• Naše služby na mieru

      Vyberte si oblasť, s ktorou vám vieme pomôcť – rýchlo, spoľahlivo a odborne.

      Ochrana osobných údajov

      Kybernetická bezpečnosť

      Bezpečnosť práce

      Online poradca

      Šikana a kyberšikana

      Ochrana oznamovateľa

      Anonymizér dokumentov

      Segregácia

      Prehľad služieb

    • Riešenia prispôsobené pre váš segment

      Vyberte typ organizácie alebo podnikania a pozrite si riešenia šité na mieru.

      Obec

      Mesto

      Škola

      Školské zariadenie

      Zdravotníctvo

      Štátna správa

      E-shop

      Malý podnik

      Veľký podnik

      Iný subjekt

  • Referencie
  • EN
Konzultácia zdarma
Späť na Blog

Viac než len phishing: Sila sociálneho inžinierstva

19. novembra 2025

Späť na Blog

Čo je to sociálne inžinierstvo?

Sociálne inžinierstvo je v podstate „hackovanie ľudí“, nie počítačov; ide o súbor metód psychologickej manipulácie, podvodu a klamstva. Namiesto prelomenia technológií sa útočníci zameriavajú priamo na ľudský faktor. Zneužívajú vaše najzákladnejšie vlastnosti – ako je dôvera, strach, zvedavosť alebo nepozornosť – aby vás oklamali. Pointou je prinútiť vás, aby ste im dobrovoľne prezradili citlivé informácie alebo vykonali akciu, ktorá obíde všetky technické bezpečnostné opatrenia.


Ako funguje sociálne inžinierstvo?

Sociálne inžinierstvo funguje na princípe psychologickej manipulácie. Namiesto napádania technológií sa zameriava na ľudský faktor. Útočník sa snaží oklamať, zmanipulovať alebo prinútiť obeť, aby vykonala nejakú akciu alebo prezradila alebo poskytla útočníkovi citlivé informácie. Robí to tak, že sa vydáva za dôveryhodnú osobu (napr. kolegu, šéfa, banku) alebo vytvára falošný pocit naliehavosti, strachu či zvedavosti.


Prečo uprednostňujú útočníci sociálne inžinierstvo pred inými spôsobmi a metódami útokov?

Pretože sociálne inžinierstvo je jedným z najefektívnejších nástrojov pre získavanie citlivých informácií zo zabezpečených systémov.


Aké zručnosti, vedomosti, schopnosti, nástroje vyžaduje sociálne inžinierstvo?

Sociálne inžinierstvo si vyžaduje skôr psychologické zručnosti než pokročilé technické znalosti. Základom je schopnosť psychologicky manipulovať. Útočníci cielene využívajú emócie ako strach, zvedavosť alebo pocit naliehavosti. Musia byť presvedčiví a vedieť „hrať“ svoju rolu. Napríklad telefonické útoky (Vishing) si vyžadujú presvedčivé herecké schopnosti. Kľúčová je impersonifikácia, teda vydávanie sa za niekoho iného. Predstierajú, že sú dôveryhodné osoby, napríklad kolegovia alebo zástupcovia banky. Útočníci si vopred pripravujú uveriteľné scenáre, čo sa nazýva pretexting. Zdatní útočníci dokážu vytvoriť aj reálne vyzerajúce falošné e-maily s podpismi či fotografiami. Pred útokom si robia podrobný prieskum cieľa. Využívajú verejné informácie, napríklad z platforiem ako LinkedIn. Používajú bežné nástroje ako e-mail, telefón, SMS alebo četovacie aplikácie. Niekedy útok kombinujú s malvérom. Môžu tiež použiť reálne heslá obetí získané z predchádzajúcich únikov dát.


Aké formy, typy a techniky využívajú útočníci pri sociálnom inžinierstve?


E-mailový útok – phishing
Pri tomto útoku sa zasielajú emaily s klamlivým obsahom, ktorých súčasťou sú odkazy na webové sídla, ktorých cieľom je pôsobiť dôveryhodne a nevzbudzovať u prijímateľa pochybnosti s cieľom donútiť kliknúť na ne a odhaliť citlivé informácie, ako sú napríklad prístupové heslá, osobné údaje, či čísla z kreditných kariet.

