Předvánoční čas přináší nejen radost a klidné svátky s rodinou, ale bohužel i zvýšené riziko kybernetických útoků. Mezi časté útoky patří podvodné SMS, které jsou nejčastější právě ve vánoční sezóně. Využívají toho, že ve shonu máte mnohem méně času rozmýšlet nad každou zprávou, která vám přijde do telefonu. Stačí chvilka nepozornosti a místo klidných svátků řešíte blokované účty a telefonáty s bankou. Jak poznat podvodné SMS a na co si dát pozor?

Shrnutí pro ty, co nemají čas číst celý článek

  • Útočníci se vydávají za důvěryhodné instituce – vytváří zprávy, které vypadají jako od dopravců, bank, státních úřadů nebo telefonních operátorů, aby vás donutili okamžitě reagovat a zadat své přihlašovací údaje nebo čísla platebních karet.
  • Mezi typické triky patří vymyšlené komplikace s balíky (například, že chybí číslo popisné nebo musíte uhradit malou částku za clo), nabídky sociálních dávek vyžadujících aktivaci přes internet, nebo výstrahy o bezpečnostních problémech s bankovním účtem a tajemné pravidelné platby kolem stovky měsíčně.
  • Technologie za těmito útoky zahrnuje smishing – tedy phishingové techniky aplikované na textové zprávy, spoofing umožňující podvrhnout jméno skutečného odesílatele tak, že falešná zpráva dorazí přímo do stejného vlákna jako legitimní komunikace, a občas i nebezpečný software vytahující z telefonu citlivá data.
  • Účinná prevence spočívá v několika krocích – ignorujte odkazy z neočekávaných zpráv, nikdy nepotvrzujte citlivé informace přes formuláře ze SMS, ověřujte si vše v oficiálních aplikacích, nastavte limity na internetové transakce nebo používejte virtuální karty dobíjené jen na konkrétní nákup.
  • Pokud zareagujete na podvodnou zprávu, jednejte okamžitě – zavolejte bance a zablokujte kartu, změňte všechna hesla, aktivujte dvoufázové ověřování a nahlaste incident policii.

Proč jsou podvodné SMS o Vánocích tak účinné

V prosinci dostanete mnohonásobně více zpráv než běžně – potvrzení objednávek, notifikace o zásilkách, bankovní výpisy, marketingová sdělení či upozornění od operátora. Je to digitální smršť, ve které se jedna falešná zpráva dokonale schová. Pro podvodníky představuje předvánoční doba ideální loveckou sezónu. Zaměřují se na psychologickou manipulaci a vedou vás k tomu, abyste jim sami odhalili PIN, zadali číslo karty nebo poskytli přístup k účtu. 

Navíc právě v období před Vánocemi jsou lidé ve velkém shonu, nakupují dárky, pečou cukroví a času moc nezbývá. K tomu se přidává strach z toho, že dárky nestihnou přijít včas. To je důvod, proč podvodné SMS patří k nejčastějším podvodům ve vánoční sezóně a dosahují vyšší úspěšnosti než v jiných měsících.

Pozor na podvodné SMS o Vánocích: falešné zprávy od dopravců, bank i úřadů. Jak je poznat, nenaletět a co dělat, když už kliknete?

Jak podvodné SMS technicky fungují

Podvodné SMS patří do kategorie phishingových útoků – pokusů získat hesla, čísla karet, přihlašovací kódy nebo jiné citlivé osobní údaje. Když phishing probíhá přes textové zprávy, mluvíme o smishingu.

Klíčová je technika spoofing, tedy podvržení odesílatele. Falešná zpráva může dorazit přímo do stejného vlákna jako legitimní komunikace s bankou nebo Českou poštou.

Některé kampaně vedou na falešné stránky identické s originálem, jiné propašují do telefonu malware přesměrovávající platby nebo odposlouchávání údajů. Proto podvodné SMS ve vánoční sezóně vypadají úplně stejně jako oficiální zprávy a proto jsou tak nebezpečné.

TIP: Phishing, vishing, smishing: Moderní podvody v kyberprostoru

Nejčastější podvodné SMS v Česku o Vánocích

Nejčastější podvodné SMS ve vánoční sezóně se zaměřují na několik hlavních oblastí, kde útočníci vědí, že mají největší šanci na úspěch. Každý typ podvodu má své specifické charakteristiky a cílí na jinou skupinu obětí. Pojďme si projít nejčastější scénáře, abyste věděli, na co si dát pozor.

