Co je AI phishing a jak ho rozpoznat?

Účetní přijde e-mail: „Dobrý den, posíláme opravenou fakturu za březen. Prosíme o úhradu do konce dne, abychom nemuseli pozastavit dodávku.“ Zpráva je zdvořilá, bez překlepů, odkazuje na reálného dodavatele a používá správný podpis. Nic na první pohled nekřičí „podvod“.

Dříve byl phishing často snadno rozpoznatelný. Zpráva měla zvláštní češtinu, divný formát, neznámého odesílatele a působila neprofesionálně. Dnes je situace jiná. Umělá inteligence pomáhá útočníkům psát zprávy, které vypadají přirozeně, přesvědčivě a osobně.

AI phishing je phishing posílený umělou inteligencí. Neznamená to, že e-mail napsal robot od začátku do konce. Znamená to, že útočník může použít AI na psaní textu, překlad, personalizaci, tvorbu falešných příběhů, napodobení stylu komunikace nebo přípravu celé kampaně.

Širší kontext najdete v článku AI jako útočník: phishing, deepfaky a nové kybernetické hrozby.

Phishing se často propojuje s dalšími technikami sociálního inženýrství. U hlasových útoků pokračujte článkem deepfake podvody a vishing; u personalizovaných návnad z veřejných dat článkem AI a OSINT.

Jak phishing funguje

Phishing stojí na jednoduchém principu: útočník předstírá, že je někdo důvěryhodný.

Může se vydávat za banku, kurýrní službu, mobilního operátora, státní instituci, známou firmu, kolegu, šéfa nebo zákazníka. Zpráva vás obvykle tlačí k rychlé akci.

Typické cíle phishingu jsou:

  • přimět vás kliknout na odkaz,
  • dostat vás na falešnou přihlašovací stránku,
  • přesvědčit vás k otevření přílohy,
  • vylákat platební údaje,
  • získat ověřovací kód,
  • přesvědčit vás k platbě,
  • získat přístup do firemního systému.

Největší problém je, že phishing často nevypadá dramaticky. Někdy vypadá jako úplně běžná pracovní zpráva.

Příklad phishingového e-mailu s podezřelým odesílatelem, urgentním tónem a neočekávanou přílohou

Nejčastější typy phishingu

E-mailový phishing

Nejznámější forma. Přijde e-mail, který se tváří jako zpráva od banky, kurýra, Microsoftu, Googlu, dodavatele nebo kolegy. Obsahuje odkaz, přílohu nebo výzvu k rychlé akci.

Příklad: „Vaše heslo brzy vyprší. Přihlaste se a potvrďte účet.“

Smishing

Smishing je phishing přes SMS nebo chatovací aplikace. Často jde o zprávy o balících, platbách, pokutách nebo bankovních účtech.

Příklad: „Vaše zásilka čeká na doplacení 1,99 €. Klikněte zde.“

Vishing

Vishing je phishing přes telefon. Útočník volá a snaží se vás přesvědčit, abyste něco udělali. Může se vydávat za pracovníka banky, technickou podporu, policii, kurýra nebo nadřízeného.

S AI je vishing nebezpečnější, protože útočník může použít syntetický nebo napodobený hlas.

Spear-phishing

Spear-phishing je cílený phishing. Není to náhodná zpráva poslaná tisícům lidí, ale zpráva připravená pro konkrétní osobu nebo firmu.

Útočník si zjistí vaše jméno, pozici, projekty, kolegy, klienty nebo dodavatele. Potom vytvoří zprávu, která působí, jako by patřila do vašeho pracovního dne.

Právě tady je důležitý OSINT: veřejné profily, firemní weby a příspěvky mohou proměnit obecnou zprávu v důvěryhodný spear-phishingový pretext.

Business Email Compromise

Tento typ útoku často míří na firmy. Útočník se vydává za ředitele, manažera, dodavatele nebo obchodního partnera a snaží se přesvědčit zaměstnance, aby zaplatil fakturu nebo změnil bankovní účet.

Ne vždy jde o technický útok. Často je to dobře připravená manipulace.

Jak AI mění phishing

AI dělá phishing lepším v tom nejhorším smyslu slova.

