AI phishing: Proč už nestačí poznat špatnou češtinu v e-mailu
Ještě před pár lety byl podvodný e-mail poznat na první pohled: překlepy, divná čeština, podezřelý odesílatel a nereálný slib. Dnes ho napsal model trénovaný na miliardách textů, zná vaše jméno, zmiňuje váš poslední projekt a ví, jak se jmenuje váš šéf. Jak se bránit hrozbě, kterou lidské oko nevidí?
Tradiční phishing byl jako podomní prodejce v roztrhané bundě. Nápadný, neohrabaný a snadno odhalitelný. AI phishing je jako dobře oblečený obchodní partner, který zná vaše obchodní záměry, přijde ve správnou chvíli a mluví přesně vaším jazykem.
Tato změna nastala rychle. A většina firem na ni ještě nezareagovala.
Konec éry "pozná ho každý"
Phishingové útoky byly dlouho úspěšně blokovány kombinací technologie (spamové filtry, URL skenery) a zdravého rozumu zaměstnanců: neklikej na divné odkaz, nedůvěřuj neznámému odesílateli, sleduj překlepy.
Generativní AI tuto rovnováhu narušila ze všech stran najednou.
Jazykově dokonalé zprávy. Velké jazykové modely generují přesvědčivý text v češtině, slovenštině nebo jakémkoli jiném jazyce — bez gramatických chyb, bez awkward formulací, ve vašem stylu i tónu. Překlep jako bezpečnostní signál přestal být spolehlivý.
Personalizace ve velkém. Útočník dnes nemusí psát každý e-mail ručně. Automatizovaný nástroj projde LinkedIn profil oběti, webové stránky firmy, veřejné zmínky a sociální sítě — a za minutu vygeneruje stovky personalizovaných zpráv. Každá bude zmiňovat konkrétní projekt, kolegu nebo nedávnou událost.
Spear phishing bez ruční práce. To, co dříve vyžadovalo hodiny průzkumu na jednoho cíle, zvládne AI za vteřiny. Cílené útoky na konkrétní osoby — finanční ředitele, HR manažery, správce systémů — jsou nyní dostupné i pro méně sofistikované útočníky.
AI phishing mimo e-mail: vishing a deepfake
Problém nekončí v e-mailové schránce. AI dnes umí klonovat hlasy na základě několika sekund nahrávky — stačí veřejné video nebo záznam ze schůzky. Útočníci tohoto využívají k vishingu: volají zaměstnanci hlasem, který zní přesně jako šéf nebo důvěryhodný kolega, a žádají urgentní převod platby, sdělení přihlašovacích údajů nebo jiné citlivé akce.
Zaznamenány jsou i případy deepfake video hovorů, kde útočník vydávající se za vedení firmy přesvědčil zaměstnance k bankovnímu převodu v řádu milionů.
Toto není sci-fi. Toto jsou dokumentované případy z roku 2024 a 2025.
Co tedy nestačí
Nestačí říct zaměstnancům: „Pozorujte překlepy a nedůvěřujte neznámým odesílatelům."
Nestačí spamový filtr, který blokuje podpisy známých malwarů — AI generovaný obsah podpisy nemá.
Nestačí jednorázové školení jednou ročně, kde si lidé odklikají 20 slidů a jdou zpátky do práce.
Co skutečně funguje
Efektivní obrana v době AI phishingu stojí na třech pilířích:
1. Behaviorální trénink, ne memorování pravidel. Zaměstnanci se nenaučí bezpečnému chování přečtením prezentace. Naučí se ho opakovanou praxí v reálných simulacích. Dobré školení zahrnuje simulované phishingové kampaně přizpůsobené vaší firmě — tak, aby lidé zažili útok v bezpečném prostředí a věděli, jak reagovat.
2. Ověřovací procesy mimo digitální kanál. Dostanete e-mail od šéfa s žádostí o urgentní platbu? Než cokoli uděláte, zavolejte mu na telefon. Tato jednoduchá procedura eliminuje obrovské množství BEC (Business Email Compromise) útoků, deepfake podvodů i AI phishingu. Procesy, ne technologie, jsou první linií obrany.
3. Bezpečnostní kultura, ne jen pravidla. Zaměstnanci, kteří chápou, proč bezpečnost funguje tak, jak funguje, se chovají bezpečněji — i bez checklisti. To vyžaduje vzdělávání přizpůsobené roli každého člověka ve firmě: jinak školíme recepční, jinak CFO, jinak IT administrátora.
Simulujte útok dřív, než to udělá někdo jiný
Nejlepší způsob, jak zjistit, jak vaši lidé reagují na phishing, je zkusit to — v bezpečném a řízeném prostředí. Phishingová simulace ukáže, kdo klikl na odkaz, kdo zadal přihlašovací údaje a kde jsou největší mezery ve vzdělání. Bez té informace nevíte, co školit.
V CypherOn navrhujeme Security Awareness programy na míru — od jednorázových školení pro tým až po dlouhodobé programy zahrnující phishingové simulace, e-learning a měření pokroku v čase. Protože kybernetická bezpečnost není stav, ke kterému jednou dojdete — je to schopnost, která se musí trénovat.
Zjistit více o Security Awareness
Nebo nás kontaktujte přímo — úvodní konzultace je zdarma.
Co si můžete odnést za závěr z našeho článku? Hrozba se změnila. Změňte i obranu.
AI phishing není jen lepší verze starého problému. Je to kvalitativně jiná hrozba, která vyžaduje kvalitativně jinou odpověď. Technologie sama nestačí — a nestačí ani osvěta postavená na pravidlech z minulé dekády.
Firmy, které to pochopí včas a investují do skutečné bezpečnostní kultury svých lidí, budou o velký krok napřed. Ty ostatní se dozví, kde selhaly, až po incidentu.