Emailový phishing, vishing, smishing, quishing, sociálne siete, počítače, tablety, mobily. Slovenskom sa preháňa smršť podvodných mailov, správ a telefonátov. Sú otravné, nebezpečné a ich presvedčivosť sa zlepšuje každým mesiacom.

Netešme sa skoro

V prvom polroku 2025 zaznamenal ESET na Slovensku pokles phishingu devätnásť percent v porovnaní s predchádzajúcim polrokom. Ohrozenie však nadobúda ďalší rozmer. 

„Kedysi bola znakom phishingového podvodu slabšia úroveň gramatiky. Dnes je to presne naopak. Vďaka nástrojom umelej inteligencie sú skôr podozrivé správy, ktoré sú bezchybné,“ upozorňuje Ondrej Kubovič, špecialistu na digitálnu bezpečnosť spoločnosti ESET. Phishingové útoky sú z roka na rok rozmanitejšie. V rámci jednej kampane sa využívajú viaceré formy a v neskorších fázach môžu byť doplnené aj o škodlivý kód.

Ohrozujú nás známe značky

Až 85 percent phishingových detekcií zo zariadení ESET bolo generických, čiže systém skúmal, či správa alebo odkaz nesú typické znaky phishingu. Ide najmä o falošné prihlasovacie okná do rôznych online služieb, pričom často imitujú produkty spoločnosti Microsoft. “Vidíme ale aj podvodné weby, formuláre či dokumenty, ktoré sa z obete snažia vylákať údaje,“ hovorí Ondrej Kubovič

V prvej desiatke najčastejšie napodobňovaných značiek pri phishingu sa objavujú najmä krypto peňaženka MetaMask a známe služby ako DHL, WeTransfer, Telegram či Slovenská pošta.

Chránia nás aj technológie

V prípade ochrany pred phishingom zdôrazňuje Tomáš Vobruba, vedúci bezpečnostný inžinier Check Point nevyhnutnosť viacstupňovej kontroly. Prvým krokom je kontrola e-mailu, v prípade podozrenia okamžité blokovanie alebo presun do “junku”.  A ak si používateľ už klikne na nejaký odkaz, linka by mala prejsť prísnou kontrolou.  

NexGen, čiže firewall ďalšej generácie, chráni sieťovú prevádzku a blokuje útoky ešte predtým, než dorazia na koncové zariadenia. Antivírus zas kontroluje súbory a procesy priamo na zariadení.

Ak ide o ochranu počítačov, producentom bezpečnostného softvéru sa už podaril kus dobrej roboty. Ale Tomáš Vobruba nám dáva znepokojivú otázku: “Kde všade si čítate firemné maily a akú ochranu máte na mobile?”

Ohrozujú nás ľudské chyby

Prevažná väčšina kybernetických útokov sa začína práve cez koncového používateľa cieleným alebo masovým phishingom. Je to najjednoduchšia cesta pre útočníkov.

Zvyšovanie bezpečnostného povedomia je tak v podstate nevyhnutným bezpečnostným opatrením. Prakticky neexistuje iný účinný spôsob, ako túto hrozbu zlyhania ľudského faktoru ošetriť. “Ak sa firmy spoliehajú iba na technológie, je to krutý omyl,” hodnotí povedomie Richard Kiškováč autor e-learningových kurzov Elkan.

Bolestivo sa posúvame

Po kyberútokoch, ktoré mali veľký verejný ohlas, sa situácia mení. Pozornosť a rozpočty sa postupne presúvajú aj na zvyšovanie bezpečnostného povedomia.

Preto je úlohou lektorov a kurzov prelomiť komunikačnú bariéru. “Väčšina manažérov bezpečnosti by chcela mať z koncových používateľov špecialistov bezpečnosti, ale to nie je možné. Tieto prehnané očakávania kyberprofesionálov majú väčšinou za následok antagonistický vzťah medzi bezpečnosťou a používateľmi.

“V našich programoch sa snažíme používateľov motivovať najmä k ochrane vlastných aktív s tým, že toto správanie prenesú aj do firemného prostredia,” vysvetľuje Richard Kiškováč. Pri koncových používateľoch sa dá prakticky dosiahnuť, že sa naučia nereagovať panicky na podnety a premyslieť si, čo urobia.

Svitá nám

Zvýšený záujem zo strany zamestnávateľov o interné tréningy indikuje aj skúsený lektor Miroslav Havelka spoločnosti Laudeo.  „Pri externých školeniach o kyberbezpečnosti patrí kapitola o phishingu medzi tie najviac žiadané, najmä reálne príklady. Dôvodom nie je ani tak zákonná regulácia, ale skôr skúsenosti účastníkov alebo organizácie. Tie sú priame aj sprostredkované.

Účastníci školení si čoraz viacej uvedomujú, že phishing a jeho varianty už nie sú tak jednoducho odhaliteľné a že prestávajú byť schopní ich rozpoznávať.

Badať už aj koniec doteraz rozšírenej predstavy, že „stačí sa pozrieť na názov odosielateľa emailu a hľadať gramatické chyby“. Doba naivného phishingu je za nami.    

Tí najlepší vynikajú aj v bezpečnosti

Medzi znalé a zodpovedné sektory v kyberbezpečnostnej osvete sa radia bankovníctvo, telekom, IT firmy aj energetika a pokroky hlási zdravotníctvo. Rezervy vidia lektori vo verejnej správe, v ťažkom priemysle či stavebníctve a v malých firmách.

E-learningové vzdelávanie vrátane phishingových by mali realizovať všetky organizácie. “Špeciálne to odporúčame organizáciám, ktoré pracujú s citlivými údajmi a súčastne zamestnávajú pracovníkoch rôznych kvalifikácií,” prízvukuje Benjamín Würfl a vysvetľuje princípy, na ktorých sú postavené efektívne tréningy.

Takto sa to robí

Spoločnosť Eviden má špecializovaný tím, ktorý sa venuje realizácii phishingových kampaní. Prax ukázala, že najefektívnejšie výsledky prinášajú kampane nastavené na mieru konkrétnemu zákazníkovi. Využívajú sa pritom e-maily, ktoré napodobňujú bežnú firemnú komunikáciu alebo služby, ktoré zamestnanci reálne používajú.

Mimoriadna pozornosť sa venuje ladeniu kurzu. Nastaví sa minimálny čas, ktorý musia zamestnanci stráviť štúdiom obrazovky a obmedzuje sa “preskočeniu dopredu”.

Otázky v záverečnom teste sa menia a test zamedzuje tomu, aby si zamestnanci zdieľali správne odpovede. V dobe masívneho využívania ChatGPT je samozrejme výzvou vymyslieť otázky tak, aby si ich zamestnanec nezistil pomocou AI.

Máme tu dva scenáre

Pesimistický scenár v phishingu sa podľa skúseností Miroslava Havelku už začal. Bežný používateľ už napríklad nedokáže odlíšiť videohovor člena rodiny v reálnom čase od reality. Sofistikovanosť útokov s vysokou mierou premysleného psychologického nátlaku sa neustále zvyšuje. „Dosahy vidím najmä v tom, že nikto nebude veriť v kyberpriestore skoro ničomu.“

Už teraz je bežnou praxou nedvíhať telefónne hovory z neznámych čísiel. Čo je vlastne paradoxne zároveň - ten optimistický scenár.