Cielený phishing, resp. spear phishing
Podobná metóda phishingu, ktorá je cielená natoľko presne, že útočníci prispôsobujú správy konkrétnym informáciám o osobe, ktorá je cieľom útoku.

Vábenie / baiting
Pri tejto forme sociálneho inžinierstva útočník láka na výhody (napr. tovaru, bezplatné stiahnutie, finančné odmeny, VIP prístup) ktoré sa javia prekvapivo výhodne. V tomto prípade cieľom je obeť naviesť a donútiť vykonať akciu (call to action), ktorá ohrozí jednoznačne je bezpečnosť a to napríklad:
– stiahnuť a spustiť škodlivý softvér (malware), zadať citlivé údaje na falošnej stránke, či pripojiť neznáme zariadenie (napr. USB kľúč) do svojho zariadenia. Baiting sa odohráva v online ale aj off-line prostredí. Ponúkaný môže byť bezplatný film, najnovšia hra, album slávneho interpreta, falošné finančné odmeny. Aby obeť získala obsah, musí stiahnuť súbor, ktorý je v skutočnosti škodlivý kód (malware). Pri off-line baitingu (vnadeniu) obete sa využíva ako návnada pohodené USB napríklad na veľkých parkoviskách pred supermarketmi alebo na miestach s vysokou frekvenciou pohybu ľudí. Pred baitingom je možné sa chrániť rozumným uvažovaním a dodržiavaním základných bezpečnostných pravidiel a odporúčaní.
Vždy sa odporúča premýšľať dvakrát, overiť zdroj, nikdy nepripájajte neznáme USB kľúče a podobné zariadenia (nikdy) do vlastných a pracovných zariadení, používajte antivírusovú ochranu a antimalware, udržujte operačné systémy vždy aktuálne a v neposlednom rade dávajte pozor na povolenia. Buďte obozretní, v momentoch keď je od vás požadované vypnutie bezpečnostných funkcií alebo stiahnutie súboru s neobvyklou koncovkou (napr. exe, .zip s vloženým .exe, .scr. ).

Vymyslené zámienky útočníkov (pretexting)
Pretexting predstavuje v oblasti kybernetickej bezpečnosti špecifickú a vysoko sofistikovanú metódu sociálneho inžinierstva. Charakterizuje sa predovšetkým vytvorením dopodrobna premysleného falošného scenára, inač povedané ‚pretext‘, čo znamená prevzatie falošnej identity do dôveryhodnej. Hlavným cieľom útočníka je získanie dôvery obete a následná manipulácia. Následne útočník dôveru zneužije na vylákanie kritických informácií – predovšetkým prihlasovacích údajov, finančných dát – alebo na dosiahnutie, že obeť vykoná úkony, ktorá kompromituje jeho osobnú, či firemnú bezpečnosť. Psychologické páky sú útočníkmi využívane často, ako je naliehavosť alebo predstieraná autorita (napríklad vydávanie sa za IT oddelenie alebo výkonného manažéra, či rešpektovanej osoby), s cieľom eliminovať kritické myslenie obete. Pretexting je častokrát iba úvodnou fázou komplexnejšieho útoku, napríklad takej cielenej phishingovej kampane. Preto je kľúčová prevencia, ktorá spočíva v neustálom kritickom overovaní všetkých neočakávaných požiadaviek cez vopred stanovené a dôveryhodné komunikačné kanály, namiesto spoliehania sa na informácie poskytnuté neovereným kontaktom.

