Když se řekne „phishing", většina lidí si představí krkolomnou češtinu, podezřelou adresu odesílatele a nabídku milionového dědictví od nigerijského prince. Tahle představa je ale asi tak aktuální jako vytáčený internet. Dnešní phishing je personalizovaný, gramaticky bezchybný a občas vám dokonce zavolá hlasem vašeho šéfa.
A pokud si myslíte, že se vás to netýká – statistiky říkají něco jiného.
Čísla, která by vám mohla zkazit den
Phishing je dnes jednoznačně nejčastějším způsobem, jak se útočníci dostanou dovnitř. Podle Verizon Data Breach Investigations Report 2025 stojí phishing za 57 % všech sociálně inženýrských incidentů. IBM Cost of a Data Breach Report 2025 ho označuje jako nejčastější vstupní vektor průniků (16 % všech případů) – a průměrné náklady na průlom, který začal phishingem, vyčísluje na 4,8 milionu dolarů.
Ale to není všechno. Anti-Phishing Working Group zaznamenala v druhém čtvrtletí 2025 přes 1,13 milionu phishingových útoků – nejvíce od konce roku 2023. FBI Internet Crime Complaint Center evidoval v roce 2024 celkem 859 532 stížností na kyberkriminalitu se ztrátami přes 16,6 miliardy dolarů, meziročně o třetinu víc. A BEC útoky (Business Email Compromise) – tedy podvržené e-maily jménem vedení – generovaly ztráty přes 2,77 miliardy dolarů na 21 442 hlášených incidentech.
V Česku situace není o moc veselejší. NÚKIB ve svých čtvrtletních přehledech za rok 2025 opakovaně evidoval phishingové a spear-phishingové útoky jako jednu z hlavních kategorií incidentů. Za celý rok 2024 evidoval rekordních 268 incidentů a v roce 2025 trend pokračoval – desítky incidentů měsíčně, přičemž phishing a ransomware šly stabilně ruku v ruce.
Phishing se přestěhoval z e-mailu – a naučil se mluvit
Tradiční phishingový e-mail je dnes jen jeden kanál z mnoha. Útočníci v roce 2026 pracují multikanálově – a to je přesně to, co dělá obranu tak složitou.
Spear-phishing: cílená střela
Na rozdíl od hromadného phishingu, kde útočník rozešle milion e-mailů a doufá, že někdo klikne, spear-phishing míří na konkrétního člověka. Útočník si nastuduje LinkedIn profil, firemní web, sociální sítě – a pak napíše e-mail, který vypadá, jako by ho poslal váš kolega z vedlejší kanceláře.
Podle Proofpoint jen polovina zaměstnanců dokáže správně definovat, co spear-phishing vlastně je. A to je problém, protože spear-phishing je dnes vstupní branou pro naprostou většinu cílených útoků na firmy.
Vishing: když vám zavolá „šéf"
Vishing – voice phishing – zažil v posledním roce doslova explozi. CrowdStrike hlásí nárůst vishingových útoků o 442 % mezi první a druhou polovinou roku 2024. A není to náhoda – umělá inteligence dnes dokáže naklonovat lidský hlas z pouhých tří sekund nahrávky.
Jak to vypadá v praxi? Útočník najde na YouTube vystoupení vašeho CEO na konferenci, naklonuje jeho hlas, zavolá na účetní oddělení a požádá o urgentní převod. A ne, to není sci-fi – přesně takhle v roce 2019 přišla britská energetická firma o 243 000 dolarů. V lednu 2024 pak firma Arup ztratila 25 milionů dolarů po videohovoru, na kterém byli všichni účastníci deepfake – generovaní umělou inteligencí.
Smishing a quishing: SMS a QR kódy
Smishing (phishing přes SMS) roste meziročně o 38 %. A nový fenomén – quishing – využívá QR kódy. Nalepte podvržený QR kód na firemní tiskárnu, na zídku u recepce nebo ho pošlete jako „odkaz na fakturu" – a máte oběť.
Až 70 % mobilních phishingových útoků probíhá přes smishing. A mobilní zařízení jsou obecně hůře chráněna než firemní počítače – menší obrazovka ztěžuje rozpoznání podvržené URL, a spousta lidí na telefonu jednoduše kliká rychleji.
