Ako zistím, že už niekto používa môj účet bez hesla?

Podozrivé sú prihlásenia z netypických krajín alebo zariadení, zmenené recovery údaje, nové „podozrivé“ aplikácie v sekcii pripojených aplikácií (OAuth) a forwardovanie mailov na cudzie adresy.

Stačí, keď si po podozrivom kliku zmením heslo?

Nie vždy. Ak útočník získal token alebo schválil aplikáciu cez OAuth, môže mať prístup aj po zmene hesla, pokiaľ nevymažeš aktívne relácie a neodstrániš povolené aplikácie v nastaveniach účtu.

Môže mi útočník zrušiť alebo obísť moje 2FA?

Áno, ak už má prístup do účtu alebo administrátorských nastavení (napr. cez device code / OAuth), môže meniť 2FA nastavenia, pridávať vlastné zariadenia alebo recovery metódy.

Je bezpečné klikať na odkazy z interného firemného Teams/Slack chatu?

Nie automaticky. Ak má útočník kompromitovaný účet kolegu, vie posielať škodlivé odkazy z „dôveryhodného“ interného účtu – špeciálne nebezpečné pri device code a OAuth consent útokoch.

Môžu ma takto hacknúť aj cez QR kód?

Áno. QR kód je len iný formát odkazu – po naskenovaní ťa môže poslať na device code login, OAuth súhlas alebo stránku, ktorá spúšťa ClickFix/Reprompt scenár bez toho, aby si zadával heslo. Viac o nebezpečenstve QR kódov sa dočítaš v článku "Je QR kód bezpečný ? Ako prísť o údaje jedným skenom"

Kliknutie na odkaz : Prečo ťa hacknú bez toho, aby si zadal jediné heslo?

Obsah článku

Nenechaj v tom známych samých – zdieľaj

Začiatočník

Žijeme v dobe, kedy nás rodičia a učitelia naučili jednu základnú mantru: „Hlavne nikomu nehovor svoje heslo a nepíš ho na podozrivé stránky.“ Táto rada je síce fajn, ale v roku 2026 pôsobí asi tak moderne ako inštruktáž k vytáčaniu telefónneho čísla na rotačnom číselníku. Svet kybernetickej bezpečnosti sa totiž pohol dopredu a hackeri zistili, že pýtať si od teba heslo je vlastne príliš veľa roboty.

Dnešné útoky sú elegantnejšie, tichšie a drzejšie. Stačí im jediné tvoje neuvážené kliknutie na odkaz a tvoj digitálny život môže patriť niekomu inému. Najdesivejšie na tom je, že v celom procese nemusíš urobiť ani jednu chybu v zmysle zadania prihlasovacích údajov. Žiadne falošné formuláre, žiadne preklepy v URL adrese banky. Všetko prebehne na oficiálnych stránkach spoločností ako Microsoft alebo Google.

V tomto článku ti vysvetlím, prečo už „klik“ stačí na totálnu kompromitáciu, čo je to technika ConsentFix a prečo ti tvoj vlastný AI asistent môže v sekunde „vybieliť“ súkromie bez toho, aby si si to všimol.

Prečo už „klik“ stačí na hack: Koniec éry hesiel

Ešte pred pár rokmi ťa väčšina útokov potrebovala dotlačiť k tomu, aby si zadal heslo na falošnej stránke. Klasický phishing síce stále funguje, ale hackeri sa už dávno neuspokoja len s tým. Dnes útočníci vedia, že tvoj prehliadač alebo mobil je v podstate kľúčenka plná „lístkov“, ktorým hovoríme session cookies alebo tokeny. Keď sa raz prihlásiš do Gmailu alebo Outlooku, tvoj prehliadač si uloží lístok, ktorý hovorí: „Tento človek je už overený, pusti ho dnu bez pýtania.“

Útočníkom dnes stačí, že:

Klikneš na odkaz v e-maile, chate alebo notifikácii.
Potvrdíš jednu „nevinnú“ akciu (napríklad kód zariadenia alebo súhlas s aplikáciou).
A útočník získa prístup k tvojmu účtu cez tvoj vlastný session token.

Toto je skutočný hack bez hesla. Útočník neútočí na tvoju pamäť, ale na tvoju aktuálnu prihlásenú reláciu.

Device code phishing: Pravá stránka, falošný úmysel

Jedným z najväčších trendov roku 2025 a 2026 je tzv. device code phishing. Ak chceš ísť viac do hĺbky, prečítaj si, ako presne device code phishing funguje a ako sa chrániť, lebo toto je technika, ktorá obchádza aj dvojfaktorové overenie. Tento útok je zákerný v tom, že ťa pošle na úplne legitímnu, pravú stránku Microsoftu, Google alebo Apple. Žiadne podozrivé domény ako micros0ft-login.com. Pôjdeš priamo na microsoft.com/devicelogin.

Ako to funguje? Dostaneš e-mail, správu v Teams alebo pozvánku v kalendári, ktorá tvrdí, že tvoj prístup vypršal. V správe je kód (napr. ABC-123) a odkaz. Kliknutie na odkaz, ktorý ťa hodí na oficiálnu stránku Microsoftu. Tá ťa nepýta heslo. Chce len, aby si zadal ten kód zo správy.