Hlasový phishing
Vishing patrí medzi veľmi účinné formy sociálneho inžinierstva, pretože kyberzločinec pri ňom využíva telefónny hovor na vytvorenie prefíkaného bezprostredného a osobného kontaktu s obeťou. Útočník počas telefonátov pôsobí dôveryhodne a vydáva sa za autoritu (napr. pracovníka banky, políciu, daňový úrad, technickú podporu, doručovacie služby a spoločnosti a podobne) a pomocou overených technik napr. akou jednou z mnoha je spoofing presvedčí obeť o legitímnosti hovoru. Následne vyvinie silný psychologický nátlak, naliehavosť a dôležitosť, častokrát s hrozbou finančnej straty alebo trestnoprávnych dôsledkov. Cieľom takejto kombinácie faktov je obeť prinútiť a u obeti vyvolať potrebu konať podľa pokynov útočníka – odovzdanie citlivých údajov, vykonanie finančnej transakcie, čím sa obeť stáva dôležitým aktérom pri vlastnom okradnutí.

Podvod predstieraním inej identity
Útočníci predstierajú identitu niekoho iného (online alebo off-line) s cieľom získať dôveru obete, manipulovať ňou a donútiť ju vykonať kroky, ktoré sprístupnia útočníkovi cenné a dôverné informácie.

Phishing predstieraním zákazníckej podpory – tzv. angler phishing
Pri tomto útoku sa útočníci zameriavajú na sociálne médiá a využívajú aktuálne trendové témy na vytváranie klamlivých správ, ktoré sú typicky prezentované ako relevantné a dôveryhodné.

Ransomware vrátane vydierania
Ransomware je typ škodlivého softvéru, ktorý útočníkom slúži na vydieranie a priamym cieľom je získať finančné prostriedky. Moderný ransomvérový útok nie je blesková akcia. Trvá týždne alebo aj mesiace, kým sa útočníci dostanú od počiatočnej infekcie k finálnemu zašifrovaniu. Celý čas sa potichu pohybujú v sieti. Pri tomto type útoku kyberzločinci využívajú neustále sofistikovanejšie spôsoby vydierania:

Klasické vydieraní = zašifrovanie dát, systému /-ov = znemožnenie prístupu. Cieľom je prinútiť obeť zaplatiť výkupné výmenou za dešifrovací kľúč.

Dvojité vydieranie
Dnes je to už štandardom. Skôr než útočník zašifruje dáta, najprv ich ukradne (tento proces sa volá exfiltrácia dát). Cieľom útočníka je mať zadné dvierka a to, ak v prípade, že obeť odmietne zaplatiť výkupné (napr. preto, že obeť má dobré zálohy), útočník sa vyhráža zverejnením ukradnutých dát na internete zvyčajne na dark webe (temnom webe). Pre firmu to môže znamenať stratu reputácie vrátane obrovskej pokuty (napr. pokuty za poručenie GDPR)

Trojité vydieranie
Útok sa okrem šifrovania, hrozby zverejnenia dát rozšíri o kontaktovanie kontaktov obete – vašich klientov, krátkodobých, či dlhodobých partnerov alebo dodávateľov, ktorých údaje boli útočníkom nájdené v ukradnutých dátach a informujú ich o útoku, čím sa zvyšuje vyvýianý nátlak na obete. Následne útočník spustí DDOS útok na zahltenie web stránky obete za účelom paralyzovať fungovanie firmy kým sa výkupné nezaplatí. Útočníci používajú maximálne páky pre dosiahnutie cieľa a to získanie peňazí.


Aké psychologické a manipulačné techniky používajú útočníci pri sociálnom inžinierstve?

Útočníci zneužívajú základné ľudské inštinkty a pri útokoch využívajú naučené sociálne správanie.

Aké informácie zhromažďujú útočníci, ak používajú sociálne inžinierstvo?

Najčastejšie sa útočníci zameriavajú na získanie hesiel, finančných údajov a prístupových hesiel do systémov, sietí a platforiem.


Prečo sa útočníci zameriavajú práve na ľudský faktor a využívajú sociálne inžinierstvo ako hlavný typ útoku?

