Jak ochránit e-mail před phishingovými útoky

Phishingové útoky přes e-mail jsou nejčastější formou kyberkriminality, se kterou se uživatelé internetu setkávají. Šifrování dat mezi serverem a prohlížečem je prvním krokem k bezpečné komunikaci. Podle statistik za rok 2025 se denně odešle více než 3,4 miliardy phishingových e-mailů a zhruba 30 % uživatelů podvodný e-mail otevře. V tomto návodu vás naučíme, jak phishingový e-mail rozpoznat, jak se chránit a co dělat, když jste už na falešný odkaz klikli.

Co je phishingový útok

Phishing je technika sociálního inženýrství, při níž útočník odešle e-mail, který vypadá, že pochází od legitimní organizace – banky, poskytovatele hostingu, sociální sítě nebo státní instituce. Cílem je vás přimět, abyste klikli na falešný odkaz, zadali své heslo nebo osobní údaje, případně stáhli škodlivý soubor. Útočníci využívají psychologii strachu a naléhavosti, abyste reagovali bez přemýšlení.

Existuje několik typů phishingu. Běžný phishing se rozesílá hromadně tisícům uživatelů s obecnými zprávami. Spear phishing je cílený útok na konkrétní osobu nebo firmu s personalizovaným obsahem. Whaling cílí na vedoucí pracovníky a manažery e-maily, které vypadají jako pracovní požadavky. Business Email Compromise (BEC) využívá kompromitované nebo falešné firemní e-mailové adresy k podvodným žádostem o platbu.

Jak rozpoznat phishingový e-mail

Existuje několik klíčových znaků, které phishingový e-mail prozradí. Zaprvé zkontrolujte adresu odesílatele. Phishingové e-maily často používají adresy podobné těm legitimním s drobnými rozdíly – například „support@beohosting-secure.com" místo „support@beohosting.com" nebo „noreply@paypai.com" místo „noreply@paypal.com". Vždy si pozorně přečtěte celou e-mailovou adresu, ne jen zobrazené jméno odesílatele.

Zadruhé věnujte pozornost tónu zprávy. Phishingové e-maily často využívají naléhavost a výhrůžky – „Váš účet bude do 24 hodin pozastaven", „Neoprávněný přístup k vašemu účtu", „Poslední varování před smazáním účtu". Legitimní společnosti nikdy nepožadují okamžitou akci přes e-mail ani nehrozí pozastavením účtu bez předchozího upozornění běžnými kanály.

Zatřetí před kliknutím zkontrolujte odkazy. Najeďte na odkaz myší (bez kliknutí) a podívejte se na URL zobrazenou v levém dolním rohu prohlížeče. Pokud URL nepatří doméně společnosti, která údajně e-mail posílá, jde o phishing. Například odkaz, který vypadá jako „Přihlaste se ke svému účtu", ale vede na „login-beohosting.fake-site.com", je zjevný podvod.

Začtvrté jsou gramatické a pravopisné chyby častým znakem phishingu. Velké společnosti mají profesionální překladatele a korektory, takže e-mail plný chyb pravděpodobně není legitimní. Také obecné oslovení typu „Vážený zákazníku" místo vašeho jména může být známkou hromadného phishingu rozesílaného tisícům uživatelů.

Zapáté buďte opatrní s přílohami. Phishingové e-maily často obsahují škodlivé přílohy maskované jako faktury, objednávky nebo dokumenty. Nikdy neotvírejte přílohu od neznámého odesílatele, zejména ve formátu .exe, .zip, .js nebo .scr. I dokumenty Word či Excel mohou obsahovat škodlivá makra.

Příklady phishingových e-mailů

Jeden z nejčastějších typů phishingu napodobuje banku: „Vážený zákazníku, zaznamenali jsme neoprávněnou aktivitu na vašem účtu. Kliknutím sem potvrďte svou identitu." Odkaz vede na dokonalou kopii webu banky, kde zadáte uživatelské jméno a heslo, jež putují přímo k útočníkovi. Skutečná banka by vám zavolala telefonem nebo poslala zprávu přes svou oficiální mobilní aplikaci.

Další častý typ napodobuje poskytovatele hostingu nebo e-mailu: „Vaše doména vyprší za 24 hodin. Obnovte ji ihned, abyste nepřišli o web." Odkaz vede na falešný web, kde zadáte údaje o platební kartě. Skutečný poskytovatel hostingu by vás upozornil týdny dopředu a umožnil obnovu přes zákaznický panel, ne přes odkaz v e-mailu.