V momente, keď kód zadáš a potvrdíš, urobíš jednu zásadnú vec: autorizuješ útočníkovo zariadenie (ktoré sa tvári napríklad ako „Office 365 Outlook App“), aby sa pripojilo k tvojmu účtu. Výsledkom je, že útočník dostane OAuth token, ktorým sa vie prihlásiť ako ty. Môže čítať tvoje e-maily, sťahovať súbory z OneDrive a často zostane prihlásený aj po tom, čo si zmeníš heslo. Pretože token je platný, kým ho manuálne nezrušíš.

ConsentFix: Ako ti OAuth súhlasy môžu hacknúť účet

Výskumníci v poslednom čase popísali techniku s názvom ConsentFix. Je to v podstate zneužitie toho, ako fungujú moderné cloudové aplikácie. Každý z nás už videl okno: „Aplikácia X žiada o prístup k vášmu profilu a mailom. Povoliť?“.

Pri útoku ConsentFix ťa útočník privedie na stránku, ktorá ti ukáže URL s „magickým“ odkazom (napríklad pre Azure CLI alebo diagnostický nástroj Microsoftu). Ty túto URL skopíruješ a vložíš do svojho prehliadača, kde si už prihlásený. Zobrazí sa ti úplne legitímny súhlas k aplikácii (OAuth consent screen). Aplikácia sa môže volať „IT diagnostika“ alebo „M365 Optimizer“.

Ak klikneš na „Súhlasím“, dal si aplikácii ovládanej útočníkom práva čítať tvoj mail, kalendár a súbory. Celé hacknutie účtu prebehlo bez zadania jediného znaku z tvojho hesla a dokonca aj bez toho, aby zapípal tvoj druhý faktor (MFA), pretože si aplikáciu autorizoval ty sám v rámci už prihlásenej relácie.

Reprompt: Keď ti AI „vycucne“ dáta po jednom kliku

V januári 2026 bol popísaný útok s názvom Reprompt, ktorý cieli na Microsoft Copilot a podobné AI nástroje. Toto je nová úroveň nebezpečenstva, ktorú prináša umelá inteligencia. Microsoft už zraniteľnosť opravil / mitigoval.

Útočník ti pošle link na „zdieľaný Copilot odkaz“ – napríklad s analýzou trhu alebo vtipným promptom. Stačí, že na tento odkaz klikneš. Copilot sa otvorí a vďaka špeciálne upravenému parametru v URL (q=) začne automaticky vykonávať reťazec príkazov (promptov), ktoré mu útočník predpripravil.

Keďže Copilot beží vo tvojom kontexte a má prístup k tvojmu SharePointu, OneDriveu a mailom, začne tieto dáta prehľadávať. Môže napríklad hľadať slová ako „heslo“, „zmluva“ alebo „výplata“ a tieto informácie postupne posielať útočníkovi von. Celý tento hack bez hesla sa odohráva priamo pred tvojimi očami, v okne chatu s AI, ktorému dôveruješ.

ClickFix: Malvér maskovaný za technickú pomoc

Technika ClickFix zneužíva našu tendenciu dôverovať chybovým hláseniam. Útočník kompromituje legitímny web (napríklad blog o varení) a vloží tam skript, ktorý ti zobrazí okno: „Váš prehliadač potrebuje aktualizáciu, kliknite sem pre opravu.“

Jediné kliknutie na odkaz spustí reťazec akcií. Môže ťa prinútiť skopírovať príkaz do tvojho terminálu (PowerShell) pod zámienkou opravy, alebo stiahnuť malý súbor, ktorý je v skutočnosti infostealer (napríklad LummaStealer). Tento softvér nerobí nič iné, len v sekunde ukradne všetky tvoje uložené heslá a hlavne session cookies z prehliadača. Útočník si ich potom nahrá do svojho prehliadača a zrazu je „ty“ bez toho, aby poznal tvoje heslá.

Kde sa tu berie „bez hesla“? Technické pozadie

Možno sa pýtaš, ako je možné, že technológie, ktoré nás majú chrániť, sú také zraniteľné. Odpoveď leží v pohodlnosti a integrácii:

OAuth a tokeny: Moderný web je postavený na tom, že aplikácie komunikujú medzi sebou. Token je ako „VIP vstupenka“ – keď ju raz máš, SBS-kár (heslo) ťa už nekontroluje.
Session Cookies: Aby si sa nemusel prihlasovať pri každom kliknutí na novú podstránku, prehliadač si drží aktívnu reláciu. Ak útočník ukradne túto reláciu, má plný prístup.
Dôveryhodná infraštruktúra: Hackeri využívajú servery Microsoftu a Google na doručovanie svojich útokov. Certifikát je pravý, stránka je pravá, tvoja ochrana v prehliadači (Safe Browsing) teda nič nehlási.

