Kedysi sa phishing spoznával pomerne ľahko. Prišiel e-mail s lámanou slovenčinou, divným oslovením, krivým logom banky a vetou typu „váš účt bol zablokovaní, kliknite okamžitý“. Človek sa zasmial, zmazal to a išiel ďalej. Lenže rok 2026 už hrá inú ligu. AI phishing vie byť gramaticky čistý, tónovo presný, lokálne prispôsobený a napísaný tak, že nepôsobí ako podvod, ale ako normálna pracovná požiadavka.
Práve preto staré pravidlo „hľadaj pravopisné chyby“ prestáva stačiť. NCSC už v roku 2024 upozorňovalo, že generatívna AI sťažuje obrane rozpoznávanie sociotechnických útokov a zároveň znižuje bariéru pre menej skúsených útočníkov. Inými slovami: útočník dnes nemusí byť dobrý copywriter, psychológ a lingvista. Stačí mu nástroj, pár verejných informácií a chuť niekomu pokaziť deň.
Čo v článku nájdeš
V článku si vysvetlíme, čo je AI phishing, prečo je v roku 2026 ťažšie rozpoznateľný než staré podvodné e-maily a ako funguje moderný phishing s pomocou umelej inteligencie. Ukážeme si najčastejšie scenáre, napríklad falošné správy od šéfa, podvodné Microsoft 365 odkazy, cloudové dokumenty, deepfake telefonáty a kombinované útoky cez e-mail, chat aj hlas.
Prečo je to dôležité
AI phishing už často nemá gramatické chyby, divné oslovenia ani lacný vzhľad. Môže pôsobiť profesionálne, osobne a dôveryhodne. Preto dnes nestačí pozerať na pravopis, ale treba riešiť kontext, domény, odkazy, neštandardné požiadavky a tlak na rýchlosť. Dobré rozpoznanie AI phishingu môže rozhodnúť o tom, či firma príde o účet, peniaze alebo citlivé dáta.
Prečo je AI phishing horší než starý phishing
Starý phishing často kričal, že je podvod. Moderný phishing sa správa slušne. Nenadáva. Netlačí vždy lacným spôsobom. Vie napísať e-mail ako HR oddelenie, dodávateľ, šéf, Microsoft 365 notifikácia alebo kolega, ktorý „len potrebuje rýchlo potvrdiť dokument“.
Generatívna AI pomáha najmä v troch veciach: text je prirodzenejší, personalizácia je jednoduchšia a útoky sa dajú škálovať vo veľkom. NCSC vo svojej analýze píše, že AI zvyšuje efektivitu kybernetických operácií, najmä pri analýze dát, zbere informácií a sociálnom inžinierstve. To znamená, že útočník si vie rýchlejšie pripraviť presvedčivý príbeh.
Predstav si, že má útočník tvoje meno, pozíciu, názov firmy, mená kolegov z LinkedInu a vie, že firma používa Microsoft 365. Kedysi by z toho možno vznikol krivý spam. Dnes z toho vznikne e-mail, ktorý vyzerá ako interná požiadavka. A presne tam začína problém.
Nehľadaj chyby. Hľadaj nesúlad.
Najväčšia zmena pri rozpoznaní AI phishingu je táto: nepozeraj sa primárne na jazyk, ale na kontext. Perfektná slovenčina ešte neznamená legitímnu správu. Krásny formát ešte neznamená bezpečný odkaz. A profesionálny tón ešte neznamená, že požiadavka dáva zmysel.
Pýtaj sa hlavne:
- Je táto požiadavka bežná?
- Prišla cez správny kanál?
- Tlačí ma niekto do rýchlosti?
- Chce odo mňa niečo mimo procesu?
- Sedí doména odosielateľa?
- Vedie odkaz tam, kam tvrdí text?
Ak ti niekto píše, že máš „urgentne schváliť platbu“, „zadať MFA kód“, „otvoriť chránený dokument“ alebo „overiť účet“, nezaujíma ťa len to, či je e-mail pekný. Zaujíma ťa, či je požiadavka normálna pre daného človeka, daný čas a daný proces.
Najčastejšie scenáre AI phishingu
1. Šéf niečo súrne potrebuje
Toto je klasika v novom obleku. E-mail môže vyzerať ako správa od riaditeľa, manažéra alebo vedúceho oddelenia. Je zdvorilý, stručný, bez chýb a často používa interný tón. Problém je v obsahu: žiada kúpu darčekových kariet, rýchlu platbu, zaslanie údajov alebo obídenie bežného schvaľovania.
Varovný signál nie je gramatika. Varovný signál je veta v štýle: „Teraz to nerieš cez proces, potrebujem to diskrétne.“
2. Falošný Microsoft 365, SharePoint alebo OneDrive
Druhý veľmi častý scenár je falošná notifikácia z cloudu. E-mail tvrdí, že ti niekto zdieľal dokument, faktúru, výplatný podklad alebo interný report. Odkaz však nevedie na legitímnu doménu Microsoftu, ale na prihlasovaciu stránku, ktorá sa len tvári ako Microsoft 365.
