Cielené útoky

Spear phishing a BEC podvod (kompromitácia firemného emailu)

Spear phishing je cielený a dôkladne pripravený útok mierený na konkrétneho človeka alebo pozíciu a práve on poháňa BEC podvod, teda kompromitáciu firemného emailu, ktorá patrí k finančne najničivejším formám kybernetickej kriminality. V tomto návode si vysvetlíme, ako si útočníci zisťujú informácie o obetiach, čo presne znamená CEO fraud podvod a podvod s falošnou faktúrou, prečo tieto správy emailové filtre tak často prepustia a ktoré vrstvy obrany naozaj fungujú, keď sa chcete brániť BEC útoku.

8 min čítaniaAktualizované 2026-06-07

Spear phishing: čo to je a prečo je nebezpečnejší

Spear phishing je cielená odroda phishingu, ktorá nemieri na náhodný dav, ale na konkrétneho človeka, tím alebo firmu. Útočník si vopred naštuduje detaily, aby správa pôsobila úplne dôveryhodne. Kým bežný hromadný phishing rozhadzuje sieť na tisíce neznámych adresátov s jednou všeobecnou návnadou, spear phishing je jediná pracne ušitá správa, ktorá spomína vašich skutočných kolegov, rozbehnuté projekty aj dodávateľa, s ktorým reálne spolupracujete, a kopíruje váš firemný štýl komunikácie. Práve toto prispôsobenie na mieru z neho robí takú hrozbu: email vyzerá ako úplne bežná pracovná pošta.

Rozdiel je v miere úsilia a v zámere. Hromadné kampane stavajú na množstve, takže sa vyplatia aj pri zlomkovej úspešnosti, keď ich odídu milióny. Spear phishing stavia na relevantnosti. Útočník pokojne strávi celé hodiny štúdiom jednej účtovníčky, kým pošle jediný email, pretože práve ten jeden email môže odklepnúť prevod v hodnote päť- či šesťciferných súm. Kde sa spear phishing nachádza medzi smishingom, vishingom a ďalšími odrodami, nájdete v našom prehľade typov phishingu.

Ako si útočníci zisťujú informácie o obetiach

Cielený phishing útok na firmu sa rozbieha dávno predtým, než odíde prvý email. Útočník si najprv poskladá profil firmy a vytipuje konkrétnych ľudí, ktorí dokážu pohnúť s peniazmi alebo s dátami. Pomáha si pritom takzvaným OSINT, teda spravodajstvom z otvorených zdrojov, čo sú verejne dostupné informácie, ktoré je úplne legálne čítať. Cieľom je pochopiť, kto komu podlieha, kto schvaľuje platby, kedy sú kľúčoví ľudia na cestách a ako vlastne znie vaša interná komunikácia.

  • LinkedIn a firemný web vyzradia mená, pozície, organizačnú štruktúru aj to, kto má v rukách financie, mzdy či nákup.
  • Tlačové správy, články a sociálne siete prezradia akvizície, nových dodávateľov a načasovanie veľkých zákaziek, čo je ideálna zámienka pre súrnu platbu.
  • Automatické odpovede typu „som mimo kancelárie“ a fotky z konferencií prezradia, kedy je manažér na cestách a ťažko zastihnuteľný na rýchle telefonické overenie.
  • Uniknuté prihlasovacie údaje a staršie úniky dát útočníkovi naservírujú formát firemných adries, heslá na vyskúšanie a niekedy aj priamy prístup do reálnej schránky.
  • Verejné faktúry, podklady z verejných súťaží a logá dodávateľov pomôžu napodobniť presný vzhľad pravej fakturačnej správy.

S takouto skladačkou už útočník napíše správu, ktorá dokonale zapadne do vášho prostredia. Pozná meno finančného riaditeľa, vie, ktorého dodávateľa naozaj využívate, aj to, akými obratmi sa vyjadruje váš šéf. Tento prieskum a napokon aj samotné písanie navyše čoraz častejšie urýchľuje umelá inteligencia, vďaka ktorej je tvorba bezchybných a poslovenčených správ vo veľkom lacná ako nikdy predtým.

Bezplatná phishingová kampaň

Otestujte zamestnancov jednou bezplatnou phishingovou kampaňou a pozrite si výsledky na vlastné oči.

Spustite cielený pilot, zmerajte kliknutia a nahlásenia a pred nasadením si prejdite výsledky školenia.