Útočníci sa zameriavajú na ľudský faktor, pretože človek je často považovaný za najslabší článok bezpečnostného reťazca. Sociálne inžinierstvo je pre nich atraktívne aj z týchto dôvodov a to využívania psychológie, nie technológie. Pri týchto útokoch sa útočníci spoliehajú na psychológiu a manipulačné techniky, ktoré zneužívajú základné ľudské vlastnosti. Patrí sem dôvera, emócie, strach, nepozornosť, ľudská zraniteľnosť alebo ochota pomôcť. Taktiež je to efektívne a menej náročné: Z pohľadu útočníka ide často o najjednoduchší a najefektívnejší spôsob, ako získať prístup. Tieto útoky sú často úspešnejšie a finančne menej náročné ako tradičné hackerské metódy, pretože nevyžadujú príliš rozvinuté technické zručnosti.


Prečo by sa mali firmy bez ohľadu na ich veľkosť zaoberať témou zvyšovania kyber. bezpečnosti a sociálnym inžinierstvom?

Cieľom sú všetky firmy. Útočníci sa nezameriavajú len na veľké korporácie. Prieskumy ukazujú, že malé a stredné firmy si čoraz viac uvedomujú, že sú terčom kybernetických útokov. Takmer polovica (46 %) malých firiem sa dokonca považuje za „veľmi pravdepodobný“ cieľ. Napríklad impersonifikačné útoky, pri ktorých sa útočník vydáva za niekoho iného (napr. riaditeľa), cielili v roku 2019 na firmy všetkých veľkostí.
Zameranie na ľudskú psychológiu.
Techniky sociálneho inžinierstva sa spoliehajú viac na psychológiu než na zložité technické zručnosti. Využívajú ľudské emócie, dôveru, strach alebo nepozornosť. Týmto spôsobom dokážu obísť aj robustné technické zabezpečenie, ako sú firewally alebo antivírusové programy.
Vysoká efektivita a rozšírenosť
Sociálne inžinierstvo je druhou najpoužívanejšou taktikou útočníkov, hneď po hackerských útokoch. Podľa jednej zo správ tvorili útoky využívajúce sociálne inžinierstvo až 33 % z celkového počtu únikov údajov.
Závažné finančné a operačné dôsledky
Škody spôsobené týmito útokmi bývajú skutočne rozsiahle. Napríklad len v roku 2020 prijalo FBI sťažnosti vo veci kompromitácie firemných e-mailov (BEC), kde sa škody vyšplhali na viac ako 1,8 miliardy dolárov. Pre malé a stredné firmy môžu byť takéto následky úniku údajov fatálne: 37 percent firiem utrpelo finančnú stratu, 25 percent vyhlásilo konkurz a 10 percent muselo ukončiť svoju činnosť a pôsobnosť na trhu. Určite stojí za spomenutie aj fakt, že špeciálnou kategóriou je útok nazývaný ako „whaling“, ktorý sa zameriava na vysoko postavených jednotlivcov, ako sú vrcholoví manažéri, či majitelia firiem. Pri metóde zvanej pretexting si útočník môže za cieľ zvoliť aj externých poskytovateľov služieb alebo produktov, napríklad IT podporu.


Kto sa môže stať terčom, resp. cieľom útoku sociálneho inžinierstva?

Terčom útokov sú firmy a zároveň aj jednotlivci. Táto hrozba je univerzálna pretože sa zameriava na ľudí a ich slabé stránky. Najčastejším cieľom sú zamestnanci firiem bez ohľadu na ich veľkosť. Prieskumy potvrdzujú, že terčom sú malé aj stredné podniky, pričom napríklad 44 percent firiem s 251 až 500 zamestnancami hlásilo za 12 mesiacov únik údajov. Kyber. útoky môžu sústrediť na špecifické pozície – na finančnom oddelení alebo v HR, ktorí majú prístup k citlivým údajom. Útočníci sa môžu a zvyknú zamerať aj na nových zamestnancov, ktorí ešte dobre nepoznajú interné procesy a bezpečnostné politiky.


Ako sa chrániť pre útočníkmi, ktorý využívajú práve sociálne inžinierstvo?

