Najčastejšia rada, ktorú ste o phishingu počuli, je dnes zastaraná. „Dávaj si pozor na preklepy a divné oslovenie" fungovalo, kým podvodné e-maily písali cudzinci cez prekladač. Lenže podľa spoločnosti IBM skrátila generatívna umelá inteligencia čas potrebný na vytvorenie presvedčivého podvodného e-mailu zo 16 hodín na približne päť minút. Výsledok? Phishingová správa po slovensky, bez chyby, s vaším menom v oslovení. Jazyk už nie je spoľahlivý indikátor — a práve preto sa treba naučiť overovať to, čo umelá inteligencia sfalšovať nedokáže.
Čo je phishing a ako útok vlastne funguje
Phishing je pokus neoprávnene vylákať citlivé údaje — prihlasovacie meno, heslo či číslo platobnej karty — tým, že sa útočník vydáva za dôveryhodnú inštitúciu, najčastejšie cez podvodný e-mail s odkazom na falošnú stránku. Je to forma sociálneho inžinierstva: cieli na človeka, nie na technickú chybu počítača.
Klasický útok na internetbanking vyzerá ako reťaz, ktorá sa spustí jediným kliknutím. Príde e-mail, ktorý napodobňuje vašu banku a tlačí vás konať rýchlo — „overte si účet, inak ho zablokujeme". Odkaz vás zavedie na stránku, ktorá vyzerá identicky ako tá pravá. Tam zadáte prihlasovacie údaje a útočník ich v tej istej sekunde použije na skutočnej stránke banky. Keď vám potom príde overovacia SMS, vyláka z vás aj ten kód — a prevod je hotový.
Že nejde o okrajový problém, potvrdzujú čísla. Podľa Správy o kybernetickej bezpečnosti v SR za rok 2024, ktorú vydáva Národný bezpečnostný úrad (NBÚ) spolu s Národným centrom kybernetickej bezpečnosti SK-CERT, bolo na Slovensku zaznamenaných vyše 660 prípadov phishingu, smishingu a iných foriem získavania údajov. Najviac zasiahnutým sektorom bola verejná správa so 703 incidentmi. A podľa správ Threat Report bezpečnostnej firmy ESET zostáva phishingový pokus HTML/Phishing.Agent najrozšírenejšou hrozbou na Slovensku — v druhej polovici roka 2024 tvoril takmer 20 % všetkých zachytených hrozieb, v druhej polovici roka 2025 viac než 15 %.
Prečo rada „hľadaj preklepy" už neplatí
Gramatické a pravopisné chyby už nie sú spoľahlivým znakom phishingu. Útočníci dnes využívajú profesionálne preklady a generatívnu umelú inteligenciu, ktorá odstráni chyby a správu personalizuje. ESET vo svojich správach opakovane upozorňuje, že tradičné indikátory ako zlá gramatika prestávajú fungovať.
Ešte pred pár rokmi sa podvodný e-mail prezradil sám — kostrbatá slovenčina, oslovenie „Vážený zákazník" či logo v zlej kvalite. Dnes je to inak. Generatívna AI napíše bezchybnú slovenskú správu, doplní vaše meno a napodobní tón konkrétnej firmy za pár minút.
Posúva sa aj to, čomu útočníci venujú energiu. Podľa údajov banky VÚB dnes phishing predstavuje len menšiu časť strát klientov — približne 5 %. Dramaticky pritom narastajú investičné podvody, ktoré od začiatku roka 2026 tvorili až 73 % podvodných transakcií. Phishing teda nie je jediná ani finančne najväčšia hrozba — ostáva však najmasovejšie rozšírenou, a tým aj tou, s ktorou sa bežný používateľ stretne najčastejšie.
Podľa čoho dnes rozpoznať phishingový e-mail
Keď jazyk zlyháva, sústreďte sa na to, čo AI sfalšovať nevie: adresu odosielateľa, skutočný cieľ odkazu a samotnú požiadavku. Národné centrum SK-CERT medzi varovné znaky radí nesúlad adresy odosielateľa, žiadosť o citlivé údaje, umelo vytvorený časový tlak a ponuku, ktorá je príliš dobrá na to, aby bola pravdivá.