Bez platobnej karty.

Požiadať o prístup

Čo je BEC podvod (kompromitácia firemného emailu)?

BEC podvod, čiže kompromitácia firemného emailu (z anglického business email compromise), je podvod, pri ktorom sa útočník vydáva za vedúceho pracovníka, kolegu, dodávateľa alebo obchodného partnera. Často pritom využíva napadnutý alebo zámerne podobne vyzerajúci účet, aby zamestnanca prinútil poslať peniaze alebo vyzradiť citlivé údaje. BEC je presne tým bodom, kde sa spear phishing premieňa na reálnu finančnú stratu. Útočníkovi tu nejde o krádež hesla, ale o to, aby skutočný človek vlastnou rukou schválil platbu na nesprávny účet.

Zneužitie firemného emailu sa dlhodobo drží na špici najškodlivejších kategórií kybernetickej kriminality podľa výšky finančných strát. Najpodstatnejšie je, že množstvo BEC emailov neobsahuje vôbec žiadny škodlivý kód ani odkaz, len holý text. Práve preto sú voči technickým opatreniam také odolné a zároveň také závislé od toho, či si ich niekto overí. Podľa správ tímov, ktoré riešia bezpečnostné incidenty, sa jednotlivé podvodné žiadosti o prevod bežne šplhajú do desiatok tisíc eur a celkové škody sa počítajú v miliardách.

Hlavné varianty BEC podvodu

BEC nie je jeden konkrétny trik, ale celá rodina príbuzných podvodov. Keď zamestnanci poznajú typické scenáre, dokážu vycítiť, že na žiadosti niečo nesedí, aj keď email na prvý pohľad vyzerá bezchybne.

CEO fraud podvod (boss scam podvod)

Útočník sa vydáva za generálneho riaditeľa alebo iného vrcholového manažéra a tlačí na pracovníka financií, aby súrne a v tichosti vykonal prevod. Najčastejšie to zabalí do príbehu o tajnej akvizícii alebo o obchode, ktorý sa musí uzavrieť ešte dnes. Autorita, naliehavosť a utajenie spolu tvoria klasický rukopis CEO fraud podvodu, ľudovo aj boss scam podvodu. Celé je to nastavené tak, aby si zamestnanec netrúfol nič si u nikoho overiť.

Podvod s falošnou faktúrou a vydávanie sa za dodávateľa

Pri podvode s falošnou faktúrou sa útočník vydáva za reálneho dodávateľa a pošle vierohodne vyzerajúcu faktúru alebo oznámenie v štýle „zmenili sme číslo účtu, fakturujte naň“. Tým presmeruje legitímnu platbu na nastrčený účet. Tento podvod so zmenenými údajmi na faktúre je obzvlášť zákerný práve preto, že samotnú platbu firma očakáva a aj tak by ju zaplatila. Potichu sa vymenil len cieľový účet, všetko ostatné sedí.

Presmerovanie mzdy a krádež údajov

  • Presmerovanie mzdy: útočník sa vydáva za zamestnanca a požiada personálne oddelenie o zmenu čísla účtu na výplatu na účet, ktorý ovláda.
  • Krádež osobných údajov: žiadosť o zaslanie daňových dokladov, mzdových zoznamov alebo zoznamov zamestnancov, ktoré sa neskôr zneužijú na krádež identity alebo na ďalšie útoky.
  • Podvody s darčekovými kartami: menšia, rýchlo speňažiteľná verzia, pri ktorej „šéf“ súrne potrebuje nakúpiť darčekové karty a obratom poslať ich kódy.

Prečo cielený phishing útok filtre často prepustia

Nástroje na ochranu emailu sú vyladené na objem, na známe škodlivé odkazy a na nebezpečné prílohy. Spear phishing aj BEC sú však schválne postavené tak, aby nevykazovali ani jeden z týchto príznakov. Jediný čistý textový email z dôveryhodne vyzerajúcej adresy spustí automatickú ochranu len málokedy.