Ochrana voči takýmto útokom je informovanosť, byť ostražitý ak ide o podozrivo výhodnú ponuku, pretože môže zároveň ísť o podvod. Zamýšľajte sa a prehodnocujte skôr ako kliknete. Odporúčame neklikať nerozvážne na všetko čo sa javí zaujímavo, najmä ak ide o neznáme zdroje. Strážte si svoje osobné údaje a nikdy ich nezdieľajte bez ohľadu na to, kto o ne žiada a nedávajte si ich zapamätávať vo webovom prehliadači. Tým sa majú na mysli heslá, čísla kreditných kariet, adresy trvalého bydliska. Používajte silné heslá a pravidelne si ich v plnom rozsahu meňte. Nepoužívajte rovnaké heslo na všetky platformy. Používajte jedinečné silné a dostatočne dlhé heslá. Používajte viacstupňové overovanie vždy keď je to možné, pretože to zvyšuje bezpečnosť. Overte si za každým totožnosť neznámeho volajúceho. Ak vás niekto kontaktuje s tým, že pracuje pre nejakú spoločnosť alebo organizáciu požiadajte ho odpoveď na kontrolnú otázku a informácie si overte. Informujte sa o nových podvodoch a metódach. Používajte sa preferujte osvedčené dôveryhodné zdroje, aby ste sa vyhli malvéru, či inému škodlivému kódu. Ak ste sa stali obeťou okamžite to oznámte príslušným miestnym orgánom. Odhláste sa a zmeňte si heslá, Začnite používať viacstupňové overovanie, preskenujte svoje zariadenia, či nie sú napadnuté malvérom a upozornite priateľov a kolegov, že sa niekto dostal do vašich účtov.


Sociálne inžinierstvo a vzniknuté škody?

Medzi priame dôsledky a vzniknuté škody útokov sociálneho inžinierstva patria priame finančné straty, ktoré zahŕňajú podvodné prevody peňazí, platby výkupného v prípade ransomvéru a neautorizované nákupy z kompromitovaných účtov. Prevádzkové škody a prerušenie činnosti firmy a inštitúcii, ktoré vedie k masívnej strate produktivity a generuje vysoké náklady na obnovu systémov napríklad ako nedávny prípad kybernetického útoku na automobilku Jaguar Land Rover v Nitre.
Vážne poškodenie reputácie a strata dôvery vedie k strate dôvery u zákazníkov a partnerov, ktorí po medializácii incidentu často odchádzajú ku konkurencii. Pri, po krádeži dát a ich následnom zneužití sa útočník zameriava buď na cenné obchodné tajomstvá určené na predaj, alebo na osobné údaje zneužívané na krádeže identity.
Kybernetické útoky mávajú právne a regulačné následky. Firmám hrozia vysoké finančné pokuty za porušenie ochrany dát, ako je GDPR, a nákladné súdne spory s poškodenými stranami. V neposlednom rade sem patrí aj ľudský a psychologický dopad. Psychologický dopad sa prejavuje extrémnym stresom a pocitmi viny u zodpovedného zamestnanca, čo v tíme vytvára atmosféru strachu a nedôvery.

Kategórie:
Témy

Toto je nadpis

Analytik

Lorem ipsum dolor sit amet consectetur adipiscing elit. Quisque faucibus ex sapien vitae pellentesque sem placerat. In id cursus mi pretium tellus duis convallis. Tempus leo eu aenean sed diam urna tempor. Pulvinar vivamus fringilla lacus nec metus bibendum egestas. Iaculis massa nisl malesuada lacinia integer nunc posuere. 

/ Blog /

Súvisiace články

TikTok dostal rekordnú pokutu 530 miliónov za porušenie GDPR

autor

2. januára 2026

GDPR pokuty v EÚ 2025 Najvyššie sankcie a krajiny

autor

2. januára 2026

GDPR pokuty 2025 – Najprísnejšie krajiny EÚ a trendy

autor

22. decembra 2025

TikTok dostal 530 miliónovú pokutu za porušenie GDPR

autor

20. decembra 2025

Únik metadát v roamingu stál operátora 28 miliónov eur

autor

18. decembra 2025

Google dostal pokutu 125 miliónov eur za porušenie GDPR

autor

11. decembra 2025

Odoberajte novinky od osobnyudaj.sk

Vaša e-mailová adresa je u nás v bezpečí, prečítajte si naše podmienky zpracovania osobných údajov.