Používáme je všichni, a proto je začali hackeři zneužívat. Experti varují před novou technikou skrytých útoků

V loňském roce zachytili bezpečnostní analytici phishingový e-mail, ve kterém byl škodlivý JavaScript ukrytý v neviditelných znacích.

Zdroj fotografie: Lukáš Altman (Mobify.cz)

Technika se označuje jako Unicode smuggling, někdy také emoji smuggling, a její princip je překvapivě jednoduchý. Útočník vloží do klasického textu znaky, které člověk nevidí, ale software je umí dekódovat a spustit. Zpráva vypadá normálně, emoji se tváří nevinně a bezpečnostní filtr nemusí zaregistrovat nic neobvyklého. V tom spočívá nebezpečí, před kterým varují bezpečnostní firmy i technologičtí giganti.

Co se skrývá za „roztomilými symboly“

Když se řekne emoji, většina lidí si představí žlutý smajlík nebo srdíčko. Jenže Unicode, standard, který definuje všechny znaky používané v digitálním textu, obsahuje tisíce položek, které nemají žádnou viditelnou podobu. Patří mezi ně:

• Soft hyphen (U+00AD) – místo dělení slova, které se zobrazí jen při zalamování řádku.
• Word joiner (U+2060) – neviditelné „lepidlo“ mezi slovy.
• Variation selectors – modifikátory, které mění vzhled předchozího znaku, ale samy o sobě se nezobrazují.
• Tag characters (U+E0000–U+E007F) – původně určené pro jazykové značky, dnes využívané i v emoji sekvencích u některých vlajek.
• Hangul filler znaky – korejské výplňové znaky bez vizuální stopy.

Unicode Consortium výslovně potvrzuje, že řada těchto znaků je „default ignorable“, tedy při nepodporovaném zobrazení mají být neviditelné a ignorované. Právě tuto vlastnost útočníci zneužívají.

Jak útok funguje v praxi

Nejlépe to ilustruje případ, který v únoru 2025 popsaly HPE Threat Labs. Na počátku ledna zachytily phishingový e-mail, v němž byl celý škodlivý JavaScript zakódovaný pomocí dvou neviditelných hangulských výplňových znaků. Jeden představoval binární nulu, druhý jedničku. Část těchto znaků tvořila jeden byte ASCII kódu. Výsledek? Lidské oko vidělo prázdný prostor, prohlížeč po otevření přílohy spustil plnohodnotný skript.

Technika přitom není nová, i když nové jsou její úpravy. Microsoft už v srpnu 2021 dokumentoval, jak útočníci vkládají soft hyphen a word joiner do předmětů a těl phishingových e-mailů, aby rozbili klíčová slova hledaná filtry. Slovo „invoice“ rozseté neviditelnými znaky projde kontrolou, ale uživatel ho přečte bez problémů. V letech 2024–2026 bezpečnostní firmy a výzkumníci popisují rostoucí zneužívání těchto Unicode obfuskací, od phishingu přes krádeže přihlašovacích údajů až po doručování ransomwaru.

Proč to prochází obranou

Tradiční e-mailové filtry a antivirové programy hledají známé vzory: podezřelé URL, škodlivé přílohy, klíčová slova spojená s podvody. Unicode smuggling tento přístup obchází, protože:

• Skrytý obsah nemá žádný vizuální otisk, ani člověk, ani jednoduchý textový parser nic nevidí.
• Znaky jsou legitimní součástí standardu, nelze je plošně zakázat, aniž by se rozbilo zobrazení desítek jazyků.
• Různé aplikace zpracovávají stejný text odlišně, co e-mailový klient ignoruje, webový prohlížeč může interpretovat jako instrukci.

AWS v září 2025 publikovalo obranné postupy zaměřené na sanitizaci Unicode tag characters v aplikacích s umělou inteligencí. Microsoft nasadil detekční pravidla. ESET rozšířil cloudovou ochranu o anti-spoofing a detekci homoglyfů. Výrobci reagují, ale mezera mezi vizuální a strojovou interpretací textu zůstává strukturálním problémem.

Co to znamená pro českého uživatele

Konkrétní veřejně pojmenovaný incident „emoji smuggling“ v Česku zatím doložený není. NÚKIB ale už v únoru 2023 popsal phishingovou kampaň proti českým diplomatům, která využívala příbuznou techniku HTML smuggling, a výslovně ji označil za obtížně detekovatelnou. ESET v červnu 2025 uvedl, že nejčastějším phishingovým kanálem v Česku byly v prvním čtvrtletí roku falešné SMS a zprávy přes Messenger a WhatsApp.

Praktické minimum pro ochranu:

• Neotvírejte nečekané přílohy a odkazy, i když přijdou od „známé“ značky.
• Kontrolujte skutečnou doménu v URL, podivné mezery nebo neobvyklé znaky v adrese mohou být varovný signál.
• Zpozorněte u zpráv s tlakem na okamžitou akci.
• Používejte bezpečnostní software s anti-phishingovou vrstvou a pravidelně ho aktualizujte.
• Ve firmě hlaste podezřelé zprávy IT oddělení místo improvizovaného otevírání.

Nejde o zákaz emoji

Důležité je nepropadnout panice z každého smajlíku v doručené poště. Samotná přítomnost emoji v textu není indikátorem útoku. Problém leží hlouběji: bezpečnost se musí dívat na Unicode na úrovni kódových bodů a chování, ne jen na to, co vidí lidské oko. Dokud existuje propast mezi vizuální podobou textu a jeho strojovým zpracováním, budou ji útočníci zkoušet překlenout.

Emoji smuggling není revoluce v hackingu. Je to připomínka, že i zdánlivě nevinný text může nést náklad, který nevidíte, a že nejlepší obrana začíná zdravou nedůvěrou k čemukoli nečekanému ve schránce.