  • Žiadny škodlivý kód ani odkazy: mnohé BEC správy sú len holý text, takže sandbox ani skener URL nemajú čo rozbaliť a otestovať.
  • Podobné a napadnuté domény: útočníci registrujú domény líšiace sa o jediné písmeno, prípadne píšu zo skutočne napadnutej schránky partnera, ktorá hladko prejde overením.
  • Nízky objem a vysoká miera prispôsobenia: kampaň jednej správy pre jedného človeka nikdy nevytvorí reputačnú stopu, na ktorej stoja reputačné filtre.
  • Diery v overovaní odosielateľa: tam, kde chýbajú SPF, DKIM a DMARC alebo sú nastavené na „none“, podvrhnutá doména odosielateľa prejde bez problémov.
  • Plynulosť od umelej inteligencie: dobre napísané a prirodzene znejúce slovenské správy už útočníka neprezradia preklepmi ani kostrbatou gramatikou, na ktoré sa staršie filtre spoliehali.

Reálny scenár zo slovenskej firmy

Predstavte si stredne veľkého výrobcu na Slovensku. Útočník si na LinkedIne vytipuje finančného riaditeľa a mladšiu účtovníčku z finančného oddelenia a z tlačovej správy sa dozvie, že firma práve dolaďuje zmluvu s nemeckým dodávateľom. Zaregistruje si doménu, ktorá sa od tej dodávateľskej líši o jediné písmeno.

V strede týždňa príde účtovníčke uhladený email v plynulej slovenčine, zdanlivo od fakturačného kontaktu dodávateľa: číslo účtu pre očakávanú faktúru sa zmenilo, prosíme o jeho aktualizáciu pri tejto platbe. Logo, číslo faktúry aj suma presne zodpovedajú reálnej, čakajúcej objednávke. O hodinu dorazí nadväzujúci email, zdanlivo z adresy finančného riaditeľa, ktorá je takmer dokonalou napodobeninou: „áno, schválil som to, spracujte to prosím ešte dnes, celý deň som na poradách“. Každý jednotlivý detail sedí. Prevod odíde skôr, než to ktokoľvek vysloví nahlas.

Ako sa brániť BEC útoku a spear phishingu

Keďže tieto útoky mieria na ľudský úsudok, nie na softvér, najsilnejšia obrana je vrstvená. Potrebujete proces, ktorý útočníkovi sťaží dotiahnutie podvodu do konca, technické opatrenia, ktoré mu predražia vydávanie sa za niekoho iného, a ľudí vyškolených tak, aby sa zastavili práve pri tých žiadostiach, na ktoré podvodníci najviac stavajú. Celý postup nájdete v našom návode, ako predchádzať phishingu.

  1. Overenie po inom kanáli: každú platbu aj každú zmenu bankových údajov si potvrďte cez nezávislý, vopred známy kanál, teda na telefónne číslo z vašich záznamov, nikdy nie na to z prijatej správy.
  2. Dvojité schvaľovanie platieb: prevody nad stanovenú hranicu nech uvoľňujú dvaja oprávnení ľudia a každú zmenu čísla účtu dodávateľa podmieňte zdokumentovaným schvaľovacím krokom.
  3. Z pravidla „najprv over, potom plať“ urobte štandard: dajte financiám aj personálnemu výslovné právo spomaliť naliehavé alebo tajné žiadosti, a to aj keď prídu od vedenia, bez strachu, že budú pôsobiť ako tí komplikovaní.
  4. Posilnite overovanie emailov: nasaďte SPF, DKIM aj vynucujúcu politiku DMARC, viditeľne označujte externých a podobne vyzerajúcich odosielateľov a schránky vedenia chráňte prístupovými kľúčmi (passkeys) odolnými voči phishingu.
  5. Trénujte na reálnych návnadách: priebežné školenia povedomia spolu s realistickými, poslovenčenými phishingovými simuláciami (napríklad na platforme PhishGun) budujú merateľnú odolnosť a upevňujú návyk všetko si overiť, čím zároveň napĺňate povinnosti školenia zamestnancov podľa NIS2 a DORA.

Práve zamestnanci sú tou poistkou, ktorá odhalí BEC email vtedy, keď filter zlyhá. Keď ich vnímate ako súčasť riešenia a vybavíte ich jasným procesom overovania aj jednoduchým spôsobom, ako nahlásiť podozrivú správu, premeníte celú firmu na sieť senzorov. Mnohé z týchto cielených útokov si navyše požičiavajú postupy z moderných phishingových techník, preto udržiavajte školenia stále aktuálne, tak ako sa vyvíja aj remeslo útočníkov.

Časté otázky

Čo je BEC (kompromitácia firemného emailu)?

