Phishing v roce 2026 už dávno není jen problém špatně napsaného e-mailu. Stal se průmyslově škálovaným útokem na provoz firmy, který cílí na identitu, aktivní přihlášení i důvěru v interní procesy. Pokud bezpečnostní strategie stojí hlavně na tom, že zaměstnanec podvod rozpozná, její odolnost je omezená.
Jinými slovy: dnešní phishing není pouze o tom, zda někdo na něco klikne. Je o tom, zda je firma navržená tak, aby ustála i lidskou chybu.
Phishing 2026: proč už nejde o „špatný e-mail“, ale o útok na provoz firmy
Phishing prošel zásadní proměnou. Místo plošných kampaní s chybami dnes útočníci vytvářejí zprávy, které působí jako běžná součást pracovního dne. Využívají firemní kontext, autoritu, zaběhnuté schvalovací postupy i legitimní komunikační kanály.
Za touto změnou stojí hlavně dvě věci: umělá inteligence a industrializace útoků.
AI jako akcelerátor personalizace
Generativní AI útočníkům výrazně usnadňuje tvorbu přesvědčivých zpráv. Dokáže rychle připravit text, který používá správná jména, názvy projektů, interní slovník i přiměřený tón komunikace. To, co dříve vyžadovalo ruční přípravu, lze dnes škálovat mnohem rychleji.
Důležitá není jen kvalita textu, ale i schopnost útok průběžně přizpůsobovat. Pokud oběť reaguje, útočník může navázat ve stejném stylu a případně komunikaci přesunout do jiného kanálu, například do kalendářové pozvánky nebo jiného důvěryhodně působícího nástroje.
PhaaS a industrializace útoků
Model Phishing-as-a-Service (PhaaS) proměnil phishing v dostupnou službu. Útočník už nemusí vše stavět sám. Může si pořídit hotovou sadu nástrojů: šablony, hosting, správu kampaní i techniky pro obcházení ochranných prvků.
To zásadně mění ekonomiku útoku. Pokročilé scénáře už nejsou vyhrazené jen vysoce specializovaným skupinám. Dostávají se k širšímu okruhu útočníků, kteří dokážou spustit velmi věrohodnou kampaň i bez hlubokého technického zázemí.
Přesun z masových kampaní do kontextového spearphishingu
Řada dnešních phishingových útoků nesměřuje primárně k instalaci malwaru. Cílem je získat přístup, souhlas nebo důvěru. Může jít o převzetí relace po přihlášení, udělení oprávnění přes OAuth nebo o přimění člověka, aby schválil platbu či sdílel citlivý dokument.
To podstatné je jinde: útočník neútočí jen na uživatele, ale na logiku firemních procesů. Zneužívá to, co ve firmě funguje běžně — autoritu, rychlost, rutinu a důvěru v zavedené kanály.
Provozní závěr: Obranu je potřeba navrhovat s předpokladem, že útok bude věrohodný, personalizovaný a procesně „správný“. Školení lidí je důležité, ale samo o sobě nestačí.
Kde klasická obrana selhává
Tradiční přístup k phishingu býval postavený na dvou pilířích: filtrování známých hrozeb a očekávání, že uživatel pozná podezřelou zprávu. V roce 2026 jsou oba tyto pilíře samy o sobě nedostatečné.
E-mailové filtry a signatury nestačí
Klasické bezpečnostní brány jsou silné tam, kde je útok nápadný a opakuje známý vzorec. Jenže moderní phishing se tomuto modelu vyhýbá. Útočníci využívají důvěryhodně působící infrastrukturu, legitimní služby a kanály, které nevypadají jako typický škodlivý e-mail.
Místo jednoho podezřelého odkazu přichází kombinace drobných signálů: neobvyklý kontext, naléhavost, změna komunikačního rytmu, žádost o neobvyklý krok. Právě tady statické filtry ztrácejí účinnost.
Digitální únava a kognitivní přetížení lidí
Bezpečnostní doporučení typu „dávejte pozor“ naráží na realitu běžného pracovního dne. Lidé fungují v přetlaku notifikací, schůzek, chatu, e-mailů a schvalovacích požadavků. Útočníci tuto únavu neobcházejí — oni na ní stavějí.