Checklist 1: Detekcia a overenie (Čo robiť hneď po kliknutí)

Ak si náhodou klikol na niečo, čo sa ti nezdá, alebo si zadal nejaký kód, sprav si tento audit:

Skontroluj históriu prihlásení: Choď do nastavení zabezpečenia (napr. myaccount.google.com alebo https://www.google.com/search?q=mysignins.microsoft.com) a pozri sa na „Aktívne relácie“. Vidíš tam zariadenie z iného mesta alebo neznámy prehliadač?
Prever udelené súhlasy (OAuth): Pozri si zoznam aplikácií s prístupom k tvojmu účtu. Hľadaj čokoľvek, čo sa volá „App“, „Test“, „Diagnostika“ alebo má podozrivo vysoké práva (napr. „Read all mail“).
Skontroluj pravidlá pošty: Hackeri po úspešnom vniku často nastavia pravidlá preposielania (forwarding) alebo automatické mazanie správ, aby si si nevšimol upozornenia o novom prihlásení.
Sleduj aktivitu Copilota/AI: Ak si klikol na Copilot link, pozri si históriu chatu, či tam AI nezačala sama „vypisovať“ citlivé údaje z tvojich súborov.
Over si odosielateľa: Ak ti odkaz poslal kolega, zavolaj mu. Účet mu mohol byť napadnutý presne tou istou technikou a teraz ju šíri ďalej.

Checklist 2: Odstránenie a náprava (Ako vyhnať útočníka)

Ak máš podozrenie, že k hacknutie účtu je reálne, postupuj radikálne:

Odhlásenie zo všetkých relácií: V nastaveniach bezpečnosti zvoľ „Sign out from all devices“ (Odhlásiť zo všetkých zariadení). Toto zneplatní ukradnuté session cookies.
Zrušenie podozrivých OAuth aplikácií: Nemilosrdne vymaž každú aplikáciu tretej strany, ktorú stopercentne nepoznáš. Ak je legitímna, vypýta si prístup znova.
Zmena hesla (pre istotu): Hoci útoky často heslo nepotrebujú, jeho zmenou vynútiš obnovu niektorých typov tokenov.
Obnova MFA (Multi-Factor Authentication): Ak máš podozrenie, že útočník mohol pridať svoje vlastné zariadenie ako druhý faktor, vymaž všetky MFA metódy a nastav ich nanovo.
Premazanie cookies a cache: Vyčisti prehliadač v mobile aj v PC. Zbavíš sa tým starých tokenov, ktoré by útočník mohol stále zneužívať.
Kontrola odoslanej pošty: Pozri sa, či z tvojho účtu neodchádzajú ďalšie odkazy na tvojich známych.

FAQ: Najčastejšie otázky o hackoch bez hesla

Ako zistím, že už niekto používa môj účet bez hesla?
Podozrivé sú prihlásenia z netypických krajín alebo zariadení, zmenené recovery údaje, nové „podozrivé“ aplikácie v sekcii pripojených aplikácií (OAuth) a forwardovanie mailov na cudzie adresy.
Stačí, keď si po podozrivom kliku zmením heslo?
Nie vždy. Ak útočník získal token alebo schválil aplikáciu cez OAuth, môže mať prístup aj po zmene hesla, pokiaľ nevymažeš aktívne relácie a neodstrániš povolené aplikácie v nastaveniach účtu.
Môže mi útočník zrušiť alebo obísť moje 2FA?
Áno, ak už má prístup do účtu alebo administrátorských nastavení (napr. cez device code / OAuth), môže meniť 2FA nastavenia, pridávať vlastné zariadenia alebo recovery metódy.
Je bezpečné klikať na odkazy z interného firemného Teams/Slack chatu?
Nie automaticky. Ak má útočník kompromitovaný účet kolegu, vie posielať škodlivé odkazy z „dôveryhodného“ interného účtu – špeciálne nebezpečné pri device code a OAuth consent útokoch.
Môžu ma takto hacknúť aj cez QR kód?
Áno. QR kód je len iný formát odkazu – po naskenovaní ťa môže poslať na device code login, OAuth súhlas alebo stránku, ktorá spúšťa ClickFix/Reprompt scenár bez toho, aby si zadával heslo. Viac o nebezpečenstve QR kódov sa dočítaš v článku "Je QR kód bezpečný ? Ako prísť o údaje jedným skenom"

Zhrnutie: Mindset pre rok 2026

Hackeri už nečakajú, kým urobíš chybu pri zadávaní hesla. Čakajú, kým urobíš chybu v úsudku pri potvrdzovaní súhlasu. Každé kliknutie na odkaz, ktorý od teba žiada akúkoľvek interakciu s tvojím účtom, by si mal brať s obrovskou rezervou.

Pravidlo je jednoduché: Ak ti niekto povie „zadaj tento kód na tejto stránke“, alebo „povoľ prístup tejto aplikácii“, je to na 99 % útok. Moderné systémy sú navrhnuté tak, aby ti život zjednodušovali, nie aby ťa nútili robiť manuálne autorizačné kroky cez neznáme kódy. Zostaň ostražitý, kontroluj si udelené práva a pamätaj, že tvoj prihlásený prehliadač je tvoja najväčšia slabina.

Zdroje :

Microsoft , PushSecurity