestujte zamestnancov jednou bezplatnou phishingovou kampaňou a pozrite si výsledky na vlastné oči.

Spustite cielený pilot, zmerajte kliknutia a nahlásenia a pred nasadením si prejdite výsledky školenia.

Bez platobnej karty.

Požiadať o prístup

Spear phishing: cielený útok na konkrétnu osobu

Spear phishing celý princíp obracia. Namiesto jednej správy pre tisíce ľudí ide o jedinú, dôkladne pripravenú správu pre jedného človeka. Útočník si najprv pozbiera mená, pozície, nadriadených, projekty aj štýl písania z verejne dostupných zdrojov - z firemného webu, z LinkedInu či zo starších únikov dát - a až potom napíše návnadu, ktorá presne zapadá do sveta obete. Práve preto, že je osobná a opiera sa o reálny kontext, prejde spear phishing cez filtre aj cez náš vnútorný pocit oveľa častejšie ako bežná hromadná pošta.

Typicky to vyzerá ako správa od kolegu, ktorá sa odvoláva na skutočný projekt, alebo ako pozvánka k zdieľanému dokumentu prispôsobená vášmu reálnemu tímu. Varovný signál je tu jemnejší než pri hromadnom phishingu: nečakaná požiadavka, ktorá však dáva zmysel vzhľadom na vašu pozíciu, navyše často s dôvodom, prečo si ju práve teraz nemôžete overiť obvyklou cestou. Pri akejkoľvek pochybnosti si požiadavku overte iným kanálom - krátky telefonát údajnému odosielateľovi prekazí drvivú väčšinu pokusov o spear phishing. Cieleným útokom sa do hĺbky venuje súvisiaci článok o spear phishingu a BEC.

Whaling a kompromitácia firemnej pošty (BEC)

Whaling je spear phishing zacielený na tie najväčšie „ryby“ - na konateľov, členov predstavenstva a ďalších ľudí s vysokou právomocou, ktorých podpis dokáže pohnúť peniazmi alebo sprístupniť citlivé dáta. Úzko s ním súvisí podvod BEC (Business Email Compromise), ktorý túto právomoc priamo zneužíva: útočník sa vydáva za riaditeľa, dodávateľa alebo obchodného partnera - či už cez zameniteľnú doménu, alebo cez skutočne prelomenú schránku - a primeje zamestnanca, aby poslal platbu alebo vyzradil údaje.

BEC podvod patrí k finančne najbolestivejším kyberzločinom práve preto, že stavia na dôvere a firemných procesoch, nie na škodlivom kóde. Centrum FBI IC3 mu pripisuje miliardové straty ročne. Klasickou návnadou je naliehavá žiadosť o zmenu platobných údajov: „Zmenili sme bankové spojenie, pri dnešnej faktúre použite, prosím, tento účet.“ Príde tesne pred uzávierkou, aby na obeť doľahol tlak konať rýchlo a bez rozmýšľania.

Smishing (phishing cez SMS): čo to je

Smishing je phishing doručený cez SMS alebo četovacie aplikácie. Ťaží z toho, že textovkám podvedome dôverujeme a reagujeme na ne rýchlo: SMS čítame letmo, väčšinou na mobile, kde sa celá adresa odkazu kontroluje len ťažko a kde býva bezpečnostná ochrana slabšia ako pri firemnej pošte. Počet smishingových správ stúpa okolo sviatkov a v nákupných sezónach, keď oznam o doručení zásielky pôsobí úplne vierohodne.

Najcharakteristickejšou návnadou je u nás smishing okolo doručovania balíkov - SMS, ktorá sa vydáva za kuriéra alebo poštu (typicky falošná správa „Slovenskej pošty“ či DPD) a tvrdí, že zásielka čaká na drobný colný poplatok alebo na potvrdenie adresy. Bežný je aj bankový smishing, ktorý straší „zablokovanou kartou“ a vedie na podvodné prihlásenie. Spoľahlivým varovným znakom je výzva ťuknúť na skrátený odkaz a vyplniť osobné, platobné alebo prihlasovacie údaje - seriózni dopravcovia ani banky takéto údaje cez odkaz v SMS nikdy nepýtajú.

Vishing (hlasový phishing): význam a fungovanie

Vishing je hlasový phishing, ktorý prebieha cez telefonát. Útočník zavolá obeti a vydáva sa za niekoho dôveryhodného - za oddelenie banky pre podozrivé transakcie, za firemnú IT podporu alebo za dodávateľa - a tlakom a autoritou z človeka vypáči prihlasovacie údaje, jednorazové kódy alebo platbu. Vishing sa nezriedka spája s e-mailom či SMS do viackanálového „hybridného“ útoku, ktorý pôsobí ešte presvedčivejšie.

