Phishing 2026: nové triky útočníků
AI-generované maily, deepfake hovory, quishing a abuse cloudových domén. Jak rozpoznat aktuální phishing trendy a jak se technicky i organizačně bránit.
Phishingové útoky se za posledních dvanáct měsíců dramaticky proměnily. Kde dříve útočníci spoléhali na špatnou češtinu a podezřelé domény, dnes posílají bezchybně formulované e-maily generované pomocí AI a využívají legitimně znějící infrastrukturu. Podle Verizon DBIR 2024 ↗ figuruje lidský prvek (typicky phishing nebo sociální inženýrství) v 68 % průlomů, ENISA řadí phishing dlouhodobě jako nejčastější vstupní vektor pro cílený útok.
Hlavní trendy roku 2026
Pět nejvýraznějších změn, které sledujeme u našich klientů a které potvrzují i kvartální reporty Anti-Phishing Working Group (APWG) ↗:
- AI-generované spear phishingové kampaně cílené na konkrétní zaměstnance
- Deepfake hlasové hovory napodobující vedení firmy (CEO fraud, vishing)
- Zneužívání legitimních cloudových služeb (M365, Google Workspace) pro hostování útočného obsahu
- Quishing: phishing přes QR kódy, které vyvedou oběť z firemního prostředí na soukromý mobil
- Vícekanálové kampaně kombinující e-mail, SMS i hlasový hovor
V českém prostředí se nejčastěji setkáváme s prvními třemi (AI maily, deepfake hovory, abuse legitních M365 odkazů). Quishing je rozjetý zejména ve finančnictví a retailu, vícekanálové útoky zatím cílí především na velké koncerny s veřejně známým vedením.
Co dělá moderní phishing nebezpečnějším?
Klasické email-gateway filtry obtížně zachytí útok hostovaný na legitimní doméně Microsoft nebo Google. Reputační skóre je u takových domén vysoké a URL filtr je nečte jako podezřelé. Současně kvalita češtiny v AI-generovaných zprávách dosahuje úrovně běžné firemní korespondence, což ničí jeden z nejjednodušších indikátorů, který doposud uživatelům fungoval.
Personalizace v měřítku, které dřív nešlo
Útočník sesbírá veřejné informace o cílovém zaměstnanci (LinkedIn, firemní web, sociální sítě), předá je LLM a dostane individualizovanou zprávu, která zmiňuje konkrétní projekty, kolegy nebo nadřízeného. Spear phishing kampaň, která dříve znamenala desítky hodin manuální přípravy, se dnes vygeneruje pro stovky cílů během odpoledne.
Hostování na legitimní cloudové doméně
Útočník registruje trial M365 nebo Google Workspace tenant, do kterého nahrává phishingové stránky a dokumenty. Odkaz v mailu míří na onedrive.com, sharepoint.com nebo docs.google.com, tedy domény, které firmy nemůžou zablokovat plošně, protože je samy používají. Reputační filtry je vidí jako důvěryhodné a sandboxing odhalí jen část obsahu, který se aktivuje až po kliknutí.
Porovnání trendů a doporučené obrany
| Trend | Co je nové | Detekční mezera | Doporučená obrana |
|---|---|---|---|
| AI-generovaný spear phishing | Bezchybná čeština, individualizace na cíl | Spam filtry nemají signaturu, gramatické indikátory selhávají | DMARC v módu reject, anomaly detection na BEC |
| Deepfake voice (CEO fraud) | Kvalitní syntéza hlasu vedení | Sluchová verifikace už nepoznává podvrh | Callback policy, dvojí schválení finančních transakcí |
| Quishing (QR kódy) | QR vede oběť na soukromý mobil mimo MDM | E-mail filtr nečte QR jako URL | OCR sken obrázků v mailu, blokovat QR v doručené poště |
| Abuse legit cloud (M365, Google) | Phishing hostovaný na onedrive.com / sharepoint.com | Reputační filtry vidí Microsoft jako důvěryhodný | URL detonation (Safe Links), Conditional Access pro guesty |
| Vícekanálový útok | Koordinace e-mail + SMS + hlasový hovor | Kanály se monitorují izolovaně, korelace chybí | SOAR korelace, eskalační matice v IR plánu |
Jak se bránit?
Žádný jednotlivý nástroj ani školení samo phishing nezastaví. Funguje až kombinace technické vrstvy, lidí a detekce, přičemž každá z nich pokrývá jiný typ útoku.
Technická vrstva: identita a e-mail
Conditional Access vynutí MFA i pro guest účty, DMARC ↗ v módu p=reject znemožní útočníkovi posílat e-maily „jako vy“, a NIST SP 800-177r1 (Trustworthy Email) ↗ specifikuje plnou sadu DNS opatření (SPF, DKIM, DMARC, MTA-STS, TLS-RPT). Detail nasazení baseline pro M365 jsme rozepsali v samostatném článku.
Lidé: průběžné školení s reálnými simulacemi
Klasická roční prezentace phishing nezvládne. Funguje cyklus: simulační kampaň, která změří baseline, krátké zacílené školení pro ty, kdo selhali (5–10 minut), opakovaná simulace za 4–6 týdnů. Z naší zkušenosti klikací míra v takovém režimu klesá z 20–35 % na 3–8 % během prvního roku. Zaměstnanci se zároveň naučí ohlašovat podezřelé maily IT, místo aby je mlčky mazali.
Detekce a incident response
Třetí vrstva je předpoklad, že část útoků prolomí. Co se sleduje: alerting na podezřelé sign-iny, mass forwarding rules (klasická známka kompromitovaného účtu), neobvyklá data exfiltrace. Bez jasného IR procesu s eskalační maticí se každý incident řeší ad hoc a první hodiny po kompromitaci se ztrácejí na koordinaci, ne na řešení. Detailní průběh takového scénáře, od kompromitovaného přístupu po plné šifrování, popisuje naše případová studie ransomware.
Phishingové školení samotné selhává proti deepfake hovorům i quishingu, protože útok přichází mimo e-mail. Bez technických opatření a IR procesů zůstává neúplnou ochranou.
Konkrétně doporučujeme začít phishingovou kampaní jako prvním krokem. Výsledek vám ukáže reálnou připravenost zaměstnanců a kde nejdřív investovat do školení. Pokud běžíte na Microsoft 365, Microsoft Entra healthcheck odhalí mezery v conditional access politikách, které phishing teprve umožňují. Na tato opatření navazuje pravidelný režim kontroly, který vedeme jako součást cyber security governance.