Falešné zprávy o zásilkách

Podvodné SMS o zásilkách jsou nejrozšířenější phishingovou variantou přes Vánoce. Jedná se o podvodné SMS České pošty nebo podvodné SMS DHL a vypadají takto: „Balík nelze doručit kvůli chybějícímu číslu domu“ nebo „Doplaťte clo 67–199 Kč přes tento odkaz.“

Česká pošta opakovaně upozorňuje, že nikdy nevybírá poplatky přes SMS a nevyžaduje údaje z platební karty. Pokud skutečně máte něco uhradit, dostanete písemnou výzvu do schránky nebo vše vyřešíte při převzetí zásilky. Podobně fungují i podvodné SMS DHL – útočníci se vydávají za tuto či jinou přepravní společnost a lákají na urgentní doručení balíku výměnou za malý poplatek.

Pozor na podvodné SMS o Vánocích: falešné zprávy od dopravců, bank i úřadů. Jak je poznat, nenaletět a co dělat, když už kliknete?

Manipulace s dávkami a příspěvky

Podvodné SMS MPSV se staly velkým problémem v posledních měsících. Ministerstvo práce a sociálních věcí i ČSSZ varují před falešnými zprávami o příspěvcích na bydlení a důchodech. Zprávy slibují aktivaci, informují o přeplatku nebo hrozí ztrátou dávky bez okamžitého potvrzení.

Stránky napodobují vládní portály a vyžadují rodné číslo, číslo účtu a přístup k bankovnictví. Tím útočníkům darujete kompletní přístup k vaší identitě. MPSV ani ČSSZ nikdy nerozesílají takové zprávy – veškerá komunikace probíhá přes datovou schránku, osobně na pobočce nebo přes ověřené státní portály.

Bankovní hrozby a falešné výstrahy

Podvodné SMS z banky patří mezi nejzákeřnější typy útoků. Zprávy varují před blokací účtu, podezřelou transakcí nebo nutností ověření totožnosti. Díky spoofingu může zpráva dorazit přímo do stejného vlákna jako legitimní komunikace s vaší bankou.

Žádná banka ale nikdy nevyžaduje zadání přihlašovacích údajů, hesla nebo čísla karty přes odkaz v SMS. Pokud máte pochybnosti, zavolejte přímo na zákaznickou linku banky z čísla uvedeného na její oficiální webové stránce (ne z čísla uvedeného v podezřelé zprávě).

Podvody s mobilními operátory

Podvodné SMS od O2, podvodné SMS od T-Mobile a podvodné SMS od Vodafone obvykle informují o „neuhrazené faktuře“, „blokaci služeb“ nebo „aktivaci nové služby za 99 Kč měsíčně“. Zprávy vypadají věrohodně a často obsahují logo operátora.

Ve skutečnosti jde o předplatné prémiových služeb, které se vám měsíčně strhává z účtu nebo se objevuje na vyúčtování. Lidé si toho často všimnou až při kontrole faktury po svátcích, kdy zjistí úbytek několika set až tisíc korun. Pokud dostanete takovou zprávu, přihlaste se přímo do zákaznické zóny operátora přes oficiální aplikaci nebo web, a tam si vše ověřte.

TIP: 5 tipů, jak rozpoznat phishingový podvodný e-mail

Falešné zprávy od rodinných příslušníků

Mezi nejnovější a psychologicky nejrafinovanější techniky patří zprávy předstírající, že pocházejí od vašich dětí. Klasický scénář: „Ahoj mami, rozbil jsem si mobil a tohle je moje nové číslo.“ Po krátké výměně zpráv přijde žádost o peníze – urgentní platba, kterou kvůli technickým problémům nemůžete provést sami.

Policejní statistiky ukazují alarmující čísla. Na Uherskohradišťsku během jediného měsíce zaznamenali třináct případů s celkovou ztrátou blížící se milionu korun. Jedna žena postupně poslala 145 tisíc korun někomu, kdo se vydával za jejího syna. Jiná poslala 42 tisíc údajné dceři.

