Co novela mění a proč je phishing pro banky i klienty zásadní téma
Phishing už dávno není jen e-mail s podezřelým odkazem. Útočníci dnes kombinují falešné weby, SMS zprávy, podvržené hovory, deepfake hlas a také reklamní kampaně v placeném vyhledávání. V praxi to znamená, že se útok často odehrává v několika krocích: nejprve získání důvěry, pak přesměrování na falešnou přihlašovací stránku a nakonec krádež přihlašovacích údajů nebo autorizace platby.
Novela zákona o bankách posiluje tlak na prevenci, monitoring a rychlejší reakci na podezřelé transakce. Důležitý posun je v tom, že ochrana klienta už není jen otázkou jeho opatrnosti, ale i povinnosti banky a související infrastruktury lépe detekovat anomálie. To je zásadní zejména u útoků, kde klient sám zadá přihlašovací údaje na falešné stránce a útočník je okamžitě použije.
Podle statistik bezpečnostních týmů v Evropě patří phishing dlouhodobě mezi nejčastější počáteční vektor útoku. V praxi se často uvádí, že více než 90 % úspěšných kybernetických incidentů začíná sociálním inženýrstvím. Pro bankovní sektor je to problém i kvůli tomu, že škoda nevzniká jen na účtu klienta, ale i na reputaci značky a nákladech na řešení sporů.
Jaké typy phishingu jsou dnes nejnebezpečnější
Nejčastější scénář je stále falešný login do internetového bankovnictví. Útočník napodobí vizuál banky, často včetně loga, barvy i formulářů, a používá doménu podobnou originálu. Typicky jde o drobnou změnu v názvu, například záměnu znaku, přidání pomlčky nebo jinou koncovku domény.
Vedle toho sílí smishing, tedy phishing přes SMS. Zpráva často obsahuje informaci o blokaci účtu, neúspěšné platbě nebo nutnosti ověřit identitu. Další riziko je vishing, kdy útočník volá jako „bankovní podpora“ a snaží se z klienta dostat kód z SMS nebo potvrzení v aplikaci. U firem se čím dál častěji objevuje i BEC útok, kdy se útočník vydává za jednatele, účetní nebo dodavatele a mění platební instrukce.
- Falešné přihlašovací stránky – krádež hesel, PINů a tokenů.
- SMS phishing – odkazy na podvodné weby a falešné notifikace.
- Telefonické podvody – nátlak na okamžité potvrzení transakce.
- Reklamní phishing – podvodný web se objeví ve výsledcích vyhledávání jako placená reklama.
Právě reklamní phishing je pro firmy i banky velmi nepříjemný, protože útočník kupuje reklamu na klíčová slova typu „bankovní přihlášení“, „internet banking“ nebo název konkrétní banky. Uživatel pak kliká na první viditelný výsledek bez toho, aby kontroloval doménu.
Technická obrana: co by měly dělat banky, weby i e-shopy
Účinná ochrana není jen o antiviru. Základ je kombinace technických kontrol, monitoringu a dobrého UX. Pokud provozujete web s přihlášením, platební bránou nebo klientským portálem, je vhodné zavést několik vrstev ochrany.
Na úrovni webu je zásadní HTTPS všude, správně nastavený HSTS a ochrana proti podvržení formulářů. U přihlašovacích a platebních formulářů doporučuji doplnit Content Security Policy, aby se omezilo načítání škodlivých skriptů. Pro bankovní i firemní portály je vhodné používat také reCAPTCHA nebo alternativní bot ochranu, rate limiting a detekci anomálního chování.
Velmi důležitá je autentizace. Samotné heslo je dnes slabé. Prakticky funguje vícefaktorové ověření, ideálně přes aplikaci s push notifikací, biometriku nebo hardwarový klíč. SMS je stále lepší než nic, ale je slabší kvůli SIM swap útokům a přesměrování zpráv.
- HSTS pro vynucení HTTPS.
- CSP proti injektovanému obsahu a malwaru.
- Rate limiting proti automatizovaným pokusům o přihlášení.
- Web Application Firewall pro filtraci útoků a botů.
- DMARC, SPF a DKIM pro ochranu firemní e-mailové domény.
U e-shopů a firem je nutné sledovat i doménovou bezpečnost. Doporučuji pravidelně monitorovat podobné domény přes nástroje typu dnstwist, SecurityTrails nebo DomainTools. Pokud někdo zaregistruje doménu velmi podobnou vaší značce, může to být první signál budoucího phishingu.