Proto je čím dál méně realistické očekávat, že zaměstnanec pokaždé správně rozliší legitimní požadavek od podvodu. Bezpečnostní strategie postavená na přenášení odpovědnosti na uživatele tím často jen zakrývá architektonický problém.
Proč míra prokliku není správná metrika odolnosti
Měřit pouze to, kolik lidí kliklo na testovací phishing, je málo. Tato metrika sama neříká, jak rychle se firma o útoku dozví, jak dobře ho umí zachytit a jak brzy zareaguje.
Užitečnější metrikou je míra nahlášení — tedy kolik lidí podezřelou zprávu nebo aktivitu skutečně oznámí. Právě to mění zaměstnance z pasivního rizika na aktivní zdroj signálů pro bezpečnostní tým.
Provozní závěr: Přestaňte vyhodnocovat odolnost hlavně podle míry prokliku. Pro řízení bezpečnosti je cennější míra nahlášení, rychlost reakce a schopnost incident uzavřít.
Proč je míra prokliku mrtvá metrika
Infografika porovnává selhávající tradiční metriky (prokliky na neověřené kanály) s moderními metrikami odolnosti (míra nahlášení dle NIS2).
AI rozbila tradiční 'Red Flags'
AI generovaný phishing je natolik dokonalý, že tradiční detekce okem uživatele padá.
Nová norma ochrany (ve světle NIS2)
Úspěšná obrana nestojí na počtu nulových kliknutí, ale na aktivním reportingu od zaměstnanců.
Návratnost bezpečnostního tréninku
Behaviorální trénink dokáže zásadně zvýšit schopnost týmu fungovat jako senzor.
Techniky nové generace: AiTM, Blob URIs, ClickFix, QRishing a kalendářové útoky
Nové techniky ukazují, proč už phishing nelze chápat jen jako problém e-mailu. Útočníci kombinují sociální inženýrství s technikami, které obcházejí tradiční kontrolní body.
AiTM a krádež relace
AiTM (Agent-in-the-Middle) je technika, při níž útočník vloží mezi uživatele a legitimní přihlašovací službu vlastního prostředníka. Oběť se přihlašuje zdánlivě běžným způsobem, ale útočník mezitím zachytí údaje a hlavně aktivní přihlašovací relaci.
To je zásadní rozdíl oproti starším scénářům. Útočník se nesnaží ukrást jen heslo, ale převzít už ověřené přihlášení. Právě proto může obejít mnoho běžných implementací vícefaktorového ověřování. Neobchází princip MFA jako takový, ale zneužívá to, že uživatel už úspěšně prošel ověřením.
Blob URIs a podvod, který se skrývá v prohlížeči
Technika Blob URIs pomáhá útočníkům skrýt část škodlivého obsahu do prostředí prohlížeče. Prakticky to znamená, že phishingová stránka nebo její část může být sestavena dynamicky a krátkodobě, což komplikuje práci nástrojům, které se soustředí hlavně na klasické URL a statické načítání stránky.
Neznamená to, že by neexistoval žádný viditelný provoz nebo že by se obsah vůbec nenačítal ze vzdálených zdrojů. Pointa je jiná: stopa útoku je hůř čitelná a tradiční kontrola odkazů nemusí zachytit to podstatné.
ClickFix: když uživatel provede škodlivý krok sám
ClickFix je forma sociálního inženýrství, která se nespoléhá jen na kliknutí. Uživatel je přesvědčen, že musí „opravit problém“ — například potvrdit ověření, odstranit chybu nebo aktivovat přístup — a je naveden k tomu, aby vložil a spustil příkaz sám.
Právě tím je technika nebezpečná. Obchází část běžných obranných mechanismů, protože škodlivou akci vykoná uživatel pod vlastním účtem a v důvěryhodném kontextu.
QR kódy, pozvánky do kalendáře a obcházení e-mailové kontroly
Phishing se stále častěji přesouvá i mimo klasický text e-mailu. QRishing využívá QR kódy, které uživatele přesměrují na podvodnou stránku často přes mobilní zařízení. Podobně fungují i útoky přes kalendářové pozvánky ve formátu .ics, které působí jako běžná organizační komunikace.