Třetím typem jsou falešné faktury nebo objednávky: „V příloze je faktura za vaši poslední objednávku ve výši 62 500 Kč. Pokud jste nic neobjednali, klikněte sem pro zrušení." Příloha obsahuje malware a odkaz vede na phishingovou stránku. Tento typ je obzvlášť nebezpečný, protože uživatelé klikají v panice v domnění, že někdo zneužil jejich účet.

Novějším trendem je phishing přes QR kódy – e-mail obsahuje QR kód, který údajně vede na „zabezpečený" web pro ověření identity. Když kód naskenujete telefonem, otevře se phishingová stránka. Tím se obchází většina e-mailových filtrů, protože zpráva neobsahuje klasické podezřelé odkazy.

Jak se před phishingem chránit

Prvním a nejdůležitějším ochranným opatřením je vzdělávání. Naučte sebe i své zaměstnance rozpoznávat phishingové e-maily. Pořádejte ve firmě pravidelné phishingové simulace, abyste otestovali, jak jsou zaměstnanci obezřetní. Studie ukazují, že pravidelná školení snižují úspěšnost phishingových útoků o více než 70 %.

Používejte dvoufaktorové ověření (2FA) na všech důležitých účtech. I když útočník vaše heslo prostřednictvím phishingu ukradne, bez druhého ověřovacího faktoru se k účtu nedostane. Používejte autentizační aplikace (Google Authenticator, Authy) namísto ověření přes SMS, protože SMS je méně bezpečná.

Nainstalujte si antivirový a antiphishingový software, který automaticky blokuje známé phishingové weby. Většina moderních prohlížečů (Chrome, Firefox, Edge) má vestavěnou ochranu proti phishingu, ale dodatečný software poskytuje další vrstvu ochrany. Pravidelně také aktualizujte operační systém a prohlížeč, protože aktualizace často obsahují nové definice phishingových webů.

Používejte správce hesel, jako je Bitwarden nebo 1Password. Správce hesel na phishingovém webu vaše heslo automaticky nevyplní, protože pozná, že URL není stejná jako u legitimního webu. Jde o neviditelnou, ale velmi účinnou vrstvu ochrany. Správce hesel vám navíc umožní používat pro každý web jedinečné a silné heslo.

Na úrovni e-mailového serveru nakonfigurujte pro svou doménu záznamy SPF, DKIM a DMARC. Tyto mechanismy brání útočníkům odesílat e-maily, které vypadají, že pocházejí z vaší adresy. Používejte také e-mailový hosting s pokročilým spamovým filtrem a antiphishingovou ochranou. E-mailový hosting BeoHosting zahrnuje pokročilou ochranu proti phishingu a spamu.

Co dělat, když jste klikli na phishingový odkaz

Pokud jste klikli na phishingový odkaz a zadali heslo, jednejte okamžitě. Nejprve co nejdříve změňte heslo na kompromitovaném účtu. Pokud používáte stejné heslo i na jiných webech (což byste neměli), změňte ho i tam. Poté zapněte dvoufaktorové ověření, pokud ho ještě nemáte.

Zkontrolujte, zda se útočník k vašemu účtu už nedostal. Podívejte se na poslední aktivitu, změny nastavení, odeslané e-maily nebo finanční transakce. Pokud zaznamenáte podezřelou aktivitu, okamžitě kontaktujte podporu dané služby a incident nahlaste. Jde-li o bankovní účet, ihned zavolejte do banky.

Spusťte kompletní kontrolu počítače antivirovým softwarem pro případ, že jste stáhli malware. V následujících měsících sledujte své finanční výpisy a hlídejte podezřelé transakce. Phishingový e-mail nahlaste svému poskytovateli e-mailu i organizaci, za kterou se útočník vydával – většina společností má speciální adresu pro hlášení phishingu.

Závěr

Phishingové útoky jsou stále propracovanější, ale se správným vzděláváním a ochrannými opatřeními můžete riziko výrazně snížit. Vždy před kliknutím zkontrolujte adresu odesílatele i odkazy, používejte dvoufaktorové ověření, udržujte software aktuální a nikdy nezadávejte hesla na stránkách, na které jste se dostali přes odkaz v e-mailu. Pro dodatečnou ochranu vašeho e-mailového účtu nabízí BeoHosting profesionální e-mailový hosting s pokročilými antiphishingovými filtry.