Taky je dobré vědět, že podvodníci dokážou zkopírovat jakékoliv telefonní číslo. Zpráva tak může přijít z čísla, které vypadá úplně stejně jako to, které má vaše dcera nebo syn. Proto vždy raději zavolejte na původní číslo a ověřte si, že je opravdu všechno v pořádku.

TIP: Pokud provozujete firmu, zvažte profesionální testování odolnosti zaměstnanců. Jako prevence jsou ideální simulace phishingových a smishingových útoků v kontrolovaném prostředí. Zjistíte, kolik procent týmu by kliklo na podvodný odkaz, a můžete je následně cíleně proškolit. Lepší odhalit slabá místa při simulaci než při reálném útoku.

Pozor na podvodné SMS o Vánocích: falešné zprávy od dopravců, bank i úřadů. Jak je poznat, nenaletět a co dělat, když už kliknete?

Jak poznat podvodné SMS

I když jsou útočníci mazaní a umí využívat všelijaké nástroje, aby podvodná SMS vypadala opravdu věrohodně, máme pro vás několik tipů, podle kterých je můžete poznat.

  • Identifikace odesílatele: Česká pošta používá standardizované označení. Útočníci volí variace jako „CeskaPosta“ nebo „Posta-CZ“.
  • Kvalita textu: Profesionální instituce mají texty bez gramatických chyb. Pokud vidíte něco jako „Drahoušek zákazník, tato is tvuj funkcionár oznámění dle Ceská Sporitelna…“, jde jednoznačně o podvod. Nepřirozené formulace naznačují automatický překlad.
  • Umělá naléhavost: Seriózní organizace nevytvářejí zbytečný časový tlak. Zprávy typu „Zbývá 24 hodin“ nebo „Poslední upozornění“ jsou téměř vždy podvodné.
  • Podezřelá URL: Česká pošta neposílá odkazy na domény typu „cp-zasilka.cz“. Finanční správa používá pouze domény končící na .gov.cz.
  • QR kódy: Nově se objevují zprávy s QR kódy, které mají údajně vést na „zabezpečený portál“. Nikdy neskenujte QR kódy z nevyžádaných zpráv.
  • Vyžadování citlivých dat: Žádná banka ani úřad nevyžaduje čísla karet nebo přihlašovací údaje přes odkaz v SMS.

4 zásady, jak nenaletět na podvodné SMS

Už se vám někdy stalo, že jste na podvodné SMS naletěli? Nejste první a rozhodně ne poslední. Proto pro vás máme také 4 zásady, jak být ve střehu a vyhnout se tak podvodům.

  1. Ignorujte všechny odkazy v neočekávaných zprávách. Vždy si sami otevřete oficiální aplikaci nebo zadejte webovou adresu ručně.
  2. Nikdy nesdělujte citlivé informace na stránkách, kam vás dovede SMS. Přihlašovací údaje patří výhradně do bankovní aplikace.
  3. Aktivujte dvoufázové ověřování – přihlášení vyžadující dvě nezávislé formy potvrzení. I když útočník získá heslo, bez druhého kroku k účtu nepřistoupí.
  4. Nastavte přísné limity pro internetové transakce. Pokud přece jen někam kliknete, minimalizujete potenciální škodu (ještě bezpečnější je používat virtuální karty, které si dobijete pouze na konkrétní nákup. Banky je nabízejí přímo v aplikaci – vytvoříte virtuální kartu, nahrajete na ni přesnou částku pro daný nákup a pokud by ji někdo zneužil, na účtu už nic nenajde. Některé banky umožňují nastavit limit na nulu korun a zvýšit ho jen na chvíli potřebnou k platbě).

Podvodné SMS

5 kroků, co dělat, když už jste se nachystali

Pokud máte i nejmenší pochybnost, že jste se stali obětí phishingu formou podvodných SMS, každá vteřina je vzácná a je potřeba jednat.

  1. Bezodkladně kontaktujte banku – požádejte o okamžité pozastavení všech karet.
  2. Změňte všechna hesla – banka, e-mail, sociální sítě.
  3. Zkontrolujte transakce – prověřte podezřelé pohyby.
  4. Nahlaste to policii – vaše hlášení může přispět k dopadení pachatelů.
  5. Informujte okolí – stejné zprávy se šíří masově.