To je praktický problém i pro bezpečnostní týmy: kalendářový záznam může přežít déle než samotný e-mail a zůstává v pracovním toku uživatele i poté, co byl původní podnět nahlášen.
Provozní závěr: Obrana proti phishingu musí pokrývat víc než e-mail — také kalendáře, mobilní scénáře, chování prohlížeče a přihlašovací relace. Samotná kontrola odkazů už nestačí.
Co se děje po průniku: cookies, OAuth tokeny a okno pro předání přístupu
Největší omyl bývá myslet si, že phishing končí kliknutím. Ve skutečnosti tím často teprve začíná rychlý a dobře organizovaný sled dalších kroků.
Zneužití relace místo hesla
Moderní útočníci často necílí primárně na hesla. Vědí, že ta bývají chráněna vícefaktorovým ověřováním a dalšími pravidly. Mnohem cennější je proto aktivní relace, přístupový token nebo oprávnění udělené aplikaci.
Jakmile útočník získá platnou relaci nebo OAuth oprávnění, může se v prostředí pohybovat bez nutnosti znovu překonávat přihlašovací proces. Z pohledu obrany je to nepříjemné právě proto, že část aktivity vypadá jako legitimní práce běžného uživatele.
22 sekund, které mění pravidla obrany
Dnešní útoky jsou stále více rozdělené mezi specializované aktéry. Jedna skupina zajistí počáteční přístup, další navazuje převzetím účtu, pohybem v prostředí nebo přípravou další fáze útoku.
Právě zde je důležitý údaj z praxe: okno pro předání přístupu se v některých případech zkrátilo na 22 sekund. To je z hlediska obrany zásadní. Pokud detekce a reakce stojí hlavně na ručním zásahu, firma se do tohoto časového rámce často vůbec nevejde.
SaaS jako slabé místo pro trvalý přístup
Po úspěšném průniku se útočníci často zaměřují na SaaS aplikace, kde mohou získat trvalejší a méně nápadný přístup. Typickým scénářem je zneužití OAuth oprávnění, přístupových tokenů nebo relací, které přežijí změnu hesla i část běžných nápravných kroků.
To je důvod, proč phishing v roce 2026 nelze oddělit od správy identit a cloudových služeb. Pokud firma dobře chrání koncové stanice, ale nehlídá SaaS oprávnění a relace, nechává útočníkům otevřenou důležitou cestu.
Provozní závěr: Počítejte s tím, že některé útoky projdou. Rozhodující je, zda umíte rychle odhalit neobvyklé chování relace, zrušit přístup a zkontrolovat navázaná oprávnění v SaaS.
Evoluce přípravy (Generativní AI)
AI drasticky zlevnila a zrychlila tvorbu přesvědčivého spear-phishingu.
Kritické okno (Předání přístupu)
Doba, za kterou první útočník po úspěšném phishingu předá přístup do sítě dalším aktérům.
Medián doby odhalení průniku
Zatímco útočník operuje v sekundách, firmám trvá odhalení phishingového incidentu hrozivě dlouho.
Zero Trust jako odpověď na phishing v roce 2026
Když útočník může získat platnou relaci během několika okamžiků, tradiční představa „bezpečné interní sítě“ přestává stačit. Odpovědí není jedna konkrétní technologie, ale architektonický přístup, který počítá s chybou i kompromitací.
Identita jako nový perimeter
Bezpečnostní rozhodování se přesouvá od sítě k identitě. Nejde jen o to, kdo se přihlásil, ale z jakého zařízení, v jakém kontextu a s jakým oprávněním provádí konkrétní akci.
Pro IT architekta z toho plyne jednoduché pravidlo: důvěra se nemá dědit automaticky jen proto, že uživatel jednou úspěšně prošel přihlášením.
Řízení relací a zkracování platnosti přístupů
Pokud je hlavním cílem útoku aktivní relace, je potřeba ji také aktivně řídit. To v praxi znamená kratší životnost tokenů, opětovné ověřování při rizikové změně kontextu a lepší detekci anomálního chování.
Smyslem není uživatele brzdit za každou cenu. Smyslem je omezit hodnotu toho, co útočník po úspěšném phishingu získá, a zkrátit dobu, po kterou může přístup zneužívat.
