Stlačte "Enter" na preskočenie k obsahu

Sociálne inžinierstvo: keď útok mieri na človeka, nie na počítač

Publikované 7. apríla 2026 od Denis Ďurica

V predchádzajúcich textoch sme si ukázali, že mnohé incidenty nezačínajú technickým trikom, ale človekom. Práve tým je sociálne inžinierstvo – psychologická manipulácia, pri ktorej sa útočník vydáva za dôveryhodnú osobu alebo inštitúciu, aby od obete vylákal informácie, peniaze alebo ju prinútil urobiť riskantný krok (kliknúť, nainštalovať, zaplatiť).

Prečo na nás sociálne inžinierstvo funguje?

Útočníci cielia na skratky v rozhodovaní a emócie:

  • Autorita („Som z IT oddelenia/banky…“),
  • Naliehavosť a strach („Ihneď potvrďte platbu, inak účet zablokujeme“),
  • Nedostatok/príležitosť („Posledné kusy len dnes“),
  • Reciprocita a sympatia (milá prosba „kolegu“),
  • Konzistentnosť (najprv drobná neškodná žiadosť, potom väčšia).

Keď cítime tlak, konáme automaticky – a presne na to sa útočníci spoliehajú.

Najčastejšie techniky sociálneho inžinierstva

  • Phishing, vishing a smishing – podvodné správy a hovory, ktoré imitujú banky, pošty či kuriérov.
  • Pretexting – útočník si pripraví vierohodný „príbeh“ (napr. falošný technik/kuriér) a žiada prístup či údaje.
  • Baiting – „návnada“ ako voľne pohodený USB kľúč či „bezplatné stiahnutie“ so škodlivým obsahom.
  • Tailgating/ piggybacking – fyzické nasledovanie zamestnanca cez dvere na kartu bez vlastného prístupu.
  • Quid pro quo – „výhoda za výhodu“, napr. falošná technická podpora výmenou za prístupové údaje.
  • Business Email Compromise (BEC) / CEO fraud – falošný e-mail „od šéfa“ s urgentnou platbou alebo zmenou IBAN.

Ako vyzerá útok v praxi (rýchle scenáre)

  1. „Balík na ceste“ – príde SMS s prosbou o doplatenie pár eur. Odkaz vedie na stránku napodobňujúcu kuriéra; cieľom je získať údaje karty alebo vás naviesť na inštaláciu škodlivej appky (na Slovensku sa takto šíril Flubot).
  2. „IT podpora“ volá – „technik“ žiada nainštalovať „diagnostický nástroj“, ktorý je v skutočnosti vzdialený prístup do vášho zariadenia.
  3. „Šéf“ píše v piatok popoludní – žiada urgentný prevod na nový IBAN a „nevolať, som na porade“.
  4. „Pošli mi overovací kód“ – „známy“ na sociálnej sieti chce preposlať SMS kód; v skutočnosti ide o kód do vášho účtu (2FA reset alebo prihlásenie).

Varovné signály, ktoré si všímať

  • Nezvyčajný kanál a čas (netypické čísla, anonymné maily, správy mimo pracovných hodín).
  • Jazyk a tón (gramatické chyby, zvláštne oslovenie, silná naliehavosť).
  • Technické detaily (doména s preklepom, prelinkovaný odkaz na inú adresu, prílohy žiadajúce makrá).
  • Zmena zabehnutého procesu (nový IBAN, žiadosť obísť pravidlo „štyroch očí“, zákaz overiť telefonicky).
  • Žiadosť o kód/heslo – legitímne služby nikdy nežiadajú preposielať prihlasovacie alebo 2FA kódy.

Ako sa brániť: zvyky, procesy a technológie

1) Zastav sa, over, až potom konaj

  • Spomaľ – časový tlak je súčasť útoku.
  • Over nezávislým kanálom – pri e-maile volajte na známe číslo (nie to v správe).
  • Pravidlo štyroch očí – žiadny prevod či zmena platieb bez druhého schválenia.
  • Nikdy neposielaj kódy a heslá – ani „podpore“, ani „kolegom“.

2) Technické opatrenia

  • Viacfaktorová autentifikácia (MFA) – zapnite ju všade, kde to ide.
  • Aktualizácie a bezpečnostný softvér – minimalizujú následky, aj keď kliknete.
  • Ochrana e-mailu – antispam a overovanie domén (SPF / DKIM / DMARC); implementáciu riešte s administrátorom.
  • Zálohy podľa pravidla 3-2-1 – návod nájdete pri pravidle 3-2-1.

Čo urobiť pri podozrení na podvod

  1. Nepokračujte v komunikácii a nič neklikajte.
  2. Zachyťte dôkazy (snímka obrazovky, adresa URL, číslo, čas).
  3. Overte informáciu u zdroja nezávislým kanálom (banka, kuriér, zamestnávateľ).
  4. Nahláste incident – vo firme IT/bezpečnosti; v osobnej rovine banke a podľa potreby polícii.
  5. Zmeňte heslá a skontrolujte účty; prípadne spevnite MFA.

5-sekundový test odolnosti

Pred každým kliknutím si položte tri otázky:

  • Kto som? Je to moja agenda a mám na to kompetenciu?
  • Kto je odosielateľ? Sedí doména/číslo a kanál, ktorým ma kontaktuje?
  • Čo odo mňa chce? Je v tom tlak, tajnosť, obchádzanie procesu alebo žiadosť o kód/heslo?

Ak zaváhate čo i len pri jednej odpovedi, zastavte sa a overte iným kanálom.

Publikovaný v Bezpečnosť

Okomentujte ako prví

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *

Táto stránka používa Akismet na obmedzenie spamu. Zistite, ako sa spracovávajú údaje o vašich komentároch.