Phishing zůstává jedním z nejčastějších způsobů, jak útočníci získávají přístup do firemních sítí. Napodobuje běžnou každodenní obchodní komunikaci, takže je ideální technikou pro nepozorované shromažďování cenných obchodních informací. V reportu britské vlády Cyber Security Breaches Survey 2025 byl phishing nejčastějším typem úniku informací nebo útoku nahlášeným firmami, které incidenty identifikovaly, přičemž postihl 85% z nich, což odpovídá 37% všech firem celkem.
Školení o kybernetické bezpečnosti musí být firemním mandátem, nikoli pouze splněním úkolu v rámci shody s předpisy. Jeden úspěšný pokus o phishing může odhalit přihlašovací údaje, umožnit přístup do interních systémů a vytvořit problémy, které se rozšíří daleko za doručenou poštu jednoho zaměstnance.
Problém je v tom, že mnoho organizací se stále spoléhá na jednorázové osvětové kampaně, přestože se phishing neustále mění. Efektivnější program může zaměstnancům poskytnout opakované procvičování, jasnější návyky při hlášení a podpůrné kontrolní mechanismy, které zmírňují dopad chyb.
Jak vypadá phishing v podnikovém kontextu
Firemní phishing se vyvinul a už to nejsou jen zjevně falešné e-maily plné pravopisných chyb. V praxi se zaměstnanci mnohem častěji setkávají s realisticky vyhlížejícími pokusy, jako jsou:
- Výzvy k ověření účtu
- Oznámení o sdílených dokumentech
- Přihlašovací stránky běžných firemních platforem
- Schvalování faktur
- Aktualizace z personálního oddělení
- Zprávy od důvéryhodných dodavatelů nebo interních vedoucích pracovníků.
Pokud člen týmu odpoví, mohou útočníci využít shromážděné informace o zaměstnancích nebo společnostech k tomu, aby jejich zprávy působily přesvědčivěji a realističtěji, zejména v cílenějších kampaních.
Spear phishing, vydávání se za vedoucí pracovníky a získávání přihlašovacích údajů
Školení o povědomí o phishingu musí připravit týmy na několik vzorců najednou. Spear phishing je jednou z nejběžnějších variant phishingu. Namísto odesílání obecné zprávy tisícům příjemců útočník přizpůsobí e-mail konkrétní roli, projektu, kolegovi nebo dodavatelskému vztahu.
Zpráva působí věrohodně, protože je postavena na něčem, co by zaměstnanec mohl reálně očekávat. Tento druh cílení je často přesvědčivější díky informacím shromážděným z firemních webů, veřejných profilů nebo jiných online zdrojů.
Další variantou phishingu je vydávání se za vedoucí pracovníky, někdy označované jako podvod na generálního ředitele (CEO fraud). Zde útočník napodobuje vedoucího představitele nebo důležitou zainteresovanou stranu, aby vytvořil naléhavost ohledně platby, souboru nebo požadavku na přihlašovací údaje, a tlačil tak na personál, aby převedl peníze nebo informace, pokud nejsou dodrženy běžné ověřovací procesy.
Třetím vzorcem je získávání přihlašovacích údajů. Při těchto útocích je zaměstnanec naveden na falešnou přihlašovací stránku navrženou tak, aby zachytila uživatelská jména, hesla a někdy i jednorázová hesla (OTP) kódy.
Školení o phishingu musí odrážet skutečné pracovní postupy v podniku, namísto poskytování obecných rad. Mnoho phishingových stránek je vytvořeno tak, aby připomínaly nástroje, které zaměstnanci již každý den používají.
Proč jsou běžné pracovní zprávy tak účinné
Phishing zůstává v organizacích účinný, protože se často prolíná s každodenním provozem. Falešná výzva k přihlášení musí působit povědomě jen tak dlouho, aby někdo jednal na autopilota. Totéž platí pro zprávy od dodavatelů, oznámení o sdílených dokumentech nebo naléhavé interní požadavky.
Proto by se školení nemělo zaměřovat pouze na podezřelé formulace nebo špatnou gramatiku. Zaměstnanci musí také pochopit, jak útočníci zneužívají běžné způsoby práce. Zamyslete se nad tím, jak funguje vaše organizace a jak můžete zaměstnancům pomoci rozpoznat požadavky, které vybočují z běžných procesů, zejména pokud se jedná o peníze, přihlašovací údaje nebo citlivé informace.
Příklady nedávných úniků informací
Nedávné zprávy o únicích informací potvrzují skutečnost, že phishing v rámci firem nyní sahá mnohem dále než jen k jednoduchým podvodům v doručené poště.
