Zpět na blog
E-mailové hrozby

Phishing v roce 2026: AI-generované útoky a jak je odhalit

Deepfake e-maily, dokonale klonované weby bank a QR kód phishing. Nejnovější trendy v phishingových útocích a komplexní strategie obrany.

Aktualizováno: červenec 2026Doba čtení: 10 minut

Phishing prošel za poslední roky dramatickou transformací. Zatímco dříve útočníci rozesílali miliony nekvalitních e-mailů s gramatickými chybami, dnes používají AI k vytváření personalizovaných, gramaticky bezchybných zpráv.

Generativní AI jako ChatGPT umožňuje útočníkům vytvářet přesvědčivé phishingové zprávy v jakémkoli jazyce včetně češtiny bez překlepů. Rozpoznat podvod je stále těžší.

Evoluce phishingu

Phishing (podvodné e-maily, SMS a falešné weby) patří mezi nejčastější kybernetické hrozby současnosti. Anti-Phishing Working Group (APWG) zaznamenala za celý rok 2025 přibližně 3,8 milionu phishingových útoků – mírný nárůst oproti 3,76 milionu v roce 2024. Nástup generativní AI navíc umožňuje útočníkům vytvářet přesvědčivé a personalizované zprávy rychleji a ve výrazně větším měřítku než kdykoli dříve.

Zdroj: Anti-Phishing Working Group (APWG), souhrnná zpráva za rok 2025

Phishing-podvodné zprávy
01Nová éra

AI-generované phishingové útoky

Umělá inteligence změnila pravidla hry. Útočníci nyní používají AI k:

Generování personalizovaných zpráv

AI analyzuje sociální profily oběti a vytváří zprávy obsahující skutečné informace – jméno, zaměstnavatele, nedávné aktivity. Zprávy jsou tak přesvědčivější.

Perfektní lokalizace

Dříve byly české phishingové e-maily snadno rozpoznatelné podle špatné češtiny. Dnes AI generuje gramaticky bezchybné texty, které napodobují styl komunikace české banky.

Klonování komunikačního stylu

AI dokáže analyzovat předchozí legitimní e-maily a napodobit styl komunikace konkrétní společnosti nebo dokonce osoby.

Phishingové útoky3,8 mil.zaznamenala APWG celosvětově za rok 2025
Vyšší úspěšnost+60 %vyšší míra prokliku u AI-generovaných e-mailů (Oxford)
Nejcílenější sektor23,5 %útoků mířilo na finanční služby a bankovnictví
Zdroje: APWG Phishing Activity Trends Report (souhrn 2025), studie University of Oxford o účinnosti AI-generovaného phishingu.
02Nový vektor

QR kód phishing (Quishing)

QR kódy se staly novým oblíbeným nástrojem phisherů. Lidé jsou zvyklí je skenovat bez přemýšlení – v restauracích, na parkovištích, na letácích. Podle bezpečnostní firmy Abnormal Security počet útoků přes QR kódy mezi lety 2023 a 2025 vzrostl o 400 %, nejvíc postižené jsou energetika, zdravotnictví a výroba.

Jak quishing funguje
Zdroj: FBI IC3 / Europol
  • Fyzické přelepení: Útočníci přelepují legitimní QR kódy na parkovacích automatech, v restauracích nebo na reklamních materiálech.
  • E-mailové QR kódy: Místo texového odkazu obsahuje e-mail QR kód. Obchází tak filtry, které kontrolují URL.
  • Falešné platební portály: QR kód vede na stránku napodobující platební bránu – uživatel zadá údaje o kartě.

Jak se bránit quishingu

Vždy zkontrolujte URL adresu po naskenování QR kódu, než cokoli zadáte. Pokud QR kód na fyzickém místě vypadá přelepený nebo poškozený, neskenujte ho.

03Vizuální podvod

Klonované weby bank a institucí

Moderní phishingové stránky jsou vizuálně nerozlišitelné od originálů. Útočníci kopírují HTML, CSS a grafiku legitimních webů.

Podobné domény

csob-online.cz místo csob.cz
ceska-sporitelna.net místo csas.cz

Falešné HTTPS

I podvodné weby mají "zámek" v prohlížeči. HTTPS neznamená důvěryhodnost.

Techniky klonování webů
Zdroj: CERT-EU
  • HTTrack / wget: Nástroje pro stažení kompletního webu včetně grafiky a stylů.
  • Phishing kity: Předpřipravené balíčky pro klonování bank – stačí nahrát na server.
  • Real-time proxy (AiTM): Nejpokročilejší phishingové útoky dokážou v reálném čase přeposílat přihlášení do skutečné banky – tzv. adversary-in-the-middle. Microsoft jich jen mezi svými uživateli detekoval přes 10 000 měsíčně. Útočník tak může získat přístup i tehdy, když uživatel použije dvoufázové ověření.
04Praktická obrana

Jak rozpoznat a odhalit phishing

  1. 1Kontrolujte odesílatele. Skutečná doména vs. podobně vypadající (např. @csob.cz vs. @csob-online.cz).
  2. 2Najeďte na odkazy. Před kliknutím zkontrolujte skutečnou URL v liště prohlížeče nebo tooltipu.
  3. 3Ignorujte urgenci. "Váš účet bude zablokován do 24 hodin" je klasická manipulace.
  4. 4Přihlašujte se přímo. Nikdy neklikejte na odkaz v e-mailu – otevřete web banky ručně v prohlížeči.
  5. 5Používejte 2FA. Dvoufaktorové ověření ochrání účet ve většině případů, i když někdo získá heslo – u pokročilých AiTM útoků ale samo o sobě nestačí, proto zůstává klíčové neklikat na podezřelé odkazy vůbec.

Když máte pochybnosti

Nikdy neklikejte, vždy ověřte. Zavolejte na oficiální linku instituce (ne na číslo z e-mailu) a zeptejte se, zda zprávu opravdu poslali.

Zdroje a reference:

  • • APWG – Phishing Activity Trends Report, souhrn za rok 2025
  • • NÚKIB – Kybernetické hrozby v ČR 2025/2026
  • • University of Oxford – studie o účinnosti AI-generovaného phishingu
  • • Microsoft Digital Defense Report – AiTM útoky obcházející 2FA
  • • Abnormal Security – nárůst útoků přes QR kódy (quishing)

Nejste si jistí, jestli jde o podvod?

Nahrajte screenshot e-mailu, SMS, pracovní nabídky, webové stránky nebo jiné podezřelé komunikace. AI asistent Chytré Obrany orientačně vyhodnotí varovné signály a doporučí další postup.

Ověřit podezřelou situaci