Tu pomáha jednoduchý trik: password manager. Ak máš uložené heslo pre skutočnú doménu a na tejto stránke ti ho neponúkne, niečo smrdí. Password manager nie je len pohodlie. Je to aj detektor falošnej domény.
3. Chat + e-mail + telefonát
Najnepríjemnejší moderný phishing už nemusí byť jeden e-mail. Môže to byť kombinácia správ. Najprv príde Teams alebo WhatsApp správa. Potom e-mail. Potom telefonát. A možno hlas, ktorý znie dôveryhodne.
FBI v roku 2025 varovala pred kampaňami, kde útočníci používali textové a AI-generované hlasové správy na impersonáciu vysokých predstaviteľov a budovanie dôvery pred presmerovaním obetí na škodlivé platformy. Toto je presne smer, ktorým sa phishing posúva: menej „klikni na odkaz“ a viac „vytvorím ti dôveryhodnú situáciu“.
Technické detaily, ktoré sa oplatí pozrieť
Pri AI phishingu si všímaj najmä domény a odkazy. Nie text odkazu, ale skutočnú cieľovú adresu. Podvodníci často používajú:
- look-alike domény,
- neobvyklé subdomény,
- skrátené odkazy,
- napodobeniny Microsoft 365,
- falošné prihlasovacie stránky,
- domény s pomlčkami alebo preklepmi.
Praktický zvyk: ak e-mail žiada prihlásenie, neklikaj na odkaz. Otvor službu ručne cez záložku alebo zadaj známu adresu do prehliadača. Je to nudné, ale presne táto nuda zachraňuje účty.
Ako sa brániť ako bežný používateľ
Najlepšia obrana je mikro-pauza. Naozaj. Keď správa tlačí na rýchlosť, zastav sa. Ak žiada platbu, prihlasovanie, heslo, MFA kód alebo citlivý dokument, over si to druhým kanálom. Ale nie odpoveďou na ten istý e-mail. Zavolaj, napíš cez známy firemný kontakt, otvor interný portál.
Ak si nie si istý, čo s podozrivou správou urobiť ďalej, pozri si aj môj praktický návod kde nahlásiť phishing – bežný aj firemný, kde vysvetľujem, kam podvodný e-mail poslať, komu ho nahlásiť a čo nerobiť.
A hlavne: nikdy neposielaj MFA kód cez chat alebo e-mail. Ak niekto potrebuje tvoj MFA kód, nepotrebuje pomoc. Potrebuje prístup k tvojmu účtu.
Ako sa brániť ako admin
Admin už nemôže stáť len na antispame a školení typu „nehľadaj nigérijského princa“. CISA odporúča phishing-resistant MFA ako prioritné opatrenie, pretože klasické MFA môže byť pri niektorých phishing scenároch obídené cez real-time proxy alebo podvodné schvaľovanie. Phishing-resistant MFA typicky znamená FIDO2/security keys alebo podobné mechanizmy viazané na skutočnú doménu služby.
Okrem toho má zmysel:
- SPF, DKIM a DMARC pre domény,
- alerty na podozrivé prihlásenia,
- blokovanie look-alike domén,
- simulované phishing kampane,
- pravidlá pre platby a zmeny bankových účtov,
- školenie na kontext, nie len na gramatiku,
- reportovací kanál typu „nahlásiť podozrivý e-mail“.
Cieľ nie je, aby používateľ vedel rozpoznať „text od AI“. Cieľ je, aby rozpoznal požiadavku, ktorá nesedí.
Checklist: pred kliknutím si polož tieto otázky
- Poznám odosielateľa a sedí jeho reálna e-mailová doména?
- Je požiadavka bežná pre jeho rolu?
- Prišla cez normálny kanál?
- Netlačí správa na urgentnosť alebo tajnosť?
- Nežiada obídenie interného procesu?
- Sedí cieľová adresa odkazu s tým, čo tvrdí text?
- Ponúkol password manager uložené heslo?
- Dá sa požiadavka overiť druhým kanálom?
- Nepýta si niekto MFA kód, heslo alebo recovery údaje?
- Nevyzerá správa až podozrivo dokonale vzhľadom na situáciu?
Ak pri niečom zaváhaš, neklikaj. Overuj.
Záver
AI phishing je nebezpečný práve preto, že už nevyzerá hlúpo. Je slušný, čistý, personalizovaný a často dokonale zasadený do pracovného kontextu. Rok 2026 preto mení pravidlá: nejde o to, či e-mail obsahuje chyby. Ide o to, či požiadavka dáva zmysel.
Najlepšia obrana nie je panika, ale disciplína. Neklikať pod tlakom. Overovať druhým kanálom. Používať password manager. Nasadiť phishing-resistant MFA. A hlavne naučiť ľudí, že najnebezpečnejší phishing dnes nemusí vyzerať ako podvod. Môže vyzerať ako profesionálny e-mail, ktorý si len pýta jednu malú výnimku z pravidiel.
A presne tam sa rozhoduje, či firma príde o účet, peniaze alebo pokojný deň.
Zdroje :