Podle nástroje společnosti Proton Data Breach Observatory se cílem hackerské skupiny ShinyHunters, která se zabývá kriminálním vydíráním, stala společnost Hallmark Cards vyrábějící přáníčka. Skupina získala záznamy patřící společnosti Hallmark Cards ze systému Salesforce a stanovila firmě termín pro zaplacení výkupného. Nakonec skupina zveřejnila 2,8 milionu unikátních záznamů.
Skupina ShinyHunters je velmi aktivní a v posledních měsících se zaměřila na mnoho významných podniků. V lednu 2026 byla značka oděvů Canada Goose spojena s únikem přibližně 600 000 záznamů o zákaznících. Data pocházela z úniku u třetí strany, ke kterému došlo v srpnu 2025.
Tyto příklady jsou užitečné, protože ukazují, jak phishing v dnešním obchodním prostředí vypadá: nejde jen o klamání v doručené poště, ale o útoky zaměřené na dodavatele, systémy identit, interní přístup a vztahy založené na důvěře, na které organizace každý den spoléhají.
Proč samotná osvěta nestačí
Povědomí o phishingu je důležité, ale samo o sobě nestačí. Zaměstnanci nedělají chyby jen proto, že jim chybí informace. Dělají je také proto, že jsou zaneprázdněni, rozptýleni, pod tlakem nebo se rychle pohybují v pracovních postupech, kde může phishingová zpráva na první pohled snadno projít jako legitimní.
Proto by školení nemělo být postaveno na myšlence, že každý zaměstnanec dokáže rozpoznat každý pokus o phishing. Organizace se nemohou spoléhat pouze na detekci uživateli. Některé útoky přesto proniknou, což znamená, že technické kontroly, jasné procesy a vzdělávání uživatelů musí spolupracovat.
Silnější program školení o povědomí o phishingu je postaven na této realitě. Pomáhá zaměstnancům rozpoznat běžné varovné příznaky, pozastavit se, když něco nepůsobí správně, rychle nahlásit incident a pracovat v systémech, které usnadňují izolaci jedné chyby. Přirozeně se také pojí s připraveností na incidenty.
Pokud někdo klikne na škodlivý odkaz nebo sdílí přihlašovací údaje, organizace potřebuje rychlou a jasnou cestu pro reakci. Školení se stává mnohem efektivnějším, když zaměstnanci vědí, co se stane po podání hlášení a jakou roli hrají. Průvodce společnosti Proton pro reakci na incidenty může vaší organizaci pomoci sestavit plán.
Jak vypadá efektivní program školení o povědomí o phishingu?
Efektivní program školení o povědomí o phishingu není postaven na jediném výročním sezení a několika zastaralých příkladech. Je průběžný, praktický a navržený podle toho, jak lidé skutečně pracují. To znamená pravidelné upevňování znalostí, realistické scénáře a zpětnou vazbu, která zaměstnancům pomáhá postupem času budovat lepší úsudek.
V praxi by se povědomí o phishingu mělo objevovat ve více okamžicích. Mělo by být součástí onboardingu, doškolovacích kurzů, krátkých připomínek založených na scénářích a přezkumů incidentů, nikoli něčím, co zaměstnanci uvidí jednou a zapomenou. Musí také odrážet skutečné vystavení rizikům.
Někdo, kdo se zabývá fakturami, podporou vedení, komunikací s dodavateli, privilegovaným přístupem nebo citlivými záznamy, bude pravděpodobně čelit jiným druhům phishingového tlaku než někdo v méně rizikovém pracovním postupu. Pokyny NCSC pro phishing tuto realitu odrážejí tím, že uvádějí, že zaměstnanci s přístupem k citlivým informacím, finančním aktivům nebo IT systémům mohou být cílem útoků častěji.
Praxe musí být také správně využívána. Simulovaný phishing může být užitečný, ale ne tehdy, když se zvrhne v hledání viníků. Špatně zvládnuté simulace mohou poškodit důvěru a odradit lidi od hlášení chyb, pokud mají pocit, že jsou spíše chytáni při činu, než aby jim byla poskytnuta podpora.
Silnější program využívá simulace opatrně, poskytuje okamžitou zpětnou vazbu a postupně zvyšuje obtížnost. Nesnaží se dokázat, že zaměstnance lze snadno oklamat. Pomáhá jim budovat schopnost rozpoznávat vzorce, vytvářet návyky při hlášení a získávat větší jistotu v reálných situacích.
