Když útočník píše z důvěryhodné adresy

Phishing z napadených e-mailových schránek patří mezi nejnebezpečnější formy podvodu. Zpráva nepřichází z podezřelé adresy ani z falešné domény, ale z reálného účtu, kterému běžně důvěřujete.

Dostanete e-mail od kolegy, dodavatele nebo obchodního partnera. Adresa vypadá správně, styl komunikace působí přirozeně a zpráva se dokonce odvolává na skutečnou fakturu nebo předchozí komunikaci. Kliknete na odkaz a útočník získává další přístup.

V takovém případě nejde o běžný spam. Jde o phishing odeslaný z legitimní e-mailové schránky, kterou útočník právě ovládá. Právě proto dokáže obejít filtry i přirozenou obezřetnost uživatelů.

✉

~12 % detekce filtry část zpráv z napadených schránek zachytí spam filtr

⚠

91 % útoků začíná e-mailem phishing je stále jedním z hlavních vstupních bodů

◷

72 h kritické okno reakce čas od kliknutí po izolaci útočníka rozhoduje o škodách

Co je phishing z napadené schránky?

Klasický phishing dnes většina lidí dokáže poznat: zvláštní odesílatel, překlepy, falešná doména nebo podezřelá příloha. Bezpečnostní filtry jsou v tomto boji stále lepší.

Existuje ale nebezpečnější varianta. Útočník nejdříve získá přístup k reálné e-mailové schránce, například zaměstnance, dodavatele nebo obchodního partnera. Může se k ní dostat přes uniklé heslo, malware nebo předchozí phishing. Jakmile má přístup, začne posílat podvodné zprávy přímo z legitimní adresy.

Proč je to tak nebezpečné

Zpráva přichází z ověřené existující domény, často s platnou SPF, DKIM i DMARC autentizací. Pro filtr i příjemce vypadá důvěryhodně, protože technicky skutečně odchází z dané schránky. Jen člověk za klávesnicí není tím, za koho se vydává.

Jak takový útok vypadá v praxi?

Útočníci často využívají komunikaci, která je pro firmu běžná: faktury, objednávky, smlouvy, sdílené dokumenty nebo upozornění na platby. Cílem je, aby zpráva nepůsobila výjimečně. Naopak má zapadnout do každodenního provozu.

Příklad podvodného e-mailu

Od: Jana Malá <j.mala@spolehlivy-partner.cz>

Komu: Vy <vas@vasefirma.cz>

Datum: 13. 5. 2026, 9:47

Předmět: Upomínka: neuhrazená faktura č. 2026-0412, prosím o kontrolu

Dobrý den,
dovoluji si Vás upozornit, že faktura č. 2026-0412 vystavená dne 14. 4. 2026 na částku 2 340,00 EUR nebyla k dnešnímu dni uhrazena.

Fakturu najdete na následujícím odkazu:
https://onedrive.live.com/redir?resid=A3F92...&faktura_2026-0412.pdf

Pokud je platba na cestě, prosím o ignorování této zprávy. Jinak Vás žádám o vyrovnání do 20. 5. 2026.

S pozdravem,
Jana Malá
Obchodní oddělení
Spolehlivý Partner s.r.o.

Takový e-mail může působit důvěryhodně, protože používá skutečná jména, reálné částky, předchozí vlákna komunikace nebo cloudové služby, které firmy denně používají.

Zpráva přichází ze skutečné domény obchodního partnera.
Obsahuje konkrétní údaje, které útočník získal čtením e-mailové historie.
Odkaz směřuje na cloudové úložiště jako OneDrive, SharePoint, Google Drive nebo Dropbox.
Text vytváří časový tlak a vyvolává pocit, že je potřeba jednat okamžitě.

”
Útočník neposílá zprávu z podvržené adresy. Vystupuje jako skutečný odesílatel, protože má přístup k jeho e-mailové schránce.

Řetězec útoku krok za krokem

Útok z napadené schránky obvykle neprobíhá náhodně. Útočník si nejdříve připraví půdu, sleduje komunikaci a až potom zaútočí ve chvíli, kdy má největší šanci uspět.

1. Kompromitace schránky

Útočník získá přihlašovací údaje přes phishing, malware, uniklou databázi nebo slabé heslo.

2. Průzkum komunikace

Čte e-mailovou historii, hledá faktury, obchodní vztahy, jména kolegů, tón komunikace a opakované procesy.

3. Příprava škodlivého obsahu

Vytvoří dokument, odkaz nebo přihlašovací stránku určenou ke krádeži údajů nebo instalaci škodlivého softwaru.

4. Odeslání zprávy

Z kompromitované schránky odešle zprávy kontaktům v adresáři. Příjemce vidí známé jméno a legitimní adresu.

5. Zneužití a šíření

Příjemce klikne na odkaz, stáhne soubor nebo zadá přihlašovací údaje. Útočník tak získává další přístup.