TIP: Sociální inženýrství – největší hrozba je lidský faktor

Kam nahlásit podvodné zprávy

Pokud dostanete podezřelou SMS, přepošlete ji zdarma na číslo 7726 – jde o číselnou zkratku pro slovo „SPAM“ na klávesnici telefonu. Váš mobilní operátor zprávu vyhodnotí a může zablokovat telefonní číslo, ze kterého podvodné zprávy přicházejí.

Do druhé zprávy připište číslo odesílatele původní SMS. Díky tomu operátoři mohou rychle reagovat na aktuální podvodnou kampaň a chránit další zákazníky.

Pokud vám vznikla finanční škoda, vždy incident ohlaste Policii ČR. Mnoho bank a Česká pošta také provozují speciální kontakty pro hlášení phishingových pokusů na svých oficiálních webových stránkách.

Ochrana pro firmy

Podvodné SMS představují reálné ohrožení, které ročně připraví stovky domácností o úspory a kromě nich také mnoho firem. Útočníci neustále zdokonalují metody a zprávy jsou stále věrohodnější – od kopírování telefonních čísel přes QR kódy až po dokonalé napodobení oficiálních stránek.

Společnost Sysnetshield nabízí simulace podvodných útoků v kontrolovaném prostředí. Zaměstnanci dostanou falešné zprávy a systém zaznamenává reakce. Často se ukáže, že 30–50 % zaměstnanců klikne na podvodný odkaz a 10–20 % zadá přihlašovací údaje. Díky simulaci můžete slabiny odhalit dřív, než je zneužijí skuteční útočníci.

Užijte si poklidné Vánoce. A nezapomeňte upozornit rodiče a prarodiče, protože oni bývají nejčastějšími oběťmi těchto podvodů, protože mají menší zkušenost s digitálními hrozbami.

TIP: Případová studie Red Team operace aneb jak jsme prolomili zabezpečení technologické firmy za měsíc

Časté dotazy (FAQ)

Jak můžu ověřit, že SMS skutečně poslala moje banka nebo dopravce?
 Nejbezpečnější je kontrola webové adresy a toho, co stránka požaduje. Žádná instituce nevyžaduje čísla karet přes formulář ze zprávy. Vždycky si sami otevřete oficiální aplikaci a tam vše ověřte. Pamatujte, že podvodníci dokážou zkopírovat jakékoliv telefonní číslo, takže i číslo odesílatele může vypadat legitimně.

Jsou virtuální karty opravdu bezpečnější než klasické?
 Ano, virtuální karty jsou výrazně bezpečnější pro online nákupy. Vytvoříte ji v bankovní aplikaci, nahrajete přesnou částku pro konkrétní nákup a pokud by ji někdo zneužil, na kartě už nic nenajde. Některé banky nabízejí i možnost nastavit limit na nulu a zvýšit ho pouze na dobu platby.

Kam se hlásí podvodné SMS?
 Přepošlete ji zdarma na číslo 7726 (zkratka pro „SPAM“ na klávesnici), kde ji vyhodnotí váš operátor. Do druhé zprávy připište číslo odesílatele. Při finanční škodě to vždy nahlaste policii. Banky a Česká pošta mají speciální kontakty pro hlášení phishingu na svých oficiálních webech.

Jak vypadá podvodné SMS?
 Často přijde z neznámého nebo podezřelého čísla, případně se tváří jako zpráva od známé instituce. Typicky v ní najdete výzvu k rychlé akci a požadavek na citlivé údaje (např. číslo karty, přihlašovací údaje, rodné číslo) nebo k otevření odkazu. Důvěryhodné organizace tyto informace přes SMS běžně nevyžadují, takže u podobných zpráv je na místě zvýšená opatrnost.

Co se stane, když kliknu na podvodnou SMS?
 U smishingu (phishingu přes SMS) bývá cílem dostat vás na falešnou stránku, kde z vás útočníci vylákají přihlašovací údaje nebo platební informace, případně vás přimět zavolat/napsat na kontakt uvedený ve zprávě. Kliknutí může vést také ke stažení škodlivého souboru nebo k dalším krokům, které útočníkům otevřou cestu k vašemu účtu či penězům. Pokud jste už klikli, nic nevyplňujte, ověřte situaci přes oficiální kanály a při podezření rychle jednejte (banka, změna hesel apod.).