Pět varovných příznaků phishingu, které zaměstnanci stále přehlížejí
Mnoho zaměstnanců zná klasické varovné signály, ale stále jim unikají jemnější indicie, které se objevují při skutečných obchodních útocích. Školení o phishingu je mnohem užitečnější, když lidi učí rozpoznávat vzorce, které odpovídají jejich každodenní práci.
1. Zpráva, která odpovídá pracovnímu postupu, ale mění kanál nebo naléhavost
Nejúčinnější phishingové e-maily nevypadají vůbec náhodně. Podobají se žádostem o proplacení faktur, sdíleným dokumentům, aktualizacím mezd nebo oznámením o přihlášení, jejichž obdržení zaměstnanci očekávají.
Co se mění, je naléhavost, utajení nebo postup. Útočník chce, aby cíl přeskočil běžné kontroly. Pokyny NCSC výslovně varují, že útočníci zneužívají obchodní procesy a požadavky, včetně žádostí o informace nebo neoprávněných plateb.
2. Důvěryhodné jméno odesílatele skrývající špatnou doménu nebo podvržený zdroj
Zaměstnanci se často soustředí na zobrazované jméno a nikoli na úplnou adresu, cestu odpovědi nebo doménu. To je jeden z důvodů, proč jsou mechanismy proti podvržení důležité, ale školení musí lidi stále učit zpomalit, když se známá značka nebo kolega zdají být něčím podezřelí.
NCSC doporučuje organizacím ztížit podvržení e-mailu pomocí kontrolních mechanismů, jako jsou Domain-based Message Authentication, Reporting, and Conformance (DMARC), Sender Policy Framework (SPF) a DomainKeys Identified Mail (DKIM). Tyto kontroly ověření e-mailu společně pomáhají přijímajícím systémům prověřit, zda zpráva skutečně pochází z domény, za kterou se vydává.
3. Přihlašovací stránka, která vypadá dostatečně normálně
Stránky pro sběr přihlašovacích údajů nemusí vypadat dokonale. Stačí, aby působily dostatečně povědomě, dokud zaměstnanec nezadá uživatelské jméno a heslo. V praxi může být největším vodítkem spíše kontext než vzhled: proč se tato žádost o přihlášení objevuje právě teď a proč touto cestou?
4. Požadavek, který upřednostňuje rychlost před ověřením
Vydávání se za vedoucí pracovníky, podvody s fakturami a podvody s dodavateli často sázejí na naléhavost. Zpráva je sestavena tak, aby ověření působilo nevhodně nebo neloajálně. Kvalitní školení o phishingu by mělo učit, že nečekaná naléhavost není jen podezřelým jazykem, ale signálem k přepnutí z režimu odpovídání na e-mail do režimu ověřování.
5. Situace, kdy je nahlášení nepříjemné
Jedním z nejvíce přehlížených varovných signálů je spíše interní než technický faktor: zaměstnanec si všimne něčeho zvláštního, ale váhá to nahlásit, protože si není jistý, má příliš mnoho práce nebo se obává, že bude vypadat neopatrně.
NCSC varuje před káráním uživatelů, kteří mají potíže s rozpoznáním phishingu, protože strach z postihů potlačuje hlášení incidentů. Zdravé programy proto učí zaměstnance, že včasné vyjádření obav je užitečné, i když se ukáže, že zpráva byla neškodná.
Co se stane, když školení selže
Když školení o phishingu selže, škody se často měří v uniklých přihlašovacích údajích dříve, než se projeví kdekoli jinde. Uživatel zadá heslo do falešného portálu, schválí nečekanou výzvu nebo sdílí detaily přihlášení prostřednictvím přesvědčivě vypadajícího interního požadavku. Od té chvíle už problémem není jen jedno rozhodnutí v doručené poště. Stává se z něj problém v oblasti řízení přístupu.
Zde je souvislost mezi phishingem a hygienou hesel naprosto zásadní. Pokud je stejné heslo používáno ve více službách, jedny kompromitované přihlašovací údaje se mohou stát cestou k e-mailu, nástrojům SaaS, cloudovým platformám nebo systémům správce. Pokud jsou sdílená přihlášení stále řešena neformálními nebo nekontrolovanými metodami, odpovědnost klesá ještě více.
Zpráva Protonu Data Breach Observatory Report uvádí, že jména a e-maily se objevují v 9 z 10 úniků informací, že 72 % úniků obsahuje kontaktní údaje a 49 % zahrnuje hesla. To znamená, že útočníci mají často přesně ten materiál, který potřebují k tomu, aby phishing působil přesvědčivěji a aby v případě úspěchu zneužili opakované používání hesel.