Jak nastavit interní procesy, aby phishing neskončil škodou
Technologie sama o sobě nestačí. Nejvíc útoků uspěje tam, kde chybí procesy. U firemních plateb by měla existovat jasná pravidla pro změnu bankovního účtu, schvalování plateb a ověřování požadavků. Pokud přijde e-mail s pokynem k urgentní úhradě, nesmí být dostačující jen odpověď na stejný e-mailový thread.
Praktický model je callback procedura: změnu platebních údajů nebo mimořádnou platbu potvrdí zaměstnanec zpětným voláním na číslo uložené v interní databázi, ne na číslo z e-mailu. U vyšších částek je vhodné zavést čtyřoční princip, tedy dvě nezávislá schválení. U menších týmů funguje i jednoduché pravidlo: žádná změna bankovního účtu bez druhého kanálu ověření.
Pro banky a větší weby je důležité mít napojený SIEM nebo alespoň centrální logování. Sledují se neobvyklé IP adresy, změny zařízení, opakované pokusy o přihlášení, přihlašování z nových lokalit a rychlé sekvence akcí, které mohou znamenat automatizovaný útok. V případě webu postaveného na WordPressu je vhodné doplnit bezpečnostní plugin, ale nespoléhat jen na něj. Základní ochranu poskytne kombinace kvalitního hostingu, aktualizací, omezení administrátorských účtů a dvoufaktorového ověření.
Co by měli dělat klienti a jak poznat podvod během několika vteřin
Klientská část ochrany je o zvycích. Nejrychlejší kontrola je podívat se na doménu, certifikát a způsob komunikace. Pokud vám banka píše přes SMS nebo e-mail a vyžaduje okamžitou akci, je lepší neklikat na odkaz, ale otevřít aplikaci nebo adresu zadat ručně. To je jednoduchý krok, který eliminuje velkou část útoků.
Uživatelé by měli vědět, že banka po nich nikdy nebude chtít sdělit celé přihlašovací údaje, kompletní PIN nebo potvrzovací kód přes telefon. Stejně tak je podezřelé, pokud zpráva obsahuje tlak na čas, hrozbu blokace účtu nebo výzvu k „ověření bezpečnosti“ přes neznámý odkaz. V praxi funguje pravidlo tří kontrol: doména, jazyk, kontext. Chybně napsaná čeština, neobvyklý tón nebo jiná doména jsou červená vlajka.
Pro firmy a správce webů má smysl krátké interní školení každé tři měsíce. Nemusí být dlouhé, ale mělo by obsahovat reálné ukázky podvodných e-mailů, testovací phishingové kampaně a postup hlášení incidentu. Nástroje jako Microsoft Defender for Office 365, Google Workspace Security nebo specializované platformy pro phishing simulace umožňují měřit, kolik zaměstnanců klikne na podvodný odkaz a jak rychle incident nahlásí.
SEO a digitální viditelnost: proč je důležité chránit i vyhledávání a brand
Phishing dnes často začíná ve vyhledávači. Uživatel hledá banku, přihlášení nebo zákaznickou podporu a místo oficiální stránky klikne na podvodnou reklamu. Proto je důležité hlídat nejen bezpečnost webu, ale i jeho viditelnost v SERPu. Firmy by měly aktivně pracovat s brandovým SEO, správnými title tagy, strukturovanými daty a oficiálními profily, aby uživatel snadno poznal legitimní výsledek.
Vyplatí se také monitorovat, zda někdo nezneužívá název značky v reklamách nebo na podvodných landing pages. Praktické je nastavit pravidelné kontroly přes Google Search Console, ruční brand query monitoring a alerty na nové domény. U velkých značek už dnes dává smysl i ochrana v rámci digital risk protection, která sleduje zneužití loga, názvu i podobných domén napříč internetem.
Pokud chcete snížit riziko phishingu na minimum, nestačí jen upravit zákonné minimum. Potřebujete propojit bezpečnost, UX, e-mailovou infrastrukturu, monitoring domén a vzdělávání lidí. Právě v tom je praktický dopad novely největší: tlačí celý ekosystém k tomu, aby byl útok dražší pro útočníka a výrazně méně úspěšný pro všechny, kdo web i finance provozují.
