Phishing opět kraluje kyberútokům, útočníci si oblíbili vibe coding

Phishing se v prvním čtvrtletí 2026 vrátil jako nejčastější vstupní bod kybernetických útoků a podílel se na více než třetině incidentů, vyplývá z analýzy Cisco Talos Incident Response. Nejvíce zasaženým sektorem zůstává již třetí kvartál v řadě veřejná správa, nově také zdravotnictví. Pozornost upoutala phishingová kampaň využívající tzv. vibe coding, která útočníkům umožnila pomocí AI vytvářet falešné weby bez znalosti programování. Podle expertů Cisco Talos se tak potvrzuje rostoucí role umělé inteligence na obou stranách kyberbezpečnostní barikády. 

„Nárůst phishingových kampaní na začátku letošního roku, včetně zneužití AI nástrojů k jejich přípravě, ukazuje, jak dynamicky se oblast kybernetické bezpečnosti mění. Rostoucí roli umělé inteligence vnímáme na straně útočníků čím dál výrazněji. Dobrou zprávou je, že AI je ještě silnějším nástrojem při jejich odhalování a obraně proti nim,“ říká kyberbezpečnostní expert Cisco Milan Habrcetl k nejnovější zprávě agentury Cisco Talos. Ta se ve svých reportech opírá o data ze systémů Cisco nasazených po celém světě a má tak k dispozici jednu z největších databází s údaji o internetovém provozu a incidentech.

Trendy jara 2026: phishing i útoky na dodavatelský řetězec

Na pozici nejčastějšího způsobu průniku do firemních sítí se s ročním odstupem vrátil phishing. S třetinovým podílem předstihl zneužívání veřejně přístupných aplikací, jejichž zastoupení kleslo na 18 %.

Druhý nejčastější způsob (24 %) představovalo zneužití platných účtů. Nejvýraznější incident tohoto typu odstartovalo neúmyslné zveřejnění přihlašovacích údajů na GitHubu. Útočníci toho využili a několik měsíců procházeli tisíce repozitářů, kde nacházeli další citlivá data. Pokusili se také do některých repozitářů vložit škodlivý kód určený ke sběru a odesílání dat. Většinu těchto pokusů sice zachytily bezpečnostní kontroly, incident nicméně ilustruje nastupující trend útoků na dodavatelský řetězec a vývojová prostředí.

Ransomware mírně posílil, celkově ale zůstává na nízké úrovni. Incidenty spojené s vydíráním tvořily 18 % zásahů. Ačkoli jde o mírný nárůst z 13 % v předchozím kvartálu, pořád je to výrazně méně než 50 % v první polovině roku 2025. 

„Útoky na dodavatelský řetězec a zneužívání legitimních cloudových API patří k nejznepokojivějším trendům současnosti. Útočníci se maskují za běžnou administrátorskou aktivitu, což je při použití tradičních bezpečnostních nástrojů velmi obtížné odhalit. Klíčem jsou proto důkladné logování a detekce anomálií v chování,“ komentuje Habrcetl.

Vibe coding: od užitečného pomocníka po nástroj internetových podvodů

Experti Cisco Talos upozorňují na případ, kdy útočníci zneužili platformu Softr k vytvoření falešné přihlašovací stránky cílené na účty Microsoft Exchange a Outlook Web Access. Jde o vůbec první zdokumentovaný případ, kdy tým Talos zaznamenal použití konkrétního AI nástroje v phishingové kampani. Softr útočníkům umožnil sestavit přesvědčivou phishingovou stránku pomocí několika jednoduchých promptů v přirozeném jazyce, bez jediného řádku kódu.

Cisco Talos má také indicie, že AI zneužívají jak státem podporované skupiny, tak individuální útočníci. Velké jazykové modely (LLM) jim slouží k tvorbě phishingových návnad i škodlivých skriptů. Útočníci provozující DDoS-as-a-service pak nasazují algoritmy AI k obcházení obranných mechanismů a provádění útoků.