6. Utajení a perzistence

Útočník si může nastavit pravidla schránky, automatické přeposílání, mazání zpráv nebo skryté sledování komunikace.

Proč tato technika funguje tak dobře?

Lidský mozek je nastavený na sociální důvěru. Když vidíme jméno někoho, koho známe, přirozeně předpokládáme, že komunikace je bezpečná. Právě na tom stojí Business Email Compromise, známý také jako phishing přes převzetí účtu.

Technické zabezpečení zároveň často selhává z jednoduchého důvodu: zpráva skutečně pochází z deklarované domény. SPF, DKIM i DMARC mohou skončit výsledkem „pass“, protože útočník neposílá e-mail z falzifikátu, ale z reálné schránky.

Cloudová úložiště jako zbraň

Útočníci často využívají důvěryhodné platformy jako OneDrive, SharePoint, Google Drive nebo Dropbox. Tyto služby jsou ve firmách běžné a bezpečnostní filtry je často neblokují. Škodlivý obsah se tak může skrývat za odkazem, který na první pohled nepůsobí podezřele.

Jak poznat podezřelou zprávu

U phishingu z napadené schránky nemusí být podezřelý samotný odesílatel. Důležité je všímat si kontextu, jazyka zprávy, odkazů a požadované akce.

Červené vlajky, u kterých je potřeba zpomalit

Odkaz vede na cloudové úložiště, ne na web odesílatele.
Zpráva vytváří umělý tlak: deadline, penále, urgentní upozornění.
Žádá přihlášení tam, kde ho běžně nepotřebujete.
Tón nebo formulace jsou mírně jiné než obvykle.
Faktura byla údajně aktualizována a je potřeba stáhnout novou verzi.
Platební údaje se změnily oproti předchozí komunikaci.
Zpráva přišla v nezvyklém čase nebo působí mimo běžný kontext.

Co dělat při pochybnostech

Zavolejte odesílateli na ověřené telefonní číslo, ne na číslo z podezřelé zprávy.
Před kliknutím zkontrolujte URL adresu a doménu.
Neotevírejte přílohy ani odkazy ve zprávách, které jste neočekávali.
Nahlaste zprávu IT nebo bezpečnostnímu týmu ještě před jakoukoli akcí.
U plateb a změn bankovních údajů vždy použijte druhý ověřovací kanál.

Jak se bránit: doporučení pro firmy

Nejúčinnější ochrana vzniká kombinací technických opatření, jasných procesů a pravidelné osvěty. Žádný jeden nástroj nestačí. Útočníci kombinují techniku s psychologií a obrana musí dělat totéž.

Technická vrstva

Zapněte MFA, podmíněný přístup, detekci hrozeb, bezpečné zpracování odkazů a příloh, auditní logy a ochranu e-mailových účtů.

Procesní vrstva

Zaveďte pravidla pro ověřování změn bankovních údajů, eskalační postupy, monitoring úniků hesel a princip minimálních oprávnění.

Lidská vrstva

Pravidelně školte zaměstnance, dělejte simulovaná phishingová cvičení a podporujte ověřování podezřelých zpráv.

Tip pro správce Microsoft 365 / Exchange

Aktivujte ochranné funkce jako Safe Links, Safe Attachments a anti-phishing policies. Nastavte alerty na neobvyklé odesílání, ponechte zapnuté auditní logy a deaktivujte legacy protokoly jako IMAP nebo SMTP bez MFA.

Co dělat, když k incidentu dojde?

Rychlost reakce je klíčová. Čas mezi prvním podezřením a izolací napadeného účtu přímo ovlivňuje rozsah škod.

Okamžitě změňte heslo napadeného účtu a odvolejte všechny aktivní relace.
Zkontrolujte pravidla schránky, zejména přeposílání a automatické mazání zpráv.
Analyzujte logy: komu byly zprávy odeslány, kdy a s jakými odkazy.
Informujte kontakty, které mohly dostat podvodnou zprávu.
Nahlaste incident příslušným bezpečnostním autoritám nebo pojišťovně, pokud je to relevantní.
Zdokumentujte průběh incidentu a upravte procesy, aby se podobný scénář neopakoval.

Závěr

Sofistikovaný phishing z napadených schránek je hrozba, u které samotná technologie nestačí. Útočníci jsou trpěliví, umí se přizpůsobit a využívají naši přirozenou důvěru ve známá jména, adresy a komunikační vlákna.

Kombinace MFA, zdravého skepticismu, jasných interních procesů a pravidelné osvěty dokáže výrazně snížit pravděpodobnost úspěšného útoku. A pokud k incidentu přesto dojde, pomáhá omezit jeho dopad.

Chcete firmu lépe chránit před phishingem?

Pomůžeme vám nastavit technická opatření, procesy i školení tak, aby vaši lidé uměli rozpoznat podezřelou komunikaci a firma dokázala rychle reagovat při incidentu.

Kontaktujte nás →