BEC podvod je útok, pri ktorom sa útočník vydáva za šéfa, kolegu alebo dodávateľa a prinúti zamestnanca poslať peniaze či vyzradiť citlivé údaje. Často využíva napadnutý alebo podobne vyzerajúci email a samotná správa neobsahuje žiadny škodlivý kód, len presvedčivý text.

Aký je rozdiel medzi spear phishingom a bežným phishingom?

Bežný hromadný phishing posiela rovnakú všeobecnú návnadu naraz tisícom ľudí. Spear phishing mieri na konkrétneho človeka alebo pozíciu a opiera sa o vopred zistené detaily, ako sú skutočné mená, dodávatelia a projekty, takže je oveľa presvedčivejší a ťažšie sa odhalí.

Čo je CEO fraud a ako prebieha?

CEO fraud podvod, niekedy nazývaný aj boss scam podvod, je odroda BEC, pri ktorej sa útočník vydáva za generálneho riaditeľa a pod tlakom žiada od financií súrny a dôverný prevod. Typicky kombinuje autoritu, naliehavosť a utajenie, aby si zamestnanec netrúfol platbu u nikoho overiť.

Ako rozpoznať podvodný príkaz na platbu od nadriadeného?

Podozrenie by mala vzbudiť kombinácia naliehavosti, utajenia a tlaku obísť bežný schvaľovací postup, najmä pri novom alebo zmenenom čísle účtu. Podvodný príkaz na úhradu od šéfa si vždy overte priamo s nadriadeným cez známy kanál, ideálne telefonicky, nikdy nie odpoveďou na ten istý email.

Ako sa firma môže chrániť pred BEC podvodom?

Ako sa brániť BEC útoku najúčinnejšie? Kľúčom je overovanie po inom kanáli spolu s dvojitým schvaľovaním platieb. Každú platbu či zmenu bankových údajov potvrďte cez nezávislé, vopred známe číslo a vyžadujte druhého schvaľovateľa. Doplňte to o SPF, DKIM a DMARC a o pravidelné školenia a phishingové simulácie.

Súvisiace články

Druhy útokov

Typy phishingu: prehľadná klasifikácia útokov

Kto pozná typy phishingu, vie sa proti nim aj lepšie brániť. Od hromadných e-mailov cez smishing a vishing až po quishing s QR kódmi - v tomto sprievodcovi nájdete jednotlivé druhy phishingu, ich fungovanie, návnady obľúbené u útočníkov na Slovensku aj v EÚ a najmä znak, ktorý každý z nich prezradí.

9 min čítaniaČítať článok
Pre organizácie

Ochrana pred phishingom vo firme: viacvrstvová obrana, ktorá funguje

Phishing nezastaví jediné opatrenie a v Európe naďalej stojí na začiatku väčšiny úspešných útokov. Spoľahlivá ochrana pred phishingom vo firme preto kombinuje viacero vrstiev: technické filtrovanie pošty, posilnenie identít, pravidelné školenia zamestnancov o kybernetickej bezpečnosti a rýchle nahlasovanie podozrivých e-mailov. Tento návod ukazuje IT manažérom aj bezpečnostným tímom, ako poskladať obranu, ktorá je praktická a zároveň merateľná a pokryje aj povinnosti podľa NIS2 a DORA.

8 min čítaniaČítať článok
Pokročilé techniky

Moderné phishingové techniky: ako útočníci obchádzajú MFA a oklamú filtre

Dnešný phishing už dávno nie je len nemotorná kópia prihlasovacej stránky s preklepmi. Útočníci dnes siahajú po proxy typu adversary-in-the-middle, po MFA fatigue, falošných oknách browser-in-the-browser, OAuth consent phishingu, quishingu aj ClickFixe – a robia to s jediným cieľom: obísť práve tie opatrenia, ktoré ich kedysi spoľahlivo zastavovali. V tomto sprievodcovi si vysvetlíme, ako jednotlivé moderné phishingové techniky fungujú z pohľadu obrancu a ako si voči nim vybudovať skutočnú odolnosť.

9 min čítaniaČítať článok

Ďalší krok

Chcete merať svoj program phishingových simulácií a školení?

Dohodnite si demo a pozrite sa, ako PhishGun podporí simulácie, školenia, reportovanie aj podklady pre audit.

Požiadať o prístupEmail info@phishgun.com