Spear-phishing a sociálne inžinierststvo

Spear-phishing nie je hromadný spam. Je to presne cielený útok na konkrétneho človeka, ktorý má prístup k peňaženke, účtom alebo citlivým dátam. A väčšina útokov začína pohľadávaním vašich zamestnancov na LinkedIn.

Kľúčový rozdiel medzi bežným phishingom a spear-phishingom je personalizácia. Običajný phishing posiela rovnaký email miliónom ľadí a čaká, kto klikne. Spear-phishing skúma konkrétnu osobu — jej meno, pozíciu, šéfa, aktivity na LinkedIn, dodvateľov firmy — a potom vytvorí email, ktorý znie presne ako interná komunikácia. Cíeľe sú vybrané stačlivo: účtovníčka schvaľujúca prevody, IT admin s adminístratorým prístupom alebo asistentka CEO s prístupom ku kalenáru riaditeľa.

Sociálne inžinierststvo nejde cez zraniteľnosť systému — ide cez zraniteľnosť človeka. V roku 2026 AI znamená, že príprava útoku, ktorá pred 5 rokmi trvala týždne, zaberie analytickému modelu 40 minút. Podľa Kymatio 2026 Phishing Benchmarks dosahuje spear-phishing mieru kliknutia 34 % aj u vytrénovaných zamestnancov pri prvých expozíciách.

Najbežnejšie typy spear-phishingových útokov

• CEO Fraud (Business Email Compromise): email zdanlivo od riaditeľa účtovníčke — „Úhrada faktúry musí byť do 2 hodín, som na lete, volám neskôr.“ Vendor Impersonation: sfalzifikovaný email od existujúceho dodavateľa s novým číslom účtu
• IT Helpdesk Attack: email z IT oddelenia o nutnej zmene hesla
• Všetky tri typy majú jedno spoločné — sú napÚsané dokonale a nevzbudzujú podozrenie

Ako si útoky na vašu firmu pripravia

• CEO Fraud (Business Email Compromise): email zdanlivo od riaditeľa účtovníčke — „Úhrada faktúry musí byť do 2 hodín, som na lete, volám neskôr.“ Vendor Impersonation: sfalzifikovaný email od existujúceho dodavateľa s novým číslom účtu
• IT Helpdesk Attack: email z IT oddelenia o nutnej zmene hesla
• Všetky tri typy majú jedno spoločné — sú napÚsané dokonale a nevzbudzujú podozrenie

Ako OPSEC Lab simuluje spear-phishing

OPSEC Lab vytvorí spear-phishingový email s použitím reálnych verejných dát vašej firmy — rovnako ako skutočný útočník. Zamestnanec dostane email, ktorý nerozlíši od reálnej internej komunikácie. Ak klikne, dostane okamžite mikro-školenie. Ak neklikne, vidíme, ktoré oddelenie je skutočne odolné. Výsledok je prehľadný report pre management aj NIS2 audit.

Spear-phishing nie je problém IT oddelenia. Je to problém každého zamestnanca, ktorý má email. Riešenie nie je technické — je to pravidelne vytrénovaný tím, ktorý vie rozpoznať manipuláciu skôr, než klikne. OPSEC Lab túto odolnosť buduje systematicky a meratelľne.