Cestu do kyberpekla dláždia dobré úmysly
Útočníci už nečakajú, či kliknete na podozrivý odkaz. Vedú vás krok za krokom cez zdanlivo legitímny proces, ktorý obíde bezpečnostné kontroly a prinútia vás spustiť škodlivý kód dobrovoľne.
Sociálne inžinierstvo sa definitívne presunulo do celého ekosystému – prepája e-maily, telefonáty, chatovacie aplikácie aj presvedčivú personalizáciu v reálnom čase.
Niekto nás hackol
Podľa vedúcej Ůstavu experimentálnej psychológie CSPV SAV Vladimíry Čavojovej sa phishing spolieha oveľa viac na zneužívanie ľudskej psychológie ako na nejakú technickú sofistikovanosť. Už nejde o masové, primitívne kampane, ale o sofistikované, interakčne riadené scenáre. Výsledok? Milióny pokusov o kompromitáciu a rastúci počet incidentov s priamym finančným dosahom na firmy.
Pre manažment to znamená jediné: sociálne inžinierstvo už nie je IT problém. Je to strategické biznis riziko.
Trápi vás phishing?
Ján Adamovský riaditeľ bezpečnosti v Slovenskej sporiteľni najprv chvíľu rozmýšľa a potom spontánne hovorí: „Ak sa na to pozerám z hľadiska ochrany peňazí klientov, podvody cez sociálne inžinierstvo ma trápia na stupnici od jedna po desať, tak – jedenásť.“
Preložené do reči čísel, 90 percent strát klientov tvoria investičné podvody, kde obeť pošle peniaze cez inštrukcie podvodníka. Je za tým často strach o blízkych, silné emócie, ale aj nádej na vysoký zisk a vábivé argumenty.
Nárast a sofistikovanosť phishingových kampaní sú také veľké, že pokiaľ v Slovenskej sporiteľni pred piatimi rokmi riešili desiatky prípadov mesačne, dnes sú to už desiatky prípadov denne. Tu však Ján Adamovský delikátne končí diskusiu a hovorí: „Banka dokáže zabrániť až dvom tretinám neoprávnených transakcií.“
Ako pribudli *shingy
Kedysi stačilo hovoriť o podvodných mailoch. Potom pribudli podvodné telefonáty, správy na všetkých platformách, videá, aj QR kódy. Z phisingu sa stal cielený, čiže spearphishing. Dnes už slovník nestačí a odborníci hovoria o sociálno-manipulatívnych útokoch.
A nech sa pozriete z akéhokoľvek uhla, trend je rastúci. “Narastá počet sociálno-manipulatívnych útokov, počet poškodených podobnými podvodmi a samozrejme narastá objem spôsobených škôd,” vypočíta súdny znalec Jaroslav Oster zo spoločnosti Info consult. A rastú nielen materiálne škody, ale aj tie sociálne, vrátane spoločenských dosahov.
Kde to bolí najviac
Ak hodnotíme, kto a kde sme naviac zraniteľní, ide o rovnicu s mnohými premennými. „Vývoj reality za posledné roky nám jasne ukazuje, že zraniteľný je v princípe každý – od jednotlivcov, cez štátnu správu a samosprávu až po komerčný sektor,“ hovorí Jaroslav Oster.
Ak však zvažujeme všetky formy manipulatívnych útokov, tak najviac zraniteľní sú seniorní používatelia. A prekvapivo aj mladí ľudia, ktorí začínajú využívať on-line nákupné platformy či bankové aplikácie často bez základných znalostí bezpečnosti.
Najhoršie a najlepšie
Presvedčenie manažmentov rôznych inštitúcií i firiem v duchu „nám nič nehrozí, roky sa nič nestalo, máme šikovných a vzdelaných ľudí“ je podľa Jaroslava Ostera takmer likvidačné.
Povinnosť chrániť používateľov pred sofistikovanou manipuláciou majú už dnes všetci, od zamestnávateľov, poskytovateľov on-line služieb, až po jednotlivcov. Efektívnejšia cesta k zvyšovaniu odolnosti než je zvyšovanie bezpečnostného povedomia, neexistuje.
Dlhoročne v tejto téme nesú pomyselnú vlajku organizácie tretieho sektora a nadšenci. Česť za snahy i výsledky patria nesporne bankovému sektoru a telekomunikačným operátorom.
Koniec obviňovania
V minulosti sme mohli krútiť hlavou nad tým, ako mohol užívateľ kliknúť na zjavný podvod s gramatickými chybami. V roku 2026 toto "právo" strácame. Riaditeľ divízie bezpečnosti a rizík Aliter Technologies Michal Srnec to hodnotí stručne: „Hranica medzi realitou a fikciou sa zotrela.“ Spearphishing, čiže cielený phishing má až umelecké parametre.
Skúste si úprimne odpovedať: Ako rozpoznáte kvalitný spearphishing, ktorý využíva kompromitovanú schránku, od reálnej kampane známej značky? Odpoveď je, že voľným okom často nijako. Kyberútoky sú dnes na nerozoznanie od legitímnej komunikácie.
Rozhodujú minúty
Doba, kedy príprava cieleného útoku trvala hodiny, je preč. Dnes sa rozprávame o minútach. Umelá inteligencia rapídne zrýchlila tvorbu spearphishingových emailov. Sú nielen presnejšie a adresnejšie, ale aj polymorfné. Útočníci vedia generovať celé kampane vo veľkých objemoch a okamžite ich upravovať podľa potreby.
Správne napísaný, personalizovaný a profesionálne vyzerajúci spearphishingový email má dnes približne štvornásobnú šancu na úspech oproti známym podvodom typu Nigérijský princ.
A prečo phishingové emaily stále fungujú?
Pretože útočia na ľudskú psychiku, nie na technológie. „A ľudská psychika sa za posledných desať rokov nezmenila, na rozdiel od firewallov a antivírusov,“ dodáva Denis Ivan zo spoločnosti Citadelo.
A ako skúsený penetračný tester vám hneď dáva otázku: Nepodržali by ste dvere osobe, ktorá má plné ruky dokumentov, a nemali pritom dobrý pocit, že ste spravili dobrý skutok? Teraz si predstavte, že osoba, ktorej ste pomohli, sa práve infiltrovala do vášho office priestoru bez prístupovej karty. Presne takto funguje sociálne inžinierstvo. Využíva naše prirodzené sklony pomáhať, dôverovať a reagovať rýchlo.
Všetko do seba zapadá
„V SOC-u nás niekedy až mrazí z toho, ako perfektne je dnešný phishing ušitý na mieru“ hovorí Ján Linhart zo spoločnosti Binary Confidence. Phishing využíva informácie, ktoré sami zverejňujeme online, prevažne na sociálnych sieťach, a za pomoci AI píše bez chýb. Prichádza z adries, ktoré netrénované oko ľahko zamení za legitímne.
Aj keď sú v SOC tíme analytici možno až chorobne paranoidní a zvedaví, priznávajú, že z času na čas nad kvalitou spracovania žasnú. Niekedy vidia niečo, čo do bežného dňa zapadá až príliš dokonalo na to, aby sme to bez hlbšej analýzy len tak zahodili.
Phishing sa väčšinou opisuje ako technický útok, no bezpečnostní profesionáli v prvej línii vedia, že ide predovšetkým o zneužitú psychológiu. Za incidentom, ktorý končí na forenznej analýze, zvyčajne nie je „hlúposť“ obete, ale jej vyčerpanie, súhra okolností, stres alebo moment, keď jednoducho potrebovala mať veci rýchlo hotové. Útočníci už dnes nehackujú technológie samotné, hackujú našu ľudskosť.