Najsilnejší jednotlivý reflex je overenie odkazu pred kliknutím. Na počítači podržte kurzor myši nad odkazom (na mobile podržte prst) bez kliknutia — zobrazí sa reálna adresa, kam odkaz naozaj vedie. Podvodné domény bývajú napodobeniny originálu: bodka navyše, zámena písmena „m" za „n", alebo cudzia koncovka ako .ru či .ch tam, kde má byť slovenská. Pri akejkoľvek pochybnosti adresu služby radšej napíšte priamo do prehliadača — nikdy neklikajte na odkaz v správe.
Zlatým pravidlom, ktoré platí bez výnimky, je toto: banka, Slovenská pošta ani štátny portál od vás nikdy nepýtajú heslá, PIN, kompletné údaje o platobnej karte ani SMS kód cez e-mail, SMS či telefón. Slovenská pošta dlhodobo varuje pred desiatkami typov podvodných správ — výzvami na doplatenie poštovného, colného poplatku či aktualizáciu adresy — a zdôrazňuje, že úhradu poplatkov nikdy nežiada e-mailom ani SMS a s klientmi komunikuje len z oficiálnej domény.
„Neklikajte v správach na odkazy pre prístup do služieb elektronického bankovníctva, ale internetovú adresu radšej napíšte priamo do prehliadača."
— Slovenská sporiteľňa, bezpečnostné odporúčania pre klientov
Smishing, vishing, pharming a quishing — phishing má viac tvárí
Phishing dávno nie je len e-mail. Smishing je phishing cez SMS, vishing prebieha cez telefonát (útočník sa vydáva za pracovníka banky), pharming presmeruje obeť na falošnú stránku aj pri správne zadanej adrese a quishing ukrýva škodlivý odkaz do QR kódu. Princíp je vždy rovnaký: získať vašu dôveru a vylákať údaje.
Najzákernejší je pharming — zmení sa záznam, ktorý prekladá názov stránky na jej adresu, takže aj keď adresu napíšete správne, skončíte na podvrhnutej stránke bez toho, aby ste si všimli čokoľvek podozrivé. Nastupujúcim trendom je naopak quishing: škodlivá adresa je ukrytá v obrázku QR kódu, čím obíde e-mailové filtre, ktoré bežné odkazy kontrolujú. V roku 2025 tvorili útoky cez QR kódy podľa medzinárodných dát približne 12 % všetkých phishingových pokusov.
Čo robiť, keď ste klikli alebo zadali údaje
Po kliknutí na phishingový odkaz alebo zadaní údajov rozhoduje rýchlosť — okamžitá reakcia priamo znižuje škodu. Bezodkladne zmeňte heslo všade, kde ho používate, kontaktujte banku a dajte zablokovať kartu či účet, skontrolujte zariadenie bezpečnostným softvérom a incident nahláste. Hlavne nepanikárte — postupujte podľa krokov.
- Zmeňte heslo k napadnutej službe aj všade, kde je rovnaké.
- Kontaktujte banku a zablokujte kartu či účet.
- Skontrolujte zariadenie bezpečnostným softvérom.
- Nahláste incident a pri škode podajte trestné oznámenie.
Pri phishingu na internetbanking ide o sekundy — útočník zadané údaje použije v reálnom čase, takže zmena hesla a zablokovanie účtu hneď po kliknutí môže prevod ešte zastaviť.
Ako sa chrániť a kam phishing nahlásiť
Najsilnejšou trvalou obranou nie je obozretnosť, ale technológia, ktorú sa phishingom oklamať nedá. Prístupové kľúče (passkeys) sú kryptograficky viazané na konkrétnu doménu, takže ich na falošnej stránke jednoducho nemožno použiť. Phishing na Slovensku nahlásite Národnému centru SK-CERT na incident@nbu.gov.sk alebo cez formulár na csirt.gov.sk.