AI mění pravidla hry
Tohle je asi nejdůležitější posun posledních dvou let. Generativní AI dala útočníkům superschopnosti – a obrana za nimi zaostává.
Dokonalý jazyk, dokonalá manipulace
AI phishingové e-maily mají oproti těm lidsky psaným čtyřnásobně vyšší úspěšnost prokliků. V akademické studii z roku 2025 dosáhly AI-generované phishingové e-maily 54% míry prokliků oproti 12 % u e-mailů psaných lidmi. Míra odevzdání přihlašovacích údajů u AI phishingu je 33,6 % oproti 7,5 % u tradičních útoků.
Proč? Protože AI generuje bezchybnou češtinu (nebo jakýkoliv jiný jazyk), přizpůsobí tón komunikace dané firmě, personalizuje obsah na míru příjemci a navíc dokáže automaticky generovat tisíce variant, aby prošla spamovými filtry.
Podle ENISA více než 80 % phishingových e-mailů v roce 2025 využívalo nějakou formu AI. A na dark webu si dnes koupíte AI phishingový kit za 20 dolarů (zdroj: Deloitte).
Deepfake: vidím, slyším – a je to podvod
Deepfake útoky na firmy vzrostly o 3 000 % v roce 2023 a trend pokračuje. Už to nejsou jen klonované hlasy – jde o celé videokonference s deepfake účastníky.
Případ Arup z ledna 2024 je toho nejlepším příkladem: zaměstnanec hongkongské pobočky se zúčastnil videohovoru s „CFO" a dalšími „kolegy". Všichni vypadali a zněli přesvědčivě. Zaměstnanec autorizoval 15 převodů v celkové hodnotě 25 milionů dolarů. Každý člověk na tom hovoru byl deepfake.
Rob Greig, globální CIO firmy Arup, to okomentoval slovy, že počet a sofistikovanost těchto útoků v posledních měsících prudce roste. A v březnu 2025 dopadl podobný útok na singapurskou nadnárodní firmu – tentokrát za půl milionu dolarů.
Co říká zákon (a proč to není jen formalita)
Zákon o kybernetické bezpečnosti č. 264/2025 Sb. a prováděcí vyhlášky berou lidský faktor smrtelně vážně. A je to logické – když většina úspěšných útoků začíná tím, že někdo někam klikne nebo někomu něco řekne, tak školení zaměstnanců není „nice to have", ale základ, na kterém stojí celá bezpečnost.
Co konkrétně vyžaduje zákon
Režim vyšších povinností (vyhláška 409/2025 Sb., § 10):
Firma musí stanovit plán rozvoje bezpečnostního povědomí, který zahrnuje poučení vrcholného vedení o povinnostech a bezpečnostní politice (ano, vedení se taky musí školit), vstupní a pravidelná školení pro všechny uživatele, administrátory a bezpečnostní role, odborná školení pro bezpečnostní specialisty a pravidelné ověřování bezpečnostního povědomí zaměstnanců v souladu s jejich pracovní náplní. Navíc je firma povinna vést přehledy o provedeném školení – kdo, co a kdy absolvoval.
Režim nižších povinností (vyhláška 410/2025 Sb., § 5):
I menší firmy musí zajistit poučení vrcholného vedení, vstupní a pravidelná školení v kybernetické bezpečnosti a odborná školení pro administrátory a osobu pověřenou kybernetickou bezpečností.
Proč na tom záleží
Podstatné je, že zákon neříká „udělejte jednou ročně přednášku a máte klid". Říká pravidelně ověřujte bezpečnostní povědomí. A to je zásadní rozdíl. Jednorázové školení snižuje náchylnost k phishingu jen o 8 %. Pravidelné školení s průběžným testováním ji sníží o 23 % – a organizace, které provádějí kontinuální trénink, dosahují míry prokliků na phishing kolem 1,5 %.
Jinými slovy: pokud školení děláte jen proto, aby jste měli čárku, hazardujete. Pokud ho děláte proto, aby fungovalo, chráníte firmu.
