Technologičtí giganti hledají zaměstnance. Až na to, že se nabídka práce rychle změní v neúprosnou past

Stačí jediné kliknutí na „Přihlásit se přes Facebook“ a vaše údaje dávají rovnou útočníkovi. Bez malwaru, bez stahování.

Zdroj fotografie: Pexels

Výzkumný tým NordVPN Threat Intelligence v dubnu 2026 rozebral phishingovou kampaň, která se od běžného podvodného e-mailu liší zásadně: nekončí jedním odkazem, ale inscenuje celý náborový proces. Profesionální oslovení jménem Mety, Disney, Spotify nebo Coca-Coly, funkční web s nabídkou pozice a na konci přihlášení přes okno Facebooku, které vypadá přesně jako to pravé, jenže běží na serveru útočníka. Kdo hledá práci u prestižní značky a dorazí až sem, má za sebou několik ověřených kroků. Právě proto ten poslední tak snadno projde.

Čtyři kroky, které vypadají jako běžný nábor

Kampaň začíná korektně napsaným e-mailem, který se tváří jako oslovení od náborového týmu známé firmy. Rozesílka jde přes Google AppSheet, legitimní automatizační platformu Googlu s nativními funkcemi hromadného odesílání. E-mail tím dědí reputaci důvěryhodné služby a prochází spamovými filtry snáz než zpráva z neznámé domény.

Odkaz v e-mailu nevede rovnou na falešný kariérní web. Míří na takzvanou HUB doménu, mezistránku, která jen přeposílá návštěvníka dál a běžným bezpečnostním skenerům zůstává hůře viditelná. Teprve odtud se oběť dostane na upravený kariérní portál s logem značky, kde může procházet pozice, číst popisy práce a kliknout na „Apply“. V tu chvíli se otevře formulář pro přihlášení přes Facebook. Vizuálně téměř nerozeznatelný od originálu. Jenže neběží na doméně facebook.com, nýbrž na infrastruktuře útočníka. Vyplněné jméno a heslo odcházejí rovnou k němu. Žádný mezikrok, žádný malware. Sekundy.

Proč zrovna Facebook a proč to funguje

Požádat uchazeče o bankovní údaje uprostřed náborového procesu by vzbudilo podezření okamžitě. Přihlášení přes Facebook ale lidé znají z desítek webů, je to naučený reflex. A hodnota kompromitovaného účtu je přitom vysoká sama o sobě. Podle Mety může útočník s přístupem k účtu číst soukromé zprávy, psát přátelům oběti a získávat neveřejné informace. Kompromitovaný profil se pak stává nástrojem dalšího phishingu, tentokrát z účtu, kterému kontakty oběti důvěřují.

Síla celé kampaně nespočívá v technické sofistikovanosti. Spočívá v psychologii. Každý krok kopíruje reálný náborový proces: oslovení, kariérní web, procházení pozic, přihláška. Oběť projde třemi důvěryhodnými stanicemi, a když dorazí ke čtvrté, nemá důvod zaváhat. Právě ta postupná akumulace důvěry je to, co odlišuje tuto kampaň od jednorázového spamu s překlepy.

Jak podvod rozpoznat, než bude pozdě

Samotné firmy, jejichž jména útočníci zneužívají, před náborovými podvody aktivně varují. Disney vymezuje oficiální e-mailové domény svých náborářů. Spotify uvádí, že nikdy nepožaduje hesla ani platby. Coca-Cola upozorňuje, že podvodníci mohou odkazovat i na skutečné názvy pozic nebo reálná ID inzerátů; existence nabídky tedy sama o sobě pravost oslovení nepotvrzuje.

Varovné signály, které by měly zastavit ruku nad klávesnicí:

• Nevyžádané oslovení z adresy mimo oficiální firemní doménu.
• Kariérní web na neoficiální doméně, typické kombinace názvu značky s HR slovníkem (careers-meta-jobs.com apod.).
• Přesměrování mimo firemní systém na třetí web, který s firmou nemá nic společného.
• Výzva přihlásit se přes Facebook kvůli podání pracovní přihlášky – žádný legitimní zaměstnavatel to nepožaduje.
• Nabídka smlouvy před standardním pohovorem nebo neověřené plánovací odkazy.

Co dělat, když jste údaje už zadali

Pokud jste na podobném webu vyplnili přihlašovací údaje k Facebooku, čas hraje proti vám. Prioritou je:

• Okamžitě změnit heslo k Facebooku.
• V nastavení zabezpečení ukončit všechny aktivní relace na neznámých zařízeních.
• Zapnout dvoufaktorové ověření, ideálně přes autentizační aplikaci, ne SMS.
• Zkontrolovat, zda útočník nezměnil kontaktní e-mail nebo telefonní číslo u účtu.
• Projít zařízení antivirovým skenem.

Pokud už k účtu nemáte přístup, Facebook nabízí oficiální postup pro obnovení napadených účtů. Meta zároveň doporučuje zapnout upozornění na přihlášení z neznámých zařízení – prevence, která funguje i proti budoucím pokusům.

Český kontext: phishing roste, kampaň hranice neřeší

NordVPN region zásahu neupřesňuje a konkrétní české oběti popsány nebyly. Technicky ale nic nebrání tomu, aby se kampaň dostala i k českým uchazečům – stojí na globálním e-mailu a kontaktech pravděpodobně získaných scrapingem LinkedInu nebo ze starších úniků dat. Kampaň míří především na uživatele s veřejným profesním profilem a rizikovým pracovním e-mailem.

Český kyberbezpečnostní kontext přitom není klidný. CSIRT.CZ k 10. červnu 2026 eviduje 1 139 phishingových incidentů za letošní rok a NÚKIB ve čtvrtletním přehledu hrozeb za první čtvrtletí 2026 potvrzuje zvýšenou incidentní aktivitu. Jobs.cz na svém poradenském webu samostatně radí, jak se při hledání práce nestát obětí podvodu, což samo o sobě vypovídá o tom, že problém není teoretický.

Nejlepší obrana proti této kampani není antivirus ani spamový filtr. Je to jedna jednoduchá otázka: proč by mě zaměstnavatel žádal o přihlášení přes Facebook, když chci jen poslat životopis?