Ověření citlivých požadavků mimo původní kanál
U změny platebních údajů, schvalování výjimek, udělování privilegií nebo přístupu k citlivým datům by měla existovat kontrola mimo původní komunikační kanál. Pokud útočník ovládne e-mailové vlákno nebo relaci uživatele, právě tento druh ověření může útok zastavit.
U phishingu totiž často neselhává technologie sama o sobě, ale proces, který bez další pojistky uvěří dostatečně věrohodné žádosti.
Provozní závěr: Zero Trust zde není módní pojem, ale praktický rámec. Začněte u identity, řízení relací a ověřování citlivých kroků mimo původní kanál.
Co má udělat firma v praxi
Dobrá zpráva je, že obrana proti modernímu phishingu není jen abstraktní strategie. Dá se rozložit do konkrétních kroků, které jsou měřitelné a provozně uchopitelné.
Simulace a míra nahlášení
Jednorázové školení zaměstnanců dnes obvykle nestačí. Smysl mají průběžné a krátké simulace, které budují praktickou připravenost: schopnost rozpoznat podezřelou komunikaci a hlavně ji rychle nahlásit.
Klíčová není jen otázka, kdo klikl. Mnohem důležitější je:
- kolik lidí útok nahlásilo,
- jak rychle se hlášení dostalo k bezpečnostnímu týmu,
- jak rychle tým zareagoval.
Hardening SaaS a OAuth
Protože moderní phishing cílí na identitu a relace, je potřeba pravidelně prověřovat:
- jaké aplikace mají přístup k firemním účtům,
- jaká OAuth oprávnění jsou aktivní,
- které integrace jsou opuštěné, nadbytečné nebo příliš široké.
Právě zanedbané integrace a dlouhodobě platná oprávnění bývají cestou, jak si útočník udrží přístup i po prvotním incidentu.
Monitorování, logování a interní detekce
Bez dostatečné telemetrie nelze rychlý phishingový útok dobře vyšetřit ani zastavit. Firmy by měly sjednocovat logy z identitních platforem, SaaS služeb, koncových zařízení i síťových prvků tak, aby bylo možné sledovat souvislosti.
Důležité je také nepodcenit retenci logů. Pokud jsou záznamy k dispozici příliš krátce, může být pozdější analýza útoku neúplná právě ve chvíli, kdy ji firma nejvíc potřebuje.
Provozní závěr: Měřitelná odolnost stojí na třech věcech: schopnosti lidí hlásit podezřelé situace, pevném nastavení SaaS a identit a na datech, podle kterých lze rychle rozhodovat.
Shrnutí pro CTO a security leady
Phishing v roce 2026 není jen problém nepozorného uživatele. Je to test toho, zda bezpečnostní architektura firmy počítá s chybou, kompromitovanou relací i zneužitím běžných pracovních procesů.
Tři strategické imperativy pro rok 2026:
- Navrhujte obranu s předpokladem lidské chyby. Nespoléhejte na to, že zaměstnanec útok vždy pozná. Stavte procesy a technická opatření tak, aby škodu omezila i ve chvíli, kdy člověk udělá chybu.
- Přesuňte pozornost od hesel k identitě a relacím. Riziko dnes neleží jen v odcizených přihlašovacích údajích, ale v převzatých relacích, tokenech a oprávněních SaaS aplikací.
- Měřte skutečnou odolnost, ne jen míru prokliku. Sledujte míru nahlášení, dobu detekce podezřelé relace, čas potřebný ke zrušení přístupu a kvalitu správy identit a SaaS oprávnění.
Phishing už není jen otázkou technického zabezpečení. Je také otázkou architektonické odolnosti. Firmy, které to pochopí včas, nebudou jen lépe filtrovat podvodné zprávy. Budou lépe zvládat samotný okamžik selhání — a právě to bude v roce 2026 rozhodující.
Pokud chcete ověřit, jak je vaše firma na phishing připravena, rádi s vámi vytvoříme vhodné scénáře v rámci penetračního testování. Rádi s vámi probereme vaši bezpečnost a architekturu a pomůžeme se zabezpečním pro dobu moderních hrozeb, neváhejte nás kontaktovat.