Dvojfaktorové overenie cez SMS alebo kód z aplikácie je dobrý základ, no útočník ho pri phishingu v reálnom čase dokáže obísť — vyláka z vás aj ten kód. Najsilnejšou ochranou je preto passkey alebo hardvérový FIDO kľúč, ktorý je viazaný na pravú adresu a na podvrhnutej stránke nefunguje. K tomu pridajte jednoduché návyky: neklikať na odkazy v správach, adresu služby zadávať priamo do prehliadača a citlivé údaje nezdieľať cez e-mail, SMS ani telefón.
Ak na phishing narazíte, nahláste ho — pomôžete tým aj ostatným. Kompletnú správu vo formáte .msg alebo .eml pošlite na adresu incident@nbu.gov.sk, prípadne využite formulár na portáli csirt.gov.sk. Ak vznikla finančná škoda, bezodkladne kontaktujte banku a podajte trestné oznámenie na polícii.
Zaujímalo vás niekedy, ako útočník dokáže obísť aj overovaciu SMS, ktorú banka posiela práve pre vašu bezpečnosť?
Najčastejšie otázky
Ako rozpoznať phishing, keď e-mail nemá žiadne chyby?
Sústreďte sa na adresu odosielateľa a skutočný cieľ odkazu, nie na jazyk. Podľa Národného centra SK-CERT sú varovnými znakmi nesúlad adresy odosielateľa, žiadosť o citlivé údaje a umelo vytvorený časový tlak. Odkaz si overte podržaním kurzora bez kliknutia a v prípade pochybností adresu napíšte priamo do prehliadača.
Žiada odo mňa banka niekedy heslo alebo SMS kód cez e-mail?
Nie. Banka nikdy nepožaduje heslá, PIN, kompletné údaje o platobnej karte ani SMS kód na potvrdenie platby cez e-mail, SMS či telefón. Ako uvádza Slovenská sporiteľňa: „Neposkytujte nikomu heslá, SMS kľúč na potvrdenie platby a ani kompletné údaje o platobnej karte." Akákoľvek takáto žiadosť je istý znak podvodu.
Klikol som na phishingový odkaz. Čo mám robiť?
Okamžite zmeňte heslo k danej službe aj všade, kde používate rovnaké, kontaktujte banku a dajte zablokovať kartu či účet, spustite kontrolu zariadenia bezpečnostným softvérom a incident nahláste. Rýchlosť reakcie priamo znižuje škodu — netreba pritom prepadať panike.
Kam nahlásiť phishing na Slovensku?
Phishing nahláste Národnému centru kybernetickej bezpečnosti SK-CERT (NBÚ) zaslaním kompletnej správy vo formáte .msg alebo .eml na incident@nbu.gov.sk, prípadne cez formulár na csirt.gov.sk. Pri finančnej škode bezodkladne kontaktujte banku a podajte trestné oznámenie na polícii.
Čo je smishing a vishing?
Smishing je phishing cez SMS a vishing prebieha cez telefonický hovor, pri ktorom sa útočník vydáva za pracovníka banky. Princíp je rovnaký ako pri klasickom phishingu — získať vašu dôveru a vylákať citlivé údaje. Rovnaké pravidlo platí všade: údaje nezdieľajte a v prípade pochybností zložte a zavolajte banke na oficiálne číslo.
Ako sa phishingu brániť dlhodobo?
Najsilnejšou ochranou sú prístupové kľúče (passkeys) alebo hardvérový FIDO kľúč, ktoré sú viazané na pravú doménu a phishingom sa oklamať nedajú. Dvojfaktorové overenie cez SMS je lepšie než nič, no útočník ho dokáže v reálnom čase obísť. K tomu neklikajte na odkazy v správach a adresu služby zadávajte priamo do prehliadača.
Tento článok nenahrádza právne poradenstvo.
Tento článok bol vygenerovaný umelou inteligenciou a prešiel automatizovanou kontrolou kvality a faktov.
