Jak phishing funguje a proč je právně nebezpečný
Phishing je forma podvodu, při které útočník vydává sebe nebo svou zprávu za důvěryhodný subjekt, aby získal přihlašovací údaje, údaje k platební kartě, přístup do bankovnictví nebo citlivé osobní informace. V praxi se nejčastěji objevuje přes SMS, e-mail, chatovací aplikace a falešné webové stránky. Podle zpráv bezpečnostních firem i bank patří phishing dlouhodobě mezi nejčastější typy útoků, protože zneužívá lidskou důvěru, nikoli jen technickou chybu.
Z právního hlediska nejde jen o „obtěžující zprávu“. Může jít o trestný čin podvodu, neoprávněný přístup k počítačovému systému, poškození cizích práv nebo zneužití identity. U firem navíc vzniká i riziko porušení povinností při ochraně osobních údajů nebo zanedbání bezpečnostních opatření, pokud útok umožní únik dat klientů. Proto je důležité řešit incident nejen technicky, ale i procesně a důkazně.
Co si uchovat jako důkaz a jak postupovat v prvních 15 minutách
Nejdůležitější je nic nemačkat, neodpovídat a nic nevyplňovat. Pokud jste na odkaz klikli, ale nic nezadali, škoda ještě nemusí vzniknout. I tak je dobré jednat okamžitě:
- udělejte screenshot celé zprávy včetně čísla, jména odesílatele, času a případného odkazu,
- zaznamenejte URL falešné stránky, ideálně včetně kopie do textového souboru,
- uchovejte hlavičky e-mailu, pokud šlo o phishing v e-mailu,
- nechte si exportovat historii konverzace z WhatsApp, Messengeru nebo jiné aplikace,
- zapište časovou osu: kdy zpráva přišla, kdy jste klikli, kdy jste kontaktovali banku nebo operátora.
Pro firmy je vhodné mít interní incidentní formulář. Prakticky stačí jednoduchý checklist v Google Workspace, Microsoft 365 nebo v ticketovacím systému typu Jira Service Management či Zendesk. Důkazní hodnota roste, když máte přesný čas, zařízení, IP adresu, účet, přes který se přihlásil útočník, a logy z přístupu. Pokud spravujete web, zachovejte i serverové logy, CDN logy a auditní záznamy z CMS.
V případě finančního útoku volejte banku okamžitě. V Česku banky běžně umí zablokovat kartu, online bankovnictví nebo nastavit dodatečné ověření během minut. U SIM-swap útoku nebo zneužití telefonního čísla kontaktujte i operátora. Rychlost je zásadní, protože u převodu peněz může být šance na zastavení transakce velmi krátká.
Právní rámec v Česku: co se může řešit trestně, civilně i přes dohledové orgány
V českém právu se phishing typicky řeší podle trestního zákoníku, zejména jako podvod, neoprávněné nakládání s platebním prostředkem nebo zásah do práva k počítačovému systému a nosiči informací. Pokud pachatel získá data a použije je k dalšímu útoku, může se přidat i další trestněprávní kvalifikace. U některých případů se uplatní i přestupkové nebo civilní nároky, například náhrada škody.
Z pohledu ochrany osobních údajů hraje roli GDPR a zákon o zpracování osobních údajů. Pokud je zasažen web nebo databáze s osobními údaji, správce musí vyhodnotit, zda jde o porušení zabezpečení osobních údajů a zda hrozí riziko pro práva a svobody osob. U závažnějších incidentů může být nutné hlášení Úřadu pro ochranu osobních údajů do 72 hodin od zjištění incidentu. Jestliže je vysoké riziko pro dotčené osoby, může vzniknout i povinnost informovat samotné klienty.
Firmy by měly mít připravený proces, který určí, kdo incident posuzuje, kdo komunikuje s právníkem, kdo s IT a kdo s veřejností. V praxi se vyplatí mít předem připravené vzory oznámení, protože při incidentu je čas rozhodující. Právník zároveň pomůže posoudit, zda je vhodné podat trestní oznámení, nebo zda je efektivnější postup přes banku, operátora a hostingového poskytovatele.
Jak poznat podvodnou zprávu a jaké nástroje pomáhají s blokací
Podvodné SMS dnes často vypadají velmi přesvědčivě. Útočníci využívají krátké texty typu „Váš balík je zadržen“, „Platba nebyla provedena“, „Přihlášení z nového zařízení“ nebo „Přepsání bezpečnostních údajů nutné do 24 hodin“. Cílem je vyvolat stres. Podezřelá je zejména kombinace naléhavosti, chyby v doméně, podezřelého odkazu a požadavku na okamžité zadání údajů.