Lepší gramatika

Podvodné zprávy už nemusí mít špatný překlad. AI dokáže napsat text přirozeným jazykem a upravit tón tak, aby působil jako komunikace banky, kurýra, úřadu nebo kolegy.

Více osobních detailů

Útočník si může projít veřejné informace o firmě a lidech. Pomocí AI pak připraví zprávu s konkrétním kontextem.

Například: „Ahoj Martino, k tendru, který řešíte tento týden, posílám aktualizované podklady.“ Taková zpráva je mnohem nebezpečnější než obecný spam.

Rychlejší příprava kampaní

AI dokáže vytvořit desítky variant zpráv pro různá oddělení: finance, HR, obchod nebo IT.

Lepší napodobení stylu

Pokud má útočník veřejné texty konkrétní osoby, může se pokusit napodobit její styl. Zpráva pak může znít jako běžná komunikace manažera nebo kolegy.

Checklist: jak rozpoznat phishing

Když dostanete podezřelou zprávu, zpomalte. Nemusíte být IT expert. Stačí si položit několik jednoduchých otázek.

1. Tlačí mě zpráva do rychlé akce?

Phishing často používá časový tlak: „ihned“, „do 24 hodin“, „poslední výzva“, „urgentní“ nebo „jinak bude účet zablokován“. Čím větší tlak, tím víc ověřujte.

2. Žádá heslo, kód nebo platbu?

Nikdy neposílejte hesla ani ověřovací kódy přes e-mail, SMS nebo chat. Žádost o SMS kód je velmi silný varovný signál.

3. Sedí adresa odesílatele?

Dívejte se nejen na jméno, ale i na skutečnou e-mailovou adresu. Pozor na drobné změny v doméně, záměny písmen, pomlčky nebo podezřelé koncovky.

4. Vede odkaz tam, kam tvrdí?

Neklikejte automaticky. Na počítači můžete na odkaz najet myší. Na mobilu je to těžší, proto buďte opatrnější. Bezpečnější je otevřít oficiální stránku ručně v prohlížeči.

5. Je příloha očekávaná?

Neotvírejte přílohy, které jste nečekali. Zvlášť faktury, dokumenty, archivy nebo soubory, které vyžadují povolení maker či nové přihlášení.

6. Sedí kontext?

Čekal jsem tuto zprávu? Dává smysl, že mi píše právě tento člověk? Je běžné, že by chtěl takovou akci? Pokud ne, ověřte to.

7. Dá se požadavek ověřit jiným kanálem?

U plateb, změn účtů, přístupů a citlivých dat vždy ověřujte jiným kanálem: známým telefonním číslem, interním chatem nebo osobně.

Co dělat, když jste klikli na phishing

Kliknout může každý. Důležité je nepanikařit a jednat rychle.

Pokud jste jen klikli, ale nic nezadali, zavřete stránku a nahlaste zprávu IT nebo správci. Pokud jste zadali heslo, okamžitě ho změňte. Pokud stejné heslo používáte jinde, změňte ho i tam. Pokud jste zadali údaje karty, kontaktujte banku. U firemního účtu informujte firmu okamžitě.

Nejhorší je mlčet ze strachu nebo studu. Rychlé nahlášení může zachránit účet, peníze i firemní data.

Jak se chránit dlouhodobě

Používejte vícefaktorové ověření (MFA). Aktualizujte zařízení. Nepoužívejte stejné heslo všude. Používejte správce hesel. Dávejte pozor na veřejné Wi-Fi sítě. A hlavně ověřujte podezřelé požadavky.

Ve firmě pomáhá pravidelné školení, jednoduché hlášení podezřelých zpráv, simulovaný phishingový test a jasná pravidla pro platby nebo změny bankovních účtů.

Závěr

AI phishing je nebezpečný proto, že působí normálně. Využívá běžnou komunikaci, běžný stres a běžnou důvěru.

Nejlepší obrana je jednoduchá: zpomalit, ověřit, neklikat automaticky a nepodléhat tlaku. Pokud zpráva vyvolává paniku, urgentnost nebo žádá citlivé údaje, zpozorněte.

Související články

Nečekejte, až někdo klikne - otestujte phishingovou odolnost své firmy.

Rezervovat