Útok bez hacknutí mate experty. Do počítače vám vlezou, i když neznají vaše přihlašovací údaje

Nejhorší průnik je ten, který v logu vypadá jako klasické pondělní ranní přihlášení zaměstnance. Přesně takových průniků rychle přibývá.

Zdroj fotografie: PxHere

Představte si bezpečnostní tým, který celé měsíce investoval do záplat, firewallů a segmentace sítě. Servery jsou aktuální, perimetr drží. Jenže jednoho rána se někdo přihlásí do firemní VPN s platným jménem a heslem, projde ověřením a začne procházet sdílené disky. Útočník přišel hlavním vchodem a systém neměl důvod ho odmítnout. Podle Verizon 2025 DBIR stojí zneužité přihlašovací údaje za 22 % všech potvrzených průniků.

Heslo se stalo vstupní branou, exploit přestává být hrozbou

Mandiant za rok 2024 zaznamenává exploity jako nejčastější počáteční vstup s 33 %, ve zprávě M-Trends 2025 řadí odcizené přihlašovací údaje na druhé místo mezi vstupními vektory s podílem 16 %. A SANS Institute v dubnu 2026 pojmenovává jádro problému přímo – legitimní přihlášení nespouští ty samé alarmy jako skenování portů nebo zpětné volání malwaru. Jenže hned za nimi stojí odcizené přihlašovací údaje, protože ukrást heslo je často jednodušší než najít neopravenou službu.

Cest ke krádeži identity je až překvapivě moc. Credential stuffing zkouší uniklá hesla z jednoho servisu proti desítkám dalších a Verizon upozorňuje, že útočníci mění hlavičky a proxy tak, aby každý pokus vypadal jako izolované legitimní přihlášení. Malware typu Lumma pak krade uložená hesla přímo z prohlížečů a aplikací a prodává je zprostředkovatelům přístupu na darknetu.

Microsoft ve své zprávě Digital Defense Report 2025 uvádí, že 97 % útoků na identitu tvořily pokusy o password spray, tedy automatizované zkoušení jednoho hesla proti tisícům účtů. A pak je tu phishing, stále nejrozšířenější kanál: od generických e-mailů po zprávy generované umělou inteligencí, které cílí na konkrétní roli ve firmě.

Uvnitř sítě mohou být útočníci týdny, ale klidně i hodiny

Jakmile projde útočník přihlašovací bránou, začíná závod s časem a obránci o něm často ani nevědí. Přibližný čas, po který útočník zůstává v síti neodhalený, činil podle M-Trends 2025 jedenáct dní. Při interní detekci deset, při odhalení externí entitou šestadvacet.

U ransomwaru je tempo ještě brutálnější. Mandiant uvádí medián šesti dní od prvního přístupu k nasazení šifrovacího malwaru. Téměř třetina případů spadla do prvních 48 hodin. SANS mluví o skupinách nasazujících ransomware, které zvládnou cestu od přihlášení k šifrování a vydírání během hodin.

Proč tak rychle? Útočník s platným účtem nepotřebuje trávit dny průzkumem. Může si rovnou stáhnout další přihlašovací údaje z paměti, pohybovat se laterálně po síti a rozšiřovat svůj dosah bez nutnosti nasadit nápadný nástroj. MITRE v popisu techniky Valid Accounts (T1078) výslovně uvádí, že útočníci často záměrně nepoužívají spolu s legitimním přístupem žádný další software, právě aby zůstali neviditelní.

A do hry vstupuje i umělá inteligence. SANS identifikuje tři roviny, kde AI zrychluje celý řetězec: automatizace testování odcizených přihlašovacích údajů proti většímu počtu cílů, rychlejší tvorba nástrojů na míru a phishingové e-maily, které je stále těžší odlišit od legitimní komunikace. Microsoft v dubnu 2026 popsal konkrétní kampaň, při níž útočníci využili AI k phishingu prostřednictvím kódů zařízení s dynamickým generováním kódu a automatizovaným profilováním obětí podle veřejných dat.

Český kontext: phishing, falešné identity, desítky incidentů

Nejde o vzdálenou hrozbu z amerických zpráv. NÚKIB v říjnu 2024 popsal aktivní phishingovou kampaň, která zneužívala identity Amazonu, Microsoftu a českých institucí a zasáhla „vyšší desítky českých subjektů“. V březnu 2026 evidoval úřad 20 kybernetických incidentů, přičemž kategorie „Průnik“ tvořila více než polovinu z nich. Kanály krádeže identity v Česku kopírují globální vzorce, ale mají lokální specifika:

• E-mailový phishing cílící na přihlašovací údaje k poštovním schránkám, na který NÚKIB opakovaně upozorňuje od roku 2021.
• Falešné stránky bankovní identity šířené e-mailem a SMS, kde oběť zadá přihlašovací údaje a útočník je v reálném čase zneužije.
• Vishing, tedy podvodné telefonáty, při nichž se volající vydává za banku, policii nebo dokonce za samotný NÚKIB.

Výroční zpráva NÚKIB za rok 2023 uvádí, že phishing zaznamenalo 89 % respondentů českého kybernetického průzkumu a spearphishing 50 %. Česká agregovaná statistika o tom, kde přesně lidé nejčastěji přicházejí o hesla, sice chybí, ale kombinace globálních dat a tuzemských varování ukazuje jasný obraz: ztráta identity začíná u běžného e-mailu nebo SMS, nikoli u sofistikovaného exploitu.

Co udělat hned aneb identita jako nový perimetr

Obrana se přesouvá od záplat k ochraně identity. Microsoft uvádí, že vícefaktorové ověřování snižuje riziko kompromitace účtu o 99,22 %, zároveň ale zdůrazňuje, že tradiční MFA samo o sobě už nestačí a novým základem má být varianta odolná vůči phishingu: přístupové klíče (passkeys), klíče FIDO2 nebo certifikátová autentizace.

Vedle nasazení silnější autentizace stojí za to okamžitě projít přihlašovací logy a hledat kombinaci signálů, které odlišují útočníka od zaměstnance:

• Impossible travel, přihlášení z Prahy a o minutu později z jiného kontinentu.
• Neobvyklý user-agent nebo anonymní IP v kombinaci s přístupem mimo pracovní dobu.
• Opakované selhání MFA následované úspěchem, typický vzorec útoku MFA fatigue.
• Jedna IP adresa pro více účtů nebo naopak jeden účet přistupující z desítek IP adres.
• Aktivita dormantních účtů a interaktivní přihlášení servisních účtů, které by se nikdy neměly přihlašovat interaktivně.
• Nová pravidla přesměrování pošty vytvořená krátce po přihlášení.

Žádný z těchto signálů sám o sobě neznamená průnik. Rozhoduje kombinace a právě schopnost ji vyhodnotit v reálném čase odděluje firmy, které útočníka zastaví v hodinách, od těch, které ho objeví až po šestadvaceti dnech. Slabým místem už není jen neopravený server. Novým perimetrem je samotná identita uživatele a kdo ji nechrání jako kritickou infrastrukturu, nechává hlavní vchod odemčený.