Pro běžné uživatele pomáhá několik nástrojů:
- Správce hesel – například 1Password, Bitwarden nebo Dashlane, který odhalí, zda jste na správné doméně.
- Antiphishingové filtry v Gmailu, Microsoft Defender for Office 365 nebo Proofpoint.
- Google Safe Browsing a VirusTotal pro kontrolu podezřelých URL.
- Have I Been Pwned pro ověření, zda nebyl váš e-mail součástí úniku dat.
- Authenticator aplikace s MFA, ideálně přes TOTP nebo passkeys.
Firmy by měly nasadit SPF, DKIM a DMARC pro e-mailovou doménu. DMARC s politikou „quarantine“ nebo „reject“ výrazně snižuje možnost, že někdo pošle falešný e-mail z podobné domény. U SMS se sice nedá podvrh stoprocentně eliminovat, ale lze nastavit monitorování brandových zmínek, registraci podobných domén a pravidelné testy zabezpečení domény i DNS.
Co dělat, když už jste přišli o data nebo peníze
Pokud jste zadali údaje do falešného formuláře, je potřeba jednat v tomto pořadí: změna hesla, odhlášení všech relací, kontrola přístupových zařízení, aktivace vícefaktorového ověření a kontrola obnovovacích e-mailů i telefonních čísel. U bankovnictví okamžitě kontaktujte banku a požádejte o blokaci účtu, karty nebo převodů. V případě e-shopu nebo firemního účtu změňte také přístup administrátorů a zkontrolujte, zda útočník nezaložil nové fakturační údaje nebo pravidla přeposílání pošty.
U škody na penězích je vhodné podat trestní oznámení co nejdříve. V oznámení uveďte přesný popis události, částku, čísla účtů, telefonní číslo, URL, screenshoty a komunikaci s bankou. Pokud jde o větší částky, vyplatí se připojit i výpisy z účtu a potvrzení o reklamaci transakce. V některých případech může být užitečné obrátit se na advokáta specializovaného na IT právo a ochranu osobních údajů, zejména pokud se incident týká firemních dat nebo reputace značky.
U osobních údajů zvažte i preventivní kroky proti zneužití identity: kontrolu nově založených účtů, změnu přístupů k e-mailu, upozornění rodiny a kolegů, že mohou přijít falešné zprávy vaším jménem. Pokud útočník získal přístup do firemní schránky, může dál rozesílat phishing na klienty. V takovém případě je nutné obratem informovat dotčené kontakty a zastavit šíření útoku.
Prevence pro firmy, e-shopy i správce webů: proces, právo a technika
Nejlepší obrana není jednorázové školení, ale kombinace procesů, technických opatření a právní připravenosti. Firmy by měly mít interní bezpečnostní směrnici, jasně určené vlastníky systémů a pravidelný trénink zaměstnanců. Podle zkušeností bezpečnostních týmů stačí krátké simulované phishingové kampaně jednou za čtvrtletí, aby se výrazně snížila míra kliknutí na škodlivé odkazy. U menších firem je praktické začít s jednoduchým scénářem: falešná faktura, změna bankovního účtu dodavatele nebo výzva k resetu hesla.
Technicky se vyplatí zavést:
- vícefaktorové ověření pro e-mail, administraci webu, CMS a bankovnictví,
- princip nejmenších oprávnění pro zaměstnance i externisty,
- pravidelné zálohy s offline kopií,
- monitoring domén podobných vaší značce,
- antispam a antiphishing gateway pro firemní e-maily,
- logování přístupů a alerty na neobvyklé přihlášení.
Z právního pohledu je důležité mít zpracované smlouvy s dodavateli, hostingem a marketingovými nástroji, aby bylo jasné, kdo nese odpovědnost za incident, jak rychle se hlásí bezpečnostní problém a jak se předávají logy. U e-shopů je vhodné mít i krizový komunikační plán pro situaci, kdy zákazníkům přijde falešná SMS s odkazem na platbu nebo doručení. Dobře připravený web, správně nastavené zabezpečení a rychlá reakce často rozhodnou o tom, zda útok skončí jako nepříjemnost, nebo jako velký právní a finanční problém.