Hrozbu navyše vyostrilo klonovanie hlasu pomocou AI: na napodobenie známeho hlasu dnes stačí pár sekúnd nahrávky, takže aj falošný hovor od „riaditeľa“ znie úplne reálne. Volajúci vám typicky tvrdí, že na vašom účte zachytili podozrivú aktivitu, a žiada vás, aby ste sa „overili“ prečítaním kódu, ktorý vám práve prišiel SMS-kou - len je to v skutočnosti overovací kód MFA, ktorým sa útočník práve snaží prihlásiť. Varovným znakom je každý volajúci, ktorý na vás naliehavo žiada jednorazový kód, heslo alebo okamžitú platbu; seriózne inštitúcie tieto veci po telefóne nikdy nepýtajú.

Quishing (phishing cez QR kódy)

Quishing schová škodlivý odkaz do QR kódu. Keďže cieľová adresa je zakódovaná ako obrázok, nie ako klikateľný text, QR kód prekĺzne cez časť e-mailových filtrov, ktoré kontrolujú odkazy, a obeť ho navyše zvyčajne naskenuje súkromným mobilom mimo dosahu firemnej ochrany. Aj samotné namierenie fotoaparátu na kód pôsobí nevinne - a presne na túto pohodlnosť útočníci stavajú.

Typickou návnadou je e-mail alebo papierový oznam, ktorý vás žiada naskenovať kód, aby ste si zobrazili „zabezpečený dokument“, obnovili heslo do Microsoft 365 alebo dokončili platbu. Niekedy ide doslova o nálepku prelepenú cez pôvodný QR kód na verejnom mieste, napríklad na parkovacom automate. Varovným znakom pri tomto QR kód podvode je situácia, keď vás kód po naskenovaní zavedie na prihlasovaciu stránku; k cieľu QR kódu pristupujte rovnako obozretne ako k akémukoľvek odkazu a ešte pred otvorením si overte adresu, ktorú vám mobil ukáže v náhľade. Quishingu sa ďalej venuje súvisiaci článok o moderných technikách phishingu.

Clone phishing a ďalšie varianty

Okrem hlavných kanálov sa oplatí poznať aj niekoľko ďalších variantov, aby vás neprekvapili:

  • Clone phishing - útočník skopíruje skutočný e-mail, ktorý obeť už dostala, a pošle ho znova, no odkaz alebo prílohu v ňom vymení za škodlivú; rád to maskuje ako „opätovné odoslanie“ či „aktualizovanú verziu“.
  • Angler phishing - útočník sa na sociálnych sieťach vydáva za zákaznícku podporu značky, zachytáva ľudí, ktorí verejne píšu sťažnosti, a láka ich na falošnú stránku pomoci.
  • Pharming - presmerovanie obete zo správnej adresy na podvodný web cez manipuláciu s DNS alebo so súborom hosts, takže aj precízne napísaná URL skončí na falošnej stránke.
  • OAuth consent phishing - útočník primeje používateľa, aby škodlivej aplikácii udelil oprávnenia; tým získa prístup cez token a heslo nemusí ani ukradnúť.

Všetky tieto varianty stavajú na rovnakej psychológii ako základné typy phishingu - na dôvere, naliehavosti a autorite -, len zabalenej do iného doručovacieho triku.

Ako znalosť typov phishingu pomáha pri obrane

Pomenovať si typy phishingu nie je akademické cvičenie - práve to dáva tvar vrstvenej obrane. Hromadný e-mailový phishing tlmí kombinácia SPF, DKIM, DMARC a filtrovania; pri spear phishingu a BEC potrebujete overovacie postupy a spätné telefonáty pri každej zmene platby; smishing, vishing a quishing posúvajú hrozbu zo schránky na telefóny a QR kódy, takže osveta musí pokryť každý kanál. Autentifikácia odolná voči phishingu, napríklad passkeys (FIDO2), pritom naraz znefunkční krádež prihlasovacích údajov pri väčšine týchto typov.

Všetko ale drží pohromade ľudská vrstva. Smernica NIS2 aj nariadenie DORA dnes vyžadujú pravidelné školenia zamestnancov v kybernetickej bezpečnosti, a tak firmy musia vedieť preukázať, že ich ľudia tieto varianty naozaj rozpoznajú v praxi. Priebežné phishingové simulácie spojené s krátkym školením v správnej chvíli - napríklad na platforme PhishGun - budujú merateľnú odolnosť naprieč všetkými kanálmi a menia zamestnancov z najslabšieho článku na aktívnu líniu obrany.

Časté otázky

Aké sú typy phishingových útokov?