„Nástroje pro vibe coding primárně slouží k tvorbě jednoduchých aplikací pro malé týmy nebo každodenní organizaci. Z pohledu hackerů ale dramaticky snižují technickou náročnost phishingových kampaní. Méně zkušení útočníci dnes dokážou rychle vytvořit věrohodně vypadající stránky pro sběr přihlašovacích údajů, aniž by napsali jediný řádek kódu. Hrozba phishingu se tak do budoucna bude jen rozrůstat,“ varuje Habrcetl.

Veřejná správa je nejčastějším terčem útoků potřetí v řadě

Veřejná správa a zdravotnictví se v prvním čtvrtletí 2026 dělí o první příčku nejčastěji napadených odvětví, přičemž na každou z nich připadá shodně 24 % všech incidentů. Veřejný sektor se na této nelichotivé pozici drží od 3. čtvrtletí 2025. Důvody k oblibě jsou stále stejné: kombinace chronického podfinancování, zastaralé infrastruktury a přístupu k citlivým datům nebo kritické infrastruktuře státu.

Veřejná správa a zdravotnictví se v prvním čtvrtletí 2026 dělí o první příčku nejčastěji napadených odvětví, přičemž každý sektor se podílí na čtvrtině všech incidentů. Veřejná správa tuto nelichotivou pozici drží nepřetržitě od třetího čtvrtletí 2025. Důvody jsou stále stejné: chronické podfinancování, zastaralá infrastruktura a přístup k citlivým datům či kritické infrastruktuře státu.

„Veřejná správa čelí dvojímu tlaku: omezeným rozpočtům na kybernetickou bezpečnost a rostoucímu zájmu útočníků motivovaných jak finančně, tak geopoliticky. Vzhledem k povaze tohoto problému nelze v nejbližší době očekávat výraznou změnu,“ říká Habrcetl.

Tři doporučení pro vyšší kybernetickou bezpečnost

Součástí každého reportu Cisco Talos jsou praktické bezpečnostní tipy vycházející z analýzy nejčastějších útoků. Z dat za poslední kvartál experti Cisco sestavili tři hlavní doporučení:

1. Nasaďte správně nakonfigurované MFA bez výjimek

Vícefaktorové ověřování (MFA) bylo slabým místem ve 35 % případů, což je nárůst oproti konci loňského roku. Útočníci ho obcházeli registrací nových zařízení na kompromitovaných účtech nebo přímým připojením e-mailových klientů k Exchange serverům. „Samoobslužná registrace MFA je jednou z nejrizikovějších konfigurací. Bez centralizovaných zásad ověřování dává MFA organizacím jen falešný pocit bezpečí,“ upozorňuje Habrcetl.

2. Záplatujte rychle a důsledně

Zranitelná infrastruktura stála za čtvrtinou všech zásahů, nejčastěji v nástrojích pro správu e-mailů, filtrování spamu a vzdálenou správu. „Pokles zneužití ToolShell zranitelností SharePointu jasně ukazuje, že záplatování funguje. Kde organizace nasadily opravy rychle, útočníci prostě hledali snazší cíle,“ dodává Habrcetl.

3. Sbírejte logy centrálně a s předstihem

Nedostatečné logování komplikovalo vyšetřování v každém pátém bezpečnostním incidentu tohoto čtvrtletí. Bez kompletních záznamů není možné přesně rekonstruovat průběh útoku ani posílit obranu do budoucnosti. Je žádoucí nasadit centralizované SIEM řešení, které uchová záznamy i v případě, že útočník smaže logy na napadeném zařízení. „Vyšetřování incidentu bez logů je jako skládat puzzle, kterému chybí většina dílů. Investice do SIEM se mnohonásobně vyplatí. Kromě toho doporučujeme nasadit službu Log Architecture Assessment, která poskytuje ucelený pohled na bezpečnostní prostředí a pomáhá posílit připravenost reagovat na incidenty,“ uzavírá Habrcetl.

Zdroj: Cisco Talos

Zdroj ilustračního obrázku: vygenerováno pomocí AI