DATASYS

V Česku a na Slovensku výrazně roste typ útoku, který kombinuje telefonickou manipulaci a zneužití NFC. Podle ESETu měl malware NGate v prvních čtyřech měsících roku 2026 víc detekcí než za celý rok 2025 a meziročně jde zhruba o patnáctinásobný nárůst.

Útok není „samovirový“, potřebuje spolupráci oběti. Typicky začne telefonátem, kde se útočník vydává za banku nebo instituci, vytvoří tlak a navede člověka k instalaci aplikace mimo běžnou cestu. Někdy k tomu použije i legitimní nástroj pro vzdálený přístup, aby měl telefon pod kontrolou.

Pak přijde klíčový moment, oběť je vyzvána přiložit platební kartu k telefonu a zadat PIN. Právě to útočníci potřebují ke zneužití NFC. ESET zároveň upozorňuje, že nejde o izolované pokusy, většina vzorků komunikovala se stejným serverem a sbírala stejný typ dat.

Základní pravidla jsou jednoduchá. Neinstalovat aplikace na základě telefonátu, nikdy nepřikládat kartu k telefonu na výzvu volajícího nebo neznámé aplikace a nezadávat PIN do aplikace. NFC má smysl nechávat zapnuté jen tehdy, když ho člověk skutečně používá.

Ukládat hesla přímo v prohlížeči je pohodlné, ale ve firmách to může být zbytečné riziko. Bezpečnostní výzkumník upozornil, že Microsoft Edge má podle jeho zjištění načítat uložená hesla do paměti procesu v čitelné podobě i ve chvíli, kdy je uživatel aktivně nepoužívá.

To ukazuje rozdíl mezi ochranou na disku a ochranou za běhu. Soubor s hesly může být šifrovaný, ale pokud jsou přihlašovací údaje v paměti aplikace jako plaintext, útočník s lokálním přístupem nebo malwarem nemusí obcházet žádné šifrování, stačí mu číst paměť.

Největší problém je to ve sdílených prostředích, jako jsou terminálové servery, VDI nebo Citrix. Jeden kompromitovaný administrátorský účet tam může znamenat přístup k relacím více uživatelů a tím i k jejich uloženým pracovním přístupům.

Pro firmy z toho plyne jednoduché doporučení. Zvážit zákaz ukládání hesel do prohlížeče, vyčistit už uložené údaje, používat spravovaný password manager a mít zapnuté vícefaktorové ověřování všude, kde to jde.

Umělá inteligence umí během vteřiny vytvořit heslo, které vypadá dokonale. Délka sedí, jsou tam velká a malá písmena, čísla i znaky. A člověk má pocit, že tím problém vyřešil.

Jenže podle průzkumu firmy Irregular pro Sky News je to přesně ten háček. Modely jako ChatGPT, Claude nebo Gemini prý nevytvářejí hesla náhodně, ale skládají je podle vzorců, které mají v datech. Výsledek může být na pohled „silný“, ale zároveň předvídatelnější, než bychom čekali. A pokud je heslo předvídatelné, dá se při útoku výrazně rychleji uhodnout nebo prolomit.

Proto dává smysl držet se klasiky. Hesla generovat přes důvěryhodný správce hesel, který používá bezpečný generátor náhodnosti, a mít pro každou službu jiné heslo. K tomu zapnout vícefaktorové ověření všude, kde to jde, protože i nejlepší heslo může jednou uniknout.

A pokud to služba umožňuje, přechod na passkeys je dnes jedna z nejlepších cest, jak se z kolotoče hesel postupně dostat. Vypadá to jako malý detail, ale v praxi to často rozhoduje, jestli se útočník do účtu dostane, nebo narazí.