Ve středověku dostal přistižený darebák cejch – tedy dobře viditelné, neodstranitelné znamení vypálené do kůže, které ostatním okamžitě říkalo, s kým mají tu čest. Společnost tak měla jednoduchý, ale účinný nástroj, jak se chránit před těmi, kteří už jednou prokázali své nepoctivé úmysly.
V dnešní době naštěstí útočníky nikdo necejchuje. Přesto si své podvodné stránky paradoxně označují sami strůjci phishingových útoků – a nejspíš si to často ani neuvědomují. Při přípravě útoku totiž zanechávají charakteristické digitální stopy: opakující se vzory v kódu stránek, typické způsoby registrace domén, sdílenou infrastrukturu nebo specifické nástroje, které používají znovu a znovu. Každý takový prvek funguje jako nechtěný podpis – cejch, který si útočník vypálí sám.
Pro nás je ale klíčové, že se tak ocejchují ještě dříve, než útok vůbec spustí. Phishingová stránka bývá připravena s předstihem – a právě v tomto okně mezi přípravou a samotným útokem máme příležitost jednat. To nám umožňuje eliminovat hrozby dřív, než se vůbec dostanou k prvnímu uživateli. Jak přesně tyto stopy rozpoznáváme a jak s nimi pracujeme? Vysvětlím vám to na následujících řádcích.
Analýza výstupů Certificate Transparency je jedním z postupů, které pravděpodobně napadnou každého. Ve zkratce – jedná se o veřejně dostupný seznam, do kterého certifikační autority zapisují všechny vydané certifikáty. Některé prohlížeče pak i kontrolují, zda byl certifikát na uživatelem navštívené stránce zveřejněn.
Proč tolik útočníků Certificate Transparency ignoruje? Důvodů je několik. Část z nich jednoduše používá hotové phishingové kity (Phishing-as-a-Service) – předpřipravené balíčky, které si koupí nebo stáhnou na dark webu a nasadí bez hlubšího přemýšlení o tom, jaké stopy zanechávají. Jiní jsou pod časovým tlakem: phishingové kampaně mají krátkou životnost a útočník, který chce stihnout aktuální vlnu – třeba rozesílání SMS o nedoručeném balíčku – prostě nemá čas přemýšlet nad OpSec detaily. A konečně existují útočníci, kteří o Certificate Transparency vědí, ale podcení, jak rychle dokáže fungovat automatizovaná detekce na druhé straně. Certifikát vydaný ráno může být zablokován ještě týž den.
Jedním ze zdrojů dat pro naši službu Deny listy je nástroj Certificate Transparency Watch (CTW), který jsme si vytvořili pro analýzu nově vydávaných certifikátů. Nechtěli jsme pouze pasivně reagovat na již spuštěné útoky, ale chtěli jsme skutečně nebezpečné stránky zablokovat ještě před tím, než je útok spuštěný. Proto jsme zavedli více proaktivních technik (ne všechny ale prozradíme, abychom to útočníkům příliš neusnadňovali :-)). Víme, že naše techniky fungují velmi dobře což potvrzují i reakce našich zákazníků, jejich správné fungování by však jejich zveřejnění mohlo ovlivnit.
Když chce dnes útočník vytvořit phishingovou stránku, už si nevystačí s protokolem HTTP. Moderní prohlížeče i bezpečnostní řešení obvykle upozorní uživatele, že se pokouší o zadání citlivých údajů na stránce, která není zabezpečena šifrováním. To by pochopitelně část uživatelů odradilo. Z pohledu útočníka je také důležité, že dnes není problém si k doméně pořídit certifikát zdarma. Odpadají tak náklady, které v minulosti pořízení validního certifikátu vyžadovalo. Pokud tedy útočník chystá útok na jím registrované extra doméně, pak v podstatě vždy sáhne také po certifikátu.
Právě na tento „cejch“ pak číhá náš nástroj Certificate Transparency Watch. Pomocí precizně formulovaných dotazů hledáme v nově vydaných certifikátech zveřejněných platformou Certificate Transparency. Takový dotaz obvykle zahrnuje hledání určitého řetězce nebo jejich kombinace. Zároveň dokáže vyloučit certifikáty vydané pro legitimní variantu dané služby. Tímto způsobem dokážeme vyhledat nejen „klasické“ phishingové stránky zacílené přímo na napodobování stránek bankovních institucí, ale i řadu dalších podvodů, jako jsou falešné e-shopy, falešné stránky doručovacích společností používané v rámci reverzních inzertních podvodů, stránky zneužívající služby státu (dálniční známky, sociální podpora, daňová správa), stránky zneužívané k připojení cizího WhatsApp účtu (podvody s hlasováním v soutěžích), falešné investiční weby a v neposlední řadě také podvodné stránky, směřující přímo na naše zákazníky a jejich uživatele či zaměstnance. Samotné dotazy jsou pravidelně aktualizovány na základě nově získaných poznatků o postupech útočníků.
Obzvlášť silný je nástroj CTW v tandemu se službami typu PassiveDNS. Není neobvyklé, že nález jedné podezřelé stránky v CTW přivede analytika na dalších sto webů, provozovaných na stejné IP adrese. V takovém případě obvykle analyzujeme, zda na dané IP adrese neběží také nějaká legitimní služba a pokud ne, přidáme do Deny listů celou IP adresu.
Stránek, identifikovaných a zablokovaných ještě před jejich aktivním použitím útočníky, jsme od spuštění Certificate Transparency Watch na konci června 2025 do konce února 2026 identifikovali téměř 1400. Z celkového počtu certifikátů identifikovaných tímto nástrojem jsou to však pouze ty, které jsme nedokázaly detekovat jinou metodou. Pokud již daná doména byla do Deny listů zanesena díky jinému nástroji, výstup se nepropíše a my jej do statistiky Certificate Transparency Watch nezapočítáme.
Na závěr pár zajímavých statistických údajů týkajících se počtu phishingových stránek.
| Domény | Počet podvodných stránek | ||
| od 06. 2025 do 02. 2026 | |||
| eDalnice | 66 | ||
| Česká pošta | 80 | ||
| Fio banka | 11 | ||
| Zásilkovna | 21 | ||
| Česká pošta | 80 | ||
| Packeta | 8 | ||
| Balíkovna | 16 | ||
| Portál občana | 52 | ||
| Datovka | 38 | ||
| dpd | 84 |