5 praktických kroků, jak se bránit
1. Školte pravidelně – a prakticky
Zapomeňte na dvouhodinovou PowerPoint prezentaci jednou za rok. Funguje microlearning – krátké, časté lekce zaměřené na aktuální hrozby. Zaměstnanec, který právě viděl 3minutové video o tom, jak vypadá moderní vishing, bude příští den u telefonu ostražitější než ten, který před půl rokem absolvoval celodenní školení.
2. Testujte phishingovými simulacemi
Phishingové simulace jsou nejúčinnější způsob, jak zjistit, kde máte slabiny. Posílejte testovací phishingové e-maily, měřte míru prokliků a míru nahlášení. Důležité: nikdy nepořádejte „hon na čarodějnice". Cílem je učit, ne trestat. Kultura, kde se kliknutí na testovací phishing řeší školením místo výtkou, produkuje zaměstnance, kteří podezřelé e-maily hlásí – a to je přesně to, co chcete.
3. Zaveďte verifikační protokoly pro citlivé operace
Pravidlo číslo jedna: žádný finanční převod nad stanovenou částku se neautorizuje na základě jednoho e-mailu, jednoho hovoru nebo jednoho videa. Vždy ověřte přes druhý kanál – pokud vám „šéf" zavolal, ověřte e-mailem. Pokud přišel e-mail, zavolejte zpátky na známé číslo. Zavedení víceosobní autorizace pro platby nad určitou hranici je dnes nutnost, ne luxus.
4. Nasaďte technické kontroly
Vícefaktorová autentizace (MFA) – zákonem vyžadovaná a absolutní základ. Ale i MFA má své limity – prompt bombing (zahlcení uživatele MFA požadavky) je reálná technika. Proto preferujte phishing-resistant metody jako passkeys nebo FIDO2 tokeny. K tomu e-mailová ochrana s AI detekcí, sandbox pro přílohy a DMARC/SPF/DKIM pro ověření odesílatelů.
5. Vytvořte kulturu hlášení
Zaměstnanec, který nahlásí podezřelý e-mail, je hrdina – ne prudič IT oddělení. Zjednodušte nahlašování (tlačítko „nahlásit phishing" přímo v e-mailovém klientu), odměňujte aktivitu a pravidelně komunikujte výsledky: „Minulý měsíc jste nahlásili 47 podezřelých e-mailů, z toho 12 bylo skutečných útoků. Díky vám jsme je zastavili."
Co s tím dál
Sociální inženýrství se v roce 2026 posunulo na úroveň, kterou si většina lidí nedokáže představit. AI generuje dokonalé phishingové zprávy, klonuje hlasy a tváře, a útoky přicházejí ze všech kanálů najednou. Bránit se čistě technologicky nestačí – klíčový je lidský faktor.
A přesně proto zákon o kybernetické bezpečnosti klade na školení zaměstnanců takový důraz. Není to byrokracie – je to nejúčinnější investice do bezpečnosti, kterou můžete udělat.
Nevíte, kde začít? Kraita Cyber One vám pomůže nejen s gap analýzou a dokumentací, ale i s identifikací oblastí, kde vaši zaměstnanci potřebují posílit povědomí. Vyzkoušejte demo nebo si domluvte nezávaznou konzultaci.
Zdroje:
- Verizon Data Breach Investigations Report 2025
- IBM Cost of a Data Breach Report 2025
- FBI Internet Crime Complaint Center – 2024 Annual Report
- Anti-Phishing Working Group – Phishing Activity Trends Report Q1–Q2 2025
- CrowdStrike – Vishing Growth Statistics 2024
- ENISA – Social Engineering & AI Forecast 2025
- Keepnet Labs – Phishing Statistics 2026
- NÚKIB – Čtvrtletní přehled hrozeb Q4/2025
- NÚKIB – Zpráva o stavu kybernetické bezpečnosti ČR za rok 2024
- World Economic Forum – Lessons from Arup $25M Deepfake Attack
- Hunto AI – Phishing Attack Statistics 2026
- Jericho Security – Deepfake Phishing & AI-Powered Social Engineering 2025
- Zákon č. 264/2025 Sb., o kybernetické bezpečnosti
- Vyhláška č. 409/2025 Sb. (režim vyšších povinností), § 10
- Vyhláška č. 410/2025 Sb. (režim nižších povinností), § 5