Medzi hlavné typy patria e-mailový phishing, spear phishing, whaling a BEC, smishing (cez SMS), vishing (telefonáty) a quishing (cez QR kódy), k tomu varianty ako clone phishing, pharming a OAuth consent phishing. Líšia sa doručovacím kanálom a tým, ako presne sú zacielené, no všetky stoja na oklamaní človeka, nie na zneužití chyby v softvéri.

Čo je smishing a vishing a aký je medzi nimi rozdiel?

Smishing je phishing cez SMS alebo četovacie aplikácie, kým vishing je hlasový phishing, ktorý prebieha cez telefonát. Význam oboch pojmov je rovnaký princíp na inom kanáli: presunom mimo e-mailu útočník obíde e-mailové filtre a zastihne vás na súkromnom mobile. Vishing dnes navyše často využíva klonovanie hlasu pomocou AI.

Aký je rozdiel medzi phishingom a spear phishingom?

Bežný phishing je hromadný - rovnaká návnada ide na tisíce ľudí a stačí, ak naletí zlomok z nich. Spear phishing je naopak jediná správa šitá na mieru konkrétnej osobe, postavená na informáciách z LinkedInu, firemného webu či starších únikov dát. Práve osobný kontext z neho robí oveľa nebezpečnejší a horšie odhaliteľný útok.

Čo je quishing a ako súvisí s QR kódmi?

Quishing je QR kód podvod, pri ktorom útočník schová škodlivý odkaz do QR kódu. Keďže adresa je zakódovaná ako obrázok, prekĺzne cez niektoré e-mailové filtre a obeť ju zvyčajne naskenuje súkromným mobilom. Pred otvorením si vždy skontrolujte adresu, ktorú vám telefón ukáže v náhľade.

Čo je whaling útok a koho sa týka?

Whaling je spear phishing zacielený na tie najväčšie „ryby“ - na konateľov, členov predstavenstva a ďalších ľudí s vysokou právomocou, ktorých podpis dokáže pohnúť peniazmi alebo sprístupniť citlivé dáta. Týka sa teda predovšetkým vrcholového manažmentu, no dôsledky úspešného útoku zvyčajne dopadnú na celú firmu.

Súvisiace články

Základy

Čo je phishing? Definícia, príklady a ako tieto útoky fungujú

Phishing je podvod založený na sociálnom inžinierstve – útočník sa vydáva za dôveryhodnú osobu, firmu alebo úrad a snaží sa z vás vylákať prihlasovacie údaje, schválenie platby alebo inštaláciu škodlivého softvéru. Z európskych prehľadov o kybernetických incidentoch pritom dlhodobo vyplýva, že práve phishing býva najčastejšou bránou, cez ktorú sa útočníci dostanú do organizácie. V tomto sprievodcovi vám zrozumiteľne vysvetlíme, čo je phishing, ako prebieha phishingový útok, aké kanály a návnady využíva a čo robiť, aby ste mu nenaleteli.

7 min čítaniaČítať článok
Cielené útoky

Spear phishing a BEC podvod (kompromitácia firemného emailu)

Spear phishing je cielený a dôkladne pripravený útok mierený na konkrétneho človeka alebo pozíciu a práve on poháňa BEC podvod, teda kompromitáciu firemného emailu, ktorá patrí k finančne najničivejším formám kybernetickej kriminality. V tomto návode si vysvetlíme, ako si útočníci zisťujú informácie o obetiach, čo presne znamená CEO fraud podvod a podvod s falošnou faktúrou, prečo tieto správy emailové filtre tak často prepustia a ktoré vrstvy obrany naozaj fungujú, keď sa chcete brániť BEC útoku.

8 min čítaniaČítať článok
Pokročilé techniky

Moderné phishingové techniky: ako útočníci obchádzajú MFA a oklamú filtre

Dnešný phishing už dávno nie je len nemotorná kópia prihlasovacej stránky s preklepmi. Útočníci dnes siahajú po proxy typu adversary-in-the-middle, po MFA fatigue, falošných oknách browser-in-the-browser, OAuth consent phishingu, quishingu aj ClickFixe – a robia to s jediným cieľom: obísť práve tie opatrenia, ktoré ich kedysi spoľahlivo zastavovali. V tomto sprievodcovi si vysvetlíme, ako jednotlivé moderné phishingové techniky fungujú z pohľadu obrancu a ako si voči nim vybudovať skutočnú odolnosť.

9 min čítaniaČítať článok

Ďalší krok

Chcete merať svoj program phishingových simulácií a školení?

Dohodnite si demo a pozrite sa, ako PhishGun podporí simulácie, školenia, reportovanie aj podklady pre audit.

Požiadať o prístupEmail info@phishgun.com