Nedávné příklady úniků ukazují totéž z jiného úhlu. V hlášeních úniků společnosti Proton se incidenty související s phishingem v roce 2026 nezastavily u kliknutí na odkaz; vyústily v přístup do sítě, interní odhalení a širší obchodní incidenty. Proto prevence phishingových útoků nemůže spočívat pouze v rozpoznávání ze strany zaměstnanců. Musí také omezit to, jak daleko se mohou ukradené přihlašovací údaje dostat, jakmile je jeden účet kompromitovaný.
Jedinečná hesla pro každou službu jsou v tomto případě jedním z nejjednodušších a nejhodnotnějších kontrolních mechanismů. Nezabrání sice pokusu o phishing, ale pomáhají zmírnit následky. Pokud je jedno heslo odcizeno, nemělo by odemknout pět dalších systémů.
Zabezpečený firemní správce hesel podporuje strategii kultury bezpečnosti. Proton Pass for Business je navržen tak, aby týmům pomáhal generovat a ukládat silná, jedinečná hesla pro každou službu, čímž snižuje pravděpodobnost, že se jedna úspěšná událost phishingu rozšíří napříč celou organizací.
Praktický model školení o phishingu pro zaměstnance
Nejlepší je nezačínat s obecnými školicími materiály, ale se způsobem, jakým vaše organizace skutečně funguje.
Zaměřte se nejprve na scénáře phishingu, kterým budou zaměstnanci pravděpodobně čelit: výzvy k přihlášení, vydávání se za dodavatele, schvalování plateb, oznámení o sdílených dokumentech, požadavky vedoucích pracovníků nebo útoky na poskytovatele identity. Školení se stává mnohem užitečnějším, když v něm lidé poznají svou vlastní pracovní realitu.
Hlášení musí být také jednoduché a bezpečné. Pokyny NCSC k phishingu jasně uvádějí, že by organizace měly uživatelům pomáhat identifikovat a hlásit podezřelé phishingové zprávy, zatímco Reporting Fraud Website(nové okno) slouží jako oficiální britská cesta pro hlášení phishingu a kybernetické kriminality. Zaměstnanci by měli vědět, kam podávat hlášení interně, co do nich zahrnout a co okamžitě udělat, pokud klikli na odkaz, zadali přihlašovací údaje nebo schválili přístup.
Školení by mělo být podpořeno kontrolními mechanismy, které snižují náklady na chyby. To zahrnuje filtrování e-mailů, ochranu proti podvržení (anti-spoofing), zabezpečené toky přihlášení, 2FA a důslednější hygienu hesel. Pokyny společnosti Proton pro firmy týkající se prevence phishingových útoků také poukazují na hodnotu jasných kanálů pro hlášení, opakovaného procvičování a sledování uniklých přihlašovacích údajů.
V neposlední řadě měřte více než jen kliknutí. Míra kliknutí při simulaci může být užitečná, ale míra hlášení, doba do nahlášení, vzorce opakovaných selhání a incidenty související s přihlašovacími údaji často poskytují jasnější obraz o tom, zda se odolnost zlepšuje. NCSC také doporučuje pečlivě zvážit metriky phishingu, aby organizace nakonec neodrazovaly od bezpečného hlášení.
Dokonalá detekce není možná, ale silnější reakce ano
Školení o povědomí o phishingu je nejúčinnější tehdy, když se oprostí od představy, že by zaměstnanci měli být schopni dokonale rozpoznat každý útok. Realističtějším cílem je vybudovat tým, který dokáže rozpoznat známé varovné příznaky, rychle nahlásit obavy a reagovat tak, aby zabránil eskalaci jedné chyby v širší incident.
To vyžaduje více než jen informace. Vyžaduje to opakované procvičování, příklady odrážející reálné role a pracovní postupy a jasné procesy, na které se zaměstnanci mohou spolehnout, když se jim něco nezdá. Vyžaduje to také kontrolní mechanismy, které sníží dopad krádeže přihlašovacích údajů v případě úspěšného phishingového pokusu. Z toho důvodu funguje školení zaměstnanců o phishingu nejlépe jako součást širší bezpečnostní kultury, nikoli jako samostatné cvičení na zvyšování povědomí.
Organizace, které úspěšně snižují riziko phishingu, mají tendenci kombinovat stejné prvky: praktické školení, jasné návyky při hlášení, lepší připravenost na incidenty a přísnější hygienu přihlašovacích údajů. Zdroje společnosti Proton o phishingových útocích a reakcích na incidenty posilují stejný princip: povědomí je mnohem účinnější, když je podpořeno systémy, které usnadňují potlačení kompromitovaného systému.
