Phishing, deepfake a sociální inženýrství dnes splývají do jediné taktiky, přesvědčit člověka, že jedná s důvěryhodným zdrojem, a donutit ho udělat chybu. Statistiky z posledních let potvrzují, že sociální inženýrství patří k nejčastějším příčinám incidentů, a podvodné převody (BEC) k nejdražším typům útoků hlášených orgánům činným v trestním řízení. Útočníci přitom zneužívají každý kanál, který oběť používá, e‑mail, SMS a chat, firemní komunikátory, sociální sítě i videokonference.
Kvalitní sociální inženýrství stojí na přípravě. Útočníci skládají profil oběti z veřejných zdrojů a únikových databází, analyzují styl komunikace v odcizených e‑mailových vláknech a imitují interní procesy včetně formulářů a šablon. Častá je tzv. thread‑hijacking, kdy se do existující konverzace vloží škodlivý odkaz či “aktualizovaná” faktura. Lákadlem jsou také falešné podpory, servisní linky či investiční příležitosti. Prvním cílem je navázat důvěru, druhým obejít technické kontroly.
Generativní AI výrazně snižuje bariéry. Phishingové zprávy jsou gramaticky čisté, lokalizované do češtiny a často navázané na reálné procesy firmy. Stejná technologie umožňuje přesvědčivě napodobit hlas nebo tvář. Známé jsou případy, kdy deepfake “nadřízený” na videohovoru potvrdil urgentní platbu. Na mobilních zařízeních roste tzv. smishing a vishing, přibývá také útoků založených na QR kódech, které přesměrují uživatele na falešné přihlašovací stránky. Běžná je i “únava z MFA”, tedy zahlcení push notifikacemi s cílem přimět uživatele k neuváženému schválení. Ve veřejném prostoru se objevují i syntetická videa politiků a celebrit, která zneužívají důvěru k propagaci investičních podvodů nebo k šíření dezinformací.
Organizace proto kombinují osvětu, řízené simulace a trénink. Bezpečnostní povědomí se buduje opakovaně a v kontextu role, od krátkých microlearningů po scénáře, které reflektují reálné pracovní toky. Simulované phishingy dnes zahrnují i SMS, hlasové hovory a videa se syntetickým hlasem, aby si lidé vyzkoušeli rozlišování signálů v praxi a osvojili si bezpečné reakce včetně hlášení podezření. Součástí bývají tabletop cvičení pro management a finanční týmy, modelování rizik BEC, nácvik ověřování požadavků mimo primární kanál a